"Wir orchestrieren die besten Hacker – menschlich wie maschinell "

2020 ist Bug Bounty Switzerland mit dem Ziel gestartet, ­Bug-Bounty-Programme in der Schweiz zu etablieren. Wie nah sind Sie diesem Ziel schon gekommen?

Sandro Nafzger: Wir haben dieses Ziel weitgehend erreicht. Seit April 2023 ist die Zusammenarbeit mit ethischen Hackern in Form von Bug-Bounty-Programmen offiziell in der Nationalen Cyberstrategie (NCS) verankert. Zudem haben wir unser Vorhaben umgesetzt, diese Art von Sicherheitstests allen Schweizer Unternehmen zugänglich zu machen. Im November 2024 haben wir unser Angebot vollständig in ein einfaches Plug-and-Play-Produkt überführt – nutzbar ohne Vorkenntnisse, ohne interne Security-Ressourcen und zu einem klar kalkulierbaren Pauschalpreis.

Was sind Ihre Learnings aus den vergangenen fünf Jahren? Was funktioniert gut – und was nicht?

Die vergangenen Jahre haben gezeigt, wie mächtig die Bug-Bounty-Methode ist. Grundsätzlich kann alles getestet werden, was im Internet exponiert ist – von multinationalen Konzernen über staatliche Systeme bis hin zu einzelnen Produkten, Subsystemen oder Codes. Ich kenne keine andere Methode, mit der man auf Knopfdruck die besten Experten weltweit aktivieren kann – und dies hochgradig skalierbar. Es ist ein Modell, das für alle Beteiligten grossen Mehrwert schafft und Spass macht. Die zentrale Frage lautet daher nicht, ob Bug Bounty, sondern wie man diese Methode am sinnvollsten einsetzt – und genau dort liegen die grössten Herausforderungen.

Welche Herausforderungen sind das konkret?

Die reine Beschaffung einer Bug-Bounty-Plattform reicht nicht. Sie ist letztlich nur ein Tool – und Tools nützen wenig ohne das passende Know-how, Personal, Zeit/Lernkurve und Budget. Die meisten Organisationen verfügen schlicht nicht über die nötigen Ressourcen und Möglichkeiten, um daraus nachhaltigen Nutzen zu ziehen. Hinzu kommt: Unternehmen können meist nur auf ihre eigenen Daten blicken – dabei bräuchte es ein umfassendes Lagebild, um Zusammenhänge zu erkennen und die richtigen Entscheidungen zu treffen. Alles manuell zu steuern, ist zudem längst zu langsam. Ein weiteres Problem: Viele Firmen wissen gar nicht genau, was, wo und wie sie eigentlich testen müssen. Fast jedes grössere Unternehmen führt Sicherheitstests durch, aber meist auf Basis einer internen, unvollständigen Perspektive und Einschätzung. Entscheidend ist jedoch der Blick von aussen – also von echten Hackern, die verstehen, was gerade passiert und was morgen relevant wird. Dieses Umfeld verändert sich rasant. Aber genau auf solchen Echtzeitinformationen sollte die Security-Testing-Strategie eines Unternehmens heute basieren – kontinuierlich adaptiv und idealerweise autonom ausgeführt.

Welche Rolle spielt KI dabei?

Eine zentrale. Künstliche Intelligenz bringt enorme Geschwindigkeit, Kontextverständnis und Automatisierung – und ermöglicht so intelligente, datengetriebene Entscheidungen in Echtzeit. Für Bug-Bounty-Programme bedeutet das: Sie können heute komplett datengestützt, hocheffizient und nachhaltig wirkungsvoll betrieben werden. Gros­se, komplexe Angriffsoberflächen lassen sich kontinuierlich überwachen, während gleichzeitig sehr spezifische Fragen sofort adressiert werden können, sobald sie relevant werden. Beispielsweise können das Scoping und die Planung eines Tests automatisch generiert und fortlaufend optimiert werden – basierend auf einem semantischen Verständnis der Organisation und ihres gesamten Kontextes. Dafür erstellen wir einen «Semantic Living Digital Twin» – das digitale Gehirn einer Organisation, das mit jeder Test­iteration dazulernt und besser wird. Auch die intelligente Orchestrierung von Hackern funktioniert KI-gestützt: Unser AI-Matchmaking sorgt dafür, dass genau die richtigen Experten – zur richtigen Zeit, am richtigen Ort, mit dem richtigen Auftrag – aktiv werden. Komplexe technische Befunde werden dabei so aufbereitet, dass alle Ebenen – vom Entwickler bis zum Verwaltungsrat – ein zum Kontext passendes Lagebild erhalten. Statt hunderter technischer Meldungen entstehen klare, priorisierte Handlungsempfehlungen – in natürlicher Sprache, mit Business-Relevanz. Mit Agentic AI können wir heute vieles automatisieren, was wir in den letzten fünf Jahren manuell perfektioniert haben. Das Stichwort lautet: Service-as-Software.

Klingt fast so, als seien Sie heute eine Technologiefirma.

Absolut. Wir verstehen uns schon lange als Technologie­firma. 2021 haben wir die erste Schweizer Bug-Bounty-Plattform lanciert, 2023 begann die Integration von KI. Dank unserer Teilnahme am Microsoft-for-Startups-Programm wurden wir gezielt gefördert und erhielten privilegierten Zugang zu Azure OpenAI – was uns enorme technologische Möglichkeiten eröffnete. Seither fokussieren wir konsequent darauf, unsere Technologie und unsere einzigartige Datenbasis weiterzuentwickeln – zu sammeln, zu labeln und zu strukturieren, um ihr volles Potenzial mit KI auszuschöpfen. Vor fünf Jahren war unser Ziel, Bug-Bounty-Programme in die Schweiz zu bringen. In den kommenden fünf Jahren lautet unsere Mission: die Zusammenarbeit mit ethischen Hackern im Zeitalter der KI neu zu definieren – sowie Security Testing global neu zu denken und umzusetzen.

Das klingt nach grossen Ambitionen. Wohin geht die Reise?

Ja, die Ambitionen sind gewachsen – aber auch die technologischen Möglichkeiten, unser Marktverständnis und welche Rolle wir dabei einnehmen können. Der globale Security-Testing-Markt wächst rasant – mit einer durchschnittlichen jährlichen Wachstumsrate von rund 25 Prozent und einer erwarteten Marktgrösse von 50 Milliarden US-Dollar bis 2030. Treiber sind explodierende Angriffsflächen, der vollständige Wechsel auf Cloud- und SaaS-Modelle sowie zunehmender regulatorischer Druck. Gleichzeitig ist der Markt hoch fragmentiert, komplex und viel zu langsam – insbesondere bei der Planung und Auswertung von Tests, wo noch viel manuell geschieht. Der Geschwindigkeits-Gap zwischen Angreifern und Verteidigern wächst stetig. Zudem laufen die Tests oft sehr statisch ab – halt genau so, wie ursprünglich geplant. Dabei wäre es wichtig, jeden Erkenntnisgewinn laufend zu berücksichtigen, damit der laufende Test mit jedem Tag präziser wird. Wir haben dieses Problem gelöst: Unsere Platform integriert den gesamten Security-Testing-Prozess End-to-End, kontinuierlich lernend und immer effizienter werdend. Daraus ist ein intelligentes Flywheel entstanden, das laufend folgende Schritte durchläuft: Scope → Match → Execute → Validate → Learn.

Braucht es in Zukunft überhaupt noch menschliche Hacker?

Ja, mehr denn je. Je technologischer und intelligenter alles wird, desto wichtiger bleibt der Mensch – mit Intuition, Herz, Kreativität und kritischem Denken. Maschinen können das nicht ersetzen. Unsere Hacker entwickeln ständig neue Angriffstechniken und Muster – diese hochwertigen, menschlichen Daten sind die Basis für starke KI-Systeme. Und genau auf diese perfekte Symbiose zwischen kollektiver menschlicher sowie fortschrittlichster künstlicher Intelligenz arbeiten wir Tag für Tag hin. Was uns einzigartig macht, ist unser kontextbasiertes Matchmaking und unsere Orchestrierungsfähigkeit. Damit bringen wir ethische Hacker präziser und wirkungsvoller zum Einsatz als jeder andere Anbieter. Gerade jetzt, wo offensive AI-Agents wie Pilze aus dem Boden schiessen und die Testing Execution Capacity immer zugänglicher und automatisierter wird, braucht es intelligente Orchestrierung. Hier entsteht künftig der grösste Bedarf – und genau hier liefern wir den grössten Mehrwert: Wir orchestrieren die besten Hacker – menschlich wie maschinell.