Auf Käferjagd für Firmen und den Staat

Unternehmen und auch die Bundesverwaltung setzen zunehmend auf legale Cyberattacken, um Sicherheitslücken aufzuspüren – bevor es Kriminelle tun.

Bild: zvg

Sandro Nafzger ist CEO und Co-Gründer von Bug Bounty Switzerland AG

«Unserem KMU wird schon nichts passieren», «Wer soll sich denn für unser Unternehmen interessieren?», «Wir sind doch viel zu klein, um gehackt zu werden» – Sandro Nafzger muss bei solchen Aussagen schmunzeln: «Gehackt wird, was das Zeug hält. Jedes IT-System das im Internet steht wird angegriffen. Unternehmen bekommen davon oft nicht viel mit – bis es zu spät ist». Viele Unternehmen hätten noch nicht erkannt, dass sie immer wie verletzlicher werden.

Auf die harte Tour

«Sie lernen das oft auf die harte Tour, nach einer bösartigen Cyberattacke», weiss Nafzger. Die Bedrohung nehme denn auch in allen Bereichen rasant zu: «Für ein Unternehmen ist es fatal zu glauben, dass seine Grösse oder seine Branche es vor einer Cyberattacke bewahren würden».  Besonders spannend für Cyberkriminelle seien Ziele, die genug Geld haben, um sich auf eine Erpressung einzulassen, sich aber noch nicht gut genug schützen. Also dort wo Aufwand und Ertrag stimmt für die Kriminellen. «In diese Kategorie fallen viele Schweizer KMU», betont Sandro Nafzger.

«Für ein Unternehmen ist es fatal zu glauben, dass seine Grösse oder seine Branche es vor einer Cyberattacke bewahren würden»

Sandro Nafzger, CEO & Co-Gründer von Bug Bounty Switzerland

Der 39-Jährige ist «Übersetzer» zwischen ethischen Hackern und Unternehmen, die durch legale Cyberattacken ihre Sicherheit und Widerstandsfähigkeit proaktiv verbessern wollen. Er sagt: «Wir haben  Zugriff auf über 10’ 000 ethische Hacker aus der ganzen Welt und können diese quasi auf Knopfdruck aktivieren um ein Unternehmen zu schützen». Sandro Nafzger ist CEO & Co-Gründer von Bug Bounty Switzerland mit Sitz in Zürich, das mit dem Einsatz von ethischen Hackern Sicherheitslücken in Unternehmen aufspürt. Es klingt wie eine Schatzsuche, wenn er davon erzählt, wie die ethischen Hacker nächtelang auf der Jagd sind nach Sicherheitslücken, sogenannten Bugs oder Käfern – und in den meisten Fällen schnell fündig werden. Bei einem Schweizer Spital etwa waren Cyberkriminelle bereits ins IT-System eingedrungen, durch die ethischen Hacker konnten die Lücken gestopft und damit Schlimmeres verhindert werden.

«Ich selbst bin kein Bug-Jäger»

Und Nafzger selbst, begibt er sich auch auf die Jagd? «Nein», er selbst sei kein Hacker. So habe ihn die IT zwar schon immer fasziniert, bei der Frage, ob er seine Zeit lieber mit dem Computer oder mit Menschen verbringe, gäbe es allerdings eine klare Antwort. «Ich bin sehr gerne unter Menschen und weniger der introvertierte Tüftler» Wobei man ihm die Bewunderung für die «Sicherheitsforschenden», wie er die ethischen Hacker nennt, im Gespräch deutlich anmerkt. «Das sind absolute Technik-Freaks – auf eine sehr positive und gute Art. Die gehen den Dingen wirklich auf den Grund, blicken hinter die Materie und sind mit einer unglaublichen Ausdauer und Neugierde bei der Sache»So könne eine simple Pizza-Bestellung einem ethischen Hacker auch mal ein paar Tage kosten. «Anhand dessen, dass er den Code analysiert, kann er hinter das gesamte System blicken, sieht wohin seine Daten gehen und stellt fest, wo es Sicherheitslücken und Angriffsmöglichkeiten gibt», erzählt Sandro Nafzger.

Virtuelles Schutzschild für die Schweiz

Mit seinem 25-köpfigen Team organisiert Nafzger im Auftrag von Unternehmen und Verwaltungen hunderte von solchen legalen Cyberattacken. Im Rahmen dieser sogenannten Bug Bounty-Programme suchen die ethische Hacker dann aktiv nach Schwachstellen in IT-Systemen.  Auch die Bundesverwaltung setzt Bug Bounty als Sicherheitsmassnahme zur Erhöhung ihrer Cyberresilienz ein. Unter der Führung des Bundesamts für Cybersicherheit (BACS) und in Zusammenarbeit mit Bug Bounty Switzerland wurden seit Ende 2022 im Rahmen des Bug-Bounty-Programms insgesamt 143 gültige Schwachstellen gefunden, 26 davon waren als kritisch eingestuft. Es wurden total 143’000 Franken als Prämien an die ethischen Hacker ausbezahlt. Das BACS informiert regelmässig zu den Ergebnissen des Bug-Bounty-Programms der Bundesverwaltung. Die aktuellen Zahlen werden laufend auf der Internetseite des BACS publiziert.

Cyber Risiken proaktiv identifizieren

«Unser Ziel ist es, ein virtuelles Schutzschild über die ganze Schweiz zu legen», sagt Nazfger. Zu denken, dass hundertprozentige Sicherheit ein Zustand sei, der irgendwann erreicht werden könne, gehöre der Vergangenheit an. Heute ginge es darum, zu lernen, mit den Gefahren umzugehen, also seine Cyber Risiken proaktiv zu identifizieren und seine Cyber Resilienz kontinuierlich zu verbessern. Kein IT-System ist perfekt, Schwachstellen gibt es fast überall. Umso wichtiger sei es, dass es die Guten sind, die diese Schwachstellen aufspüren.

«Schwachstellen gibt es fast überall. Umso wichtiger sei es, dass es die Guten sind, die diese Schwachstellen aufspüren»

Wie gross ist die Nachfrage nach Bug Bounty Programmen bei KMU? Bislang würden sie erst sehr vereinzelt genutzt.  «Ein Grund ist sicher auch die noch tiefe Bekanntheit von ethischem Hacking», sagt Sandro Nafzger. Das soll sich künftig ändern: Bug-Bounty-Programme und die Zusammenarbeit mit ethischen Hackern wurde als Schwerpunkt in die Nationale Cyberstrategie (NCS) aufgenommen. Es ist eine wichtige Massnahme, um die Cyberresilienz in der Schweiz zu stärken und sichere und verfügbare digitale Dienstleistungen und Infrastrukturen in der Schweiz zu ermöglichen.

Anna Birkenmeier

Redaktion Zürcher Wirtschaft

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist informativ.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist ausgewogen.

icon_thumbs_up
icon_thumbs_down

Anzeige