“Hacker finden die Schwachstellen, die man selbst nicht finden kann.” – HackerOne im Interview

White-Hat-Hacker sollen in der Finanzbranche Schwachstellen aufdecken, Sicherheitslücken erkennen und damit Banken und Versicherer vor größeren Schäden bewahren. Laurie Mercer, Security Engineer bei HackerOne, erklärt im Interview, warum man kein ungutes Gefühl dabei haben muss, Hacker auf das eigene Institut loszulassen, und weshalb echte Hacker eine clevere Ergänzung zu herkömmlichen Formen der Schwachstellen-Erkennung seien.

Herr Mercer, einen Hacker auf die eigene Infrastruktur loszulassen – ist das eine clevere Idee? Kann dabei nicht gerade besonders viel schiefgehen?

Die schwerwiegendsten Sicherheitsvorfälle der Vergangenheit sind allesamt darauf zurückzuführen, dass die betroffenen Unternehmen nicht auf Hacker zurückgegriffen haben, um Schwachstellen zu identifizieren. Denn im Gegensatz zu IT- und Entwicklerteams werfen Hacker von außen einen Blick auf Softwarecodes und IT-Konfigurationen, genauso wie es ein Cyberkrimineller täte. Auf diese Weise können sie Schwachstellen aufspüren, die ansonsten erst auffallen, wenn sie bereits von Angreifern ausgenutzt werden.

Da die Arbeit der ethischen Hacker immer im Rahmen eines Vulnerability Disclosure Program (VDP) stattfindet, mittels dem für beide beteiligte Parteien Rechtssicherheit bei diesem Vorgehen geschaffen wird, besteht für die Verantwortlichen in den Unternehmen kein Anlass zur Sorge. Denn die Hacker sind vertraglich verpflichtet, die von ihnen gefundenen Sicherheitslücken ordnungsgemäß zu dokumentieren und dem Unternehmen zu melden.

Die Hacker sind durch diese Vereinbarung auch insofern geschützt, als sie bei Einhaltung der Richtlinien keine rechtlichen Konsequenzen für ihre Tätigkeit befürchten müssen.”

85 Prozent der Hacker in der HackerOne-Community widmen sich dem Thema Hacken, um Erfahrungen zu sammeln und ihre Fähigkeiten zu erweitern, und 62 Prozent begreifen das Hacken als wertvoll für ihre Karriere. 47 Prozent der Hacker gehen dieser Tätigkeit nach, um Unternehmen und Einzelpersonen vor Cyberbedrohungen zu schützen.

Was ist der Hauptvorteil, den man mit einem White-Hat-Hacker gewinnt?

Ganz einfach: Hacker finden die Schwachstellen, die man selbst nicht finden kann.

Kein noch so begabter Security-Experte kann alle Schwachstellen eines Unternehmens finden. Selbst wenn dafür ein unbegrenztes Budget zur Verfügung stünde, wäre man nicht in der Lage, die besten Hacker der Welt zu rekrutieren. Denn die Kriminellen sind gut organisiert, gut bezahlt und müssen nicht den ganzen Tag mit Teams- bzw. Zoom-Calls zubringen.

Hacker gleichen diese Asymmetrie aus, indem sie die bestehenden Sicherheitsteams und Sicherheitstools durch einen vielfältigen und kreativen Ansatz zum Auffinden von Schwachstellen ergänzen.”

An dieser Stelle ist es jedoch auch wichtig zu erwähnen, dass bei der Suche nach Sicherheitslücken nicht nur ein einzelner Hacker die Systeme eines Unternehmens auf Herz und Nieren prüft. Stattdessen ist ihre Arbeit Teil eines größeren Bug-Bounty-Programms, an dem eine Vielzahl von Hackern – manchmal tausende – mit unterschiedlichen Arbeitsmethoden und Ansätzen beteiligt ist. Das wiederum erhöht die Wahrscheinlichkeit, dass sie Schwachstellen entdecken, die dem Unternehmen bisher verborgen geblieben sind.

Ist dieser Ansatz im Finanzbereich aber ebenso gefragt, wie das in anderen Wirtschaftssektoren der Fall ist?

Der Einsatz von Hackern im Finanzsektor nimmt weiter zu: So stieg im Jahresvergleich die Anzahl der entsprechenden Kundenprogramme dieser Branche auf der HackerOne-Plattform um 75 Prozent. Allerdings muss man klar sagen: Nach und nach erkennen auch andere Branchen den Wert der Zusammenarbeit mit Hackern und haben – wie Computer Hardware mit 250 Prozent – deutliche höhere Wachstumsraten, allerdings von einem ganz anderen Niveau aus.

8 Prozent aller Bug-Bounty-Programme betreffen die Finanzbranche.”

Nur Unternehmen aus den Bereichen Internet- & Online-Services (27 Prozent) sowie Computersoftware (20 Prozent) zeichnen für noch mehr Programme verantwortlich. Alle anderen haben einen geringeren Anteil an den Bug-Bounty-Programmen.

Interessanterweise haben sich im DeFi-Sektor Bug Bounties bereits als Standard etabliert. Hier erhielt kürzlich ein Hacker 2 Millionen US-Dollar für die Entdeckung einer Schwachstelle in einem Smart Contract.

Im Bereich der Finanzdienstleistung gibt es eine Reihe regulatorischer und organisatorischer Besonderheiten, die ihn von anderen Branchen unterscheidet. Zwei Fragen hierzu:

Wissen White-Hats, welche besonderen Regularien sie abklopfen müssen? 

Es gibt zwei Möglichkeiten, die Sicherheit von Software zu gewährleisten. Die eine ist die Durchführung eines Audits, bei dem ein erfahrener Fachmann die Software anhand eines von der Aufsichtsbehörde erstellten Standards überprüft und auf etwaige Probleme hinweist. Die andere besteht darin, allen Interessierten zu sagen: „Wir haben diese Software gerade fertiggestellt und glauben, dass sie ziemlich sicher ist – wer eine Sicherheitslücke findet, dem zahlen wir 30.000 Euro.“

Inwieweit hat dies Auswirkungen auf entsprechende Bug-Bounty-Programme in diesem Sektor?

Die Durchführung eines Bug-Bounty-Programms im Finanzdienstleistungssektor ist nicht so einfach wie die Durchführung eines ähnlichen Programms auf einer B2C E-Commerce-Plattform. Die Herausforderungen hierbei lassen sich in zwei Worten zusammenfassen: Zugang und Stabilität.

Auf einer E-Commerce-Plattform kann jeder ein Konto anlegen und auf die Funktionen zugreifen. Das Anlegen eines Bankkontos ist schwieriger, und oft können Hacker selbst keine Konten anlegen. Entweder weil es zu schwierig ist oder weil sie sich am falschen Ort befinden – so zum Beispiel ein argentinischer Hacker, der versucht, ein Bankkonto in Deutschland anzulegen.

Darüber hinaus basieren viele Bankensysteme auf veralteter Technologie, und die Betriebsteams befürchten, dass die Systeme ausfallen und Kunden keinen Zugriff mehr hätten, wenn 2 oder gar 300 Hacker damit beginnen, ihre Systeme genauer unter die Lupe zu nehmen.

Das Problem des Zugangs kann wiederum auf zwei Arten angegangen werden. Die erste besteht darin, sich auf die „Perimetersicherheit“ zu konzentrieren. Wie Hunde, die am Gefängniszaun patrouillieren, können Hacker im Rahmen eines öffentlichen Bug-Bounty-Programms von außen nach innen schauen, was zuweilen als „Black Box Test“ bezeichnet wird. Dies ist ein Ansatz, der von Branchengrößen wie Goldman Sachs verfolgt wird. Die zweite Möglichkeit besteht darin, eine Sandbox-Umgebung zu schaffen, in der getestet werden kann. Bei dieser Sandbox sollte es sich um eine Kopie der Produktionsumgebung handeln, jedoch ohne echtes Geld und ohne reale Benutzerdaten. In einer solchen Sandbox ist es problemlos möglich, Hackern ein Konto zur Verfügung zu stellen, auf Basis dessen sie nach Schwachstellen suchen können, ohne Gefahr zu laufen, eine Unterbrechung des Dienstes für die Benutzer zu riskieren.

Gibt es Ihrer Erfahrung nach Sicherheitslücken bzw. Fehlkonfigurationen, die im Finanzdienstleistungssektor besonders häufig anzutreffen sind. Worauf müssen die IT-Verantwortlichen ein größeres Augenmerk legen?

Die Anfälligkeit für bestimmte Formen von Sicherheitslücken variiert von Sektor zu Sektor. Und auch die Finanzdienstleistungen bilden hier keine Ausnahme. Wie unser Ende letzten Jahres veröffentlichter ‚Hacker-Powered Security Report‘ zeigt, gibt es im Finanzumfeld eindeutige Trends in puncto Sicherheitslücken: In diesem Industriezweig sind es vor allem Schwachstellen auf Basis von Cross-Site Scripting (XSS) und SQL Injection, die den Security-Verantwortlichen zu schaffen machen.

Aber auch IDOR-Schwachstellen (Insecure Direct Object Reference) sind in diesem Zusammenhang von Bedeutung. IDOR-Lücken sind Fehler in der Zugriffskontrolle, oft in Web-Apps oder APIs zu finden, bei denen ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser dabei aber nicht authentifiziert bzw. kontrolliert wird.

Externe zu engagieren, um die eigenen Systeme prüfen zu lassen, fällt so manchem IT-Verantwortlichen nicht leicht. Ist diese Hemmschwelle bei Banken und anderen Finanzakteuren besonders ausgeprägt? Und wie begegnen Sie diesen Vorbehalten?

Hier gibt es zwei emotionale Gesichtspunkte zu beachten: Der erste besteht in der Befürchtung, ein erhöhtes Risiko für die Kunden aufgrund einer Datenschutzverletzung einzugehen. Der zweite ist die Sorge, dass dabei eine Schwachstelle offengelegt werden könnte, die einen Beleg dafür liefert, dass man seine Arbeit nicht richtig gemacht hat.

Um dem ersten Aspekt zu begegnen, muss man in der Lage sein, nach Schwachstellen zu suchen und gleichzeitig das Risiko für die Kunden zu minimieren.”

Dies kann durch Tests in einer Sandbox oder einer speziellen Testumgebung erreicht werden, die nicht mit realen Kundendaten betrieben werden.

Um die zweite Befürchtung zu zerstreuen, ist es wichtig, eine veränderte Sicherheitskultur herbeizuführen, um Feedback, auch von Außenstehenden, anzunehmen. Angesichts der Komplexität heutiger Technologien ist es unmöglich, in allen Bereichen ein Experte zu sein, so unterscheidet sich beispielsweise Objective-C völlig von Java. Indem man jedoch die Anzahl der Personen insgesamt erhöht, die einen Blick auf ein System werfen, kann verständlicherweise eine bessere Absicherung erzielt werden. Und man kann sich somit auf die Fähigkeiten konzentrieren, bei denen ein Mangel besteht.

Gibt es dabei Unterschiede beispielsweise zwischen US-Unternehmen und Firmen aus Deutschland?

Zweifelsohne gibt es besagte Unterschiede zwischen US-Firmen und deutschen Organisationen – besonders hinsichtlich der Offenheit gegenüber der IT. In den USA ist man tendenziell eher geneigt, technologisch neue Wege zu beschreiten. Und auch die Finanzbrache bildet hier keine Ausnahme. Das bedeutet jedoch nicht, dass Finanzdienstleister hierzulande nicht auch auf eine Modernisierung mittels IT setzen. Dennoch lässt sich in Deutschland zuweilen eine eher abwartende Haltung gegenüber Neuerungen erkennen.

Erst wenn sich eine Innovation in der Praxis bewährt hat, wird sie auch hier gemeinhin übernommen.”

Wenn es jedoch um die Unterstützung durch White-Hat-Hacker geht, gibt es eigentlich keinen Grund mehr, sich in Zurückhaltung zu üben. Denn weltweit konnten Unternehmen aller Branchen mit deren Hilfe ihre Systeme und Infrastrukturen sicherer machen. Und dies mit vergleichsweise niedrigen Kosten.

Gibt es deutsche Unternehmen aus der Finanzbranche, die Sie öffentlich als HackerOne-Kunde nennen dürfen? 

In der Tat haben wir auch in Deutschland Kunden aus dem Finanzwesen. Allerdings ist IT-Sicherheit hierzulande nach wie vor ein sensibles Thema, sodass wir die Namen dieser Kunden derzeit leider nicht öffentlich nennen dürfen.

Herr Mercer, vielen Dank für das Gespräch.ft