Neues Schweizer Forschungsprogramm für Ethical Hacking

16. März 2022, 14:05
  • security
  • kmu
  • gemeinde
  • zhaw
  • bug bounty switzerland
image
Foto: Premkumar Masilamani / Unsplash

Bug Bounty Switzerland und die ZHAW starten ein Projekt, um Gemeinden und KMU Bug-Bounty-Programme besser zugänglich zu machen.

Bug Bounty Switzerland (BBS) hat zusammen mit der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) eine neue Studie lanciert. Ziel sei, herauszufinden, wie vor allem KMU und kleinere Gemeinden "mit geringen Ressourcen und IT-Know-how" ein einfacherer Zugang zu Bug-Bounty-Programmen ermöglicht werden kann, schreiben die Beteiligten. Die Studie werde von der schweizerischen Innovationsförderung Innosuisse unterstützt.
BBS habe mit seiner in der Schweiz gehosteten Plattform Bug-Bounty-Programme mehr Firmen zugänglich machen können. Bis jetzt seien es aber vor allem grössere Unternehmen wie Ringier, Valiant Bank, die Baloise Group oder die BKW, welche solche Programme einsetzen. Dazu Organisationen wie das Universitätsspital Zürich, das gute Erfahrungen gemacht hat und Bug Bountys ausbauen will, wie Security Officer Franziska Fink kürzlich gegenüber inside-it.ch erklärte.

Alternative Finanzierungsmodelle prüfen

Für die neue Studie sei nun ein erstes Vorprojekt angelaufen. Damit soll zunächst die Zielgruppe von KMU und Gemeinden untersucht werden, um zu verstehen, welche speziellen Bedürfnisse diese haben und wie ein passendes Angebot ausgestaltet werden müsste. "Angesichts der oft knappen finanziellen IT-Ressourcen in kleinen Organisationen geht es in der Vorstudie darum, herauszufinden, welche alternativen Finanzierungsmodelle denkbar sind und welche nicht-monetären Anreize man den ethischen Hackern bieten könnte", so BBS und die ZHAW.
Darüber hinaus stelle sich die Frage nach der Bereitstellung des Know-hows, das benötigt wird, um mit den identifizierten Schwachstellen umzugehen. Dabei müssten insbesondere auch jene externen Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern. Weiter interessiere die Forscher, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit den ethischen Hackern von Nutzen sein könnte.

KMU dürfen nicht vernachlässigt werden

"Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen", hält Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law in der Mitteilung fest. "Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen."
In einem Folgeprojekt wollen BBS und die ZHAW an der Weiterentwicklung von Bug Bounty Switzerlands Plattform zu einem Schweizer Ökosystem für ganzheitliches Schwachstellenmanagement arbeiten. "Dieses soll alle Akteure (neben den ethischen Hackern zum Beispiel auch Behörden und Lieferanten) in einem kontinuierlichen Informationssicherheitsprozess verbinden und auch für KMU, Kleinstorganisationen und die öffentliche Verwaltung zugänglich und erschwinglich sein."
Mit dem Zürcher Startup Gobugfree hat ein weiteres Unternehmen gezielt den Bug-Bounty-Markt für Schweizer KMU im Visier. Wie uns CEO Pawel Kowalski kürzlich erklärte, wolle man kleineren Unternehmen und Organisationen das öffentliche Penetrationstesting zugänglich machen. Gobugfree will dazu eine eigene Plattform anbieten, mit der sich die Firma ein gutes Stück des wachsenden Marktes verspricht.

Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022