So fördern Bug-Bounty-Programme den IT-Nachwuchs

Wie fördern Bug-Bounty-Programme junge IT-Talente?

Lukas Heppler: Bug-Bounty-Programme bieten die Möglichkeit, reale Systeme auf Sicherheitslücken zu testen und die Neugier, die viele junge IT-Talente antreibt, in einem geschützten, legalen Rahmen zu befriedigen. Ebenfalls bieten Bug-Bounty-Programme eine einzigartige Möglichkeit, das eigene Skillset zu erweitern, denn jedes Programm bietet eine neue Ausgangslage, neue Herausforderungen und die Möglichkeit, daran zu wachsen. Ein zusätzlicher Ansporn für junge IT-Talente an Bug-Bounty-Programmen teilzunehmen, ist auf diese Weise wichtige Erfahrungen zu sammeln und wertvolle Referenzen für den beruflichen Werdegang zu erwerben.

Richten sich derartige Programme nicht in erster Linie an ­bereits etablierte, konventionell ausgebildete IT-Spezialistinnen und -Spezialisten?

Unsere Bug-Bounty-Programme richten sich grundsätzlich an eine sehr breite Zielgruppe. Genau die kollektive Intelligenz, die sich aus der Kombination von individuellem Background, Skillset und Erfahrung der ethischen Hacker ergibt, macht den Erfolg der Programme aus. Natürlich ist eine Ausbildung in der IT beziehungsweise im IT-Security-Bereich ein gutes Fundament, um in Bug-Bounty-Programmen erfolgreich zu sein. Schliesslich spielen oft spezifische Kenntnisse - etwa über den Aufbau oder die Funktionsweise gewisser Systeme - und bereits gemachte Erfahrungen eine Rolle. Ebenso entscheidend ist jedoch die richtige Grundeinstellung und der Wille, sich kontinuierlich weiterzuentwickeln und im Dialog mit den betroffenen Organisationen konkret zu einer Verbesserung beitragen zu wollen. Wichtig ist für uns jedoch vor allem auch die richtige Grundhaltung. Bug-Bounty-Programme gewähren oft sehr grosse Freiheiten und bieten einen legalen Rahmen, um diese Freiheiten auszuleben. Die Regeln und Einschränkungen, die es auf den Programmen gibt, gilt es aber einzuhalten.

Welche Möglichkeiten eröffnen sich dadurch etwa für Quereinsteiger?

Den "ethischen Hacker" als Stereotyp oder Berufsbild gibt es so nicht oder noch nicht. So könnte man eigentlich alle irgendwie als Quereinsteiger bezeichnen. Das Profil reicht vom Vollprofi mit einer soliden IT-Ausbildung wie beispielsweise ehemalige Pentester bis zum Schüler oder Studenten. Viele der Hacker sind "self-taught" und erlernen ihre Fähigkeiten im Selbststudium, mit der Teilnahme an Labs und Hacking-Challenges oder eben direkt on the Job bei der Teilnahme an Bug-Bounty-Programmen. Wir sehen aber bei unserer eigenen Community eine Tendenz zur Professionalisierung. Einige unserer Top-Hacker sind seit Beginn ihrer Karriere als Bug Bounty Hunter auf von uns gemanagten Programmen aktiv und wir konnten ihre Entwicklung und Lernkurve mitverfolgen. In unseren Programmen erhalten jedoch auch junge Talente eine Chance, sich zu beweisen. Durch unseren Matchmaking-Prozess stellen wir jedoch sicher, dass die richtigen Skillsets für ein jeweiliges Projekt vorhanden sind.

Was raten Sie jungen IT-Talenten, die sich für diese Laufbahn interessieren?

Mut, sich zu melden und sich einfach einmal an einem Bug-Bounty-Programm zu versuchen. So können sich Hacker auf unserer Webseite direkt bei uns registrieren. Wir bieten ihnen dann die Chance, sich auf einem passenden Programm zu behaupten, dass ihrem Skillset und ihrer Erfahrung entspricht. Ebenfalls empfiehlt es sich, seine eigene Nische zu finden: Indem man sich intensiv über einen längeren Zeitraum mit gewissen Technologien, Programmen oder Unternehmen beschäftigt, kann man sich gegenüber der Konkurrenz einen Vorteil sichern. Ein guter Rat ist es sicher auch, sich laufend zu informieren und den neusten Entwicklungen zu folgen. So gibt es viele Onlinepublikationen zu Schwachstellen und Angriffsszenarien, von denen man sich inspirieren lassen kann. Auch die Teilnahme an Events und Hacking Challenges hilft dabei, Kontakte zu knüpfen und den eigenen Erfahrungsschatz zu erweitern.

Was muss man mitbringen, um sich als Ethical Hacker behaupten zu können?

Ausser einem gewissen Basis-IT-Skillset braucht es ausgeprägte analytische Fähigkeiten und eine gute Beobachtungsgabe. Ein neues System präsentiert sich dem Hacker zu Beginn immer als Black Box, über die er nichts weiss. Anhand der ersten Tests und der beobachteten Reaktionen des Systems gilt es dann Schritt für Schritt, mehr über das System sowie dessen Verhalten herauszufinden und zu entschlüsseln, wie dieses im Kern aufgebaut ist. Ist man an diesem Punkt angelangt, muss man auch über die nötige Vorstellungskraft, Kreativität und Kombinatorik verfügen, um mögliche Angriffsszenarien und somit potenzielle Schwachstellen zu ermitteln. Ein breites Grundwissen und viel Erfahrung helfen hier natürlich - erfahrene ethische Hacker verfügen mit der Zeit über so etwas wie einen sechsten Sinn. Da sie ein sehr gutes Gespür für Schwachstellen entwickelt haben, agieren sie extrem fokussiert und treffen oftmals nach wenigen Versuchen ins Schwarze. Wichtig ist es auch, eine gewisse Hartnäckigkeit an den Tag zu legen und zu versuchen, das Maximum aus einer Schwachstelle rauszuholen. Oftmals ergibt sich dann aus einer scheinbar harmlosen Schwachstelle in der Kombination mit weiteren Schwachstellen ein viel grösserer Impact. Da die Belohnungen für kritische Schwachstellen deutlich attraktiver sind, lohnt sich dieser Aufwand meistens.

Welche Pläne verfolgt Bug Bounty Switzerland in dem Bereich?

Wir wollen die Schweiz hinsichtlich Cyberrisiken sicherer machen und hierzu braucht es alle, die etwas dazu beitragen können. Bis jetzt ging es in erster Linie um eine bessere Sensibilisierung der Unternehmen und darum, allgemein Aufklärungsarbeit zu leisten und ihnen eine realistische Risikoeinschätzung zu ermöglichen. Wir arbeiten nun daran, ein Schweizer Ökosystem aufzubauen, das zum Ziel hat, dass jedes Schweizer Unternehmen, das Systeme im Internet stehen hat, besser vor Cyberangriffen geschützt ist. Im Zuge dessen möchten wir unsere lokale Hacker-Community weiter ausbauen, in dem wir gezielt junge Talente fördern. Hierzu gehört für uns auch die Zusammenarbeit mit Hochschulen. Wir sehen eine grosse Chance darin, anstatt nur an künstlichen Zielen im Lab zu üben, gleich die Theorie mit der Praxis zu verbinden, echte Systeme zu testen und damit konkret zur Sicherheit der Schweiz beizutragen. Die ersten spannenden Projekte mit führenden Hochschulen laufen hier bereits.

Welche positiven Entwicklungen aus Sicht der "ethischen ­Hacker" konnten in der Schweiz bereits beobachtet werden?

Ich glaube, es ist uns gelungen, Berührungsängste und Barrieren gegenüber ethischen Hackern abzubauen. So dürfen wir mittlerweile Institutionen und Unternehmen, die mit hochsensiblen Daten arbeiten, wie Banken, Versicherungen und Spitäler, zu unseren Kunden zählen. Dazu haben sicher auch die gemeinsamen öffentlichen Auftritte mit ethischen Hackern aus unserer Community beigetragen. Auch wenn sich nicht alle von ihnen gleich gerne vor die Kamera stellen, haben sie damit einen wichtigen Beitrag geleistet, indem sie das Phänomen "ethischer ­Hacker" greifbar gemacht und ihm ein Gesicht verliehen haben. Sie stärkten damit das Vertrauen in unsere Community massgeblich - und Sicherheit ist immer noch Vertrauenssache. Auch bei den Organisationen hat ein Umdenken stattgefunden und sie sind gegenüber der Zusammenarbeit mit ethischen Hackern viel offener eingestellt. Es ist uns auch gelungen, aufzuzeigen, dass sowieso kein Weg an "Hackerangriffen" vorbeiführt und es früher oder später jeden treffen kann. Es gilt, hier einfach proaktiv die Kontrolle zu übernehmen und die echten Hacker mit ihren eigenen Mitteln zu schlagen - nämlich mit "ethischen Hackern".

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.