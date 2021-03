Cyberangriffe Diese «ethischen Hacker» aus Luzern helfen Firmen, ihre IT-Löcher zu stopfen Dringen Hacker mit guten Absichten in Firmennetzwerke ein, spricht man von «Bug Bounty». Eine neue Firma mit Sitz in Luzern will diesen Standard für IT-Sicherheitstests nun in der Schweiz vorantreiben. Der Bund und Microsoft unterstützen das Vorhaben. Maurizio Minetti 04.03.2021, 11.45 Uhr

Das Team von Bug Bounty Switzerland von links nach rechts: Florian Badertscher (CTO), Matthias Jauslin (COO), Lukas Heppler (CSO) und Sandro Nafzger (CEO). Bild: PD

Cyberangriffe auf Unternehmen sind allgegenwärtig. Allein in der Zentralschweiz gab es in den letzten Jahren einige aufsehenerregende Attacken. 2019 traf es die Egolzwiler Meier Tobler und die Rothenburger Auto AG, letztes Jahr die Muttergesellschaft der Baarer Rittmeyer. Das sind lediglich einige bekannte Fälle; die meisten Unternehmen halten Cyberattacken nämlich geheim. Die Masche der Kriminellen ist dabei fast immer die gleiche: Angreifer verschaffen sich über Schwachstellen in der Informatik Zugriff auf Daten, verschlüsseln sie und erpressen die Unternehmen damit. Selbst wenn betroffene Firmen nicht bezahlen, gehen solche Attacken ins Geld, weil aufgrund der Blockade Umsatz verloren geht und die Behebung des Schadens aufwendig sein kann.

In den USA gibt es seit einigen Jahren ein Verfahren, womit Firmen die Sicherheit ihrer Netze testen können. Unternehmen laden IT-Spezialisten ein, das firmeneigene Netz anzugreifen. Entdecken diese eine Sicherheitslücke (Bug), wird diese umgehend geschlossen – und der Entdecker erhält eine Belohnung (Bounty). Das Verfahren nennt man deshalb «Bug Bounty». Je gravierender die Lücke, desto höher die Belohnung. Im Gegensatz zu herkömmlichen Verfahren, in denen eine begrenzte Anzahl Security-Experten eines Drittunternehmens die Kundennetze erforschen, nehmen in der Regel Hunderte unabhängige und internationale Experten an einem Bug-Bounty-Programm teil.

Weisse Hüte gegen schwarze Hüte

Bug Bounty ist in den USA schon seit Jahren weit verbreitet, hierzulande aber noch nicht. Die Swisscom war Mitte 2015 das erste Schweizer Unternehmen mit einem eigenen Bug-Bounty-Programm, danach folgte die Schweizerische Post. Ein neues Unternehmen mit Sitz in Luzern will diese Form der Cyberprävention nun in der Schweiz vorantreiben. «Die Frage ist nicht, ob wir das IT-System eines Unternehmens knacken können, sondern ob es nur zwei Stunden oder zwei Tage dauert», sagt Sandro Nafzger. Der 35-Jährige ist CEO des Luzerner Start-ups Bug Bounty Switzerland GmbH. Dabei handelt es sich um die erste Schweizer Bug-Bounty-Plattform.

Nafzger hat das Bug-Bounty-Programm der Post aufgebaut, sein Kollege Florian Badertscher jenes der Swisscom. Beide arbeiten nach wie vor für Post und Swisscom, doch letztes Jahr haben sie sich zusammen mit weiteren Partnern entschieden, ihre Expertise zu vereinen und gemeinsam im Auftrag von anderen Schweizer Unternehmen Schwachstellen zu suchen. Dafür greifen sie auf ein Netzwerk ethischer Hacker zurück. So oder auch «White Hats» nennt man Hacker, die gute Absichten haben – im Gegensatz zu Cyberkriminellen, die man auch «Black Hats» nennt.

Dass Bug Bounty Switzerland einen Nerv getroffen hat, zeigt die hohe Nachfrage. Das Jungunternehmen hat bis dato bereits Hunderte Systeme getestet, vor allem von grossen Schweizer Firmen, berichtet Nafzger. «Meistens schaffen wir es, innerhalb weniger Stunden in ein System einzudringen und hochkritische Sicherheitslücken zu finden. Die Kunden sind dann jeweils schockiert, wie leicht das geht. Aber auch froh, weil wir ihnen immer eine detaillierte Reproduktionsanleitung mitliefern. Damit können die gefundenen Probleme meist sehr schnell behoben werden.»

Nationales Zentrum für Cybersicherheit und Microsoft an Bord

Bug Bounty Switzerland ist in Luzern angesiedelt, weil Nafzger hier bereits seit 2019 ein IT-Beratungsunternehmen führt. Mittlerweile arbeiten für die Firma rund 15 Spezialisten, obwohl die Firma erst vor knapp einem Jahr gegründet worden ist. «Wir wachsen sehr schnell», sagt Nafzger. Kundennamen will Nafzger nur wenige nennen, etwa die Ringier-Mediengruppe, den Energieversorger BKW, die Bernerland Bank oder das Universitätsspital Zürich. Auch Zentralschweizer Unternehmen nehmen die Dienstleistungen von Bug Bounty Switzerland in Anspruch.

«Ethische Hacker können komplexe Fehler entdecken und aufzeigen», sagt der Wirtschaftsinformatiker. Einige Unternehmen bräuchten aber noch einen Mentalitätswandel, um diese Art und Weise der Fehlersuche zuzulassen. «Bug Bounty steht etwas im Widerspruch zur zurückhaltenden Kultur in der Schweiz, in der immer alles perfekt ist und Fehler etwas Schlechtes sind.» In der Schweiz habe sich die amerikanisch geprägte positive Fehler- und Lernkultur noch nicht wirklich durchgesetzt, räumt Nafzger ein. «Normalerweise glauben Unternehmen in der Schweiz, dass ihre Systeme sicher sind, was ein grosser Trugschluss ist.» Es brauche sicher noch etwas Zeit, bis das Konzept in der Breite bekannt sei und zum neuen Standard für IT-Sicherheitstests werde. Daran führe aber kein Weg vorbei, ist Nafzger überzeugt.

Insbesondere im öffentlichen Sektor und in regulierten Industrien ist zudem ein Datenstandort in der Schweiz oft eine zwingende Voraussetzung, um Bug-Bounty-Plattformen zu betreiben. Darum ist Bug Bounty Switzerland kürzlich eine Partnerschaft mit Microsoft Schweiz eingegangen. Zwar ist Microsoft ein US-Konzern, doch betreibt der Software-Riese auch in der Schweiz Cloud-Rechenzentren, die Schweizer Gesetzen unterstehen. Das Luzerner Start-up kann nun seine Plattform in Schweizer Rechenzentren von Microsoft betreiben und wird durch technische Expertise unterstützt. Ausserdem hat Bug Bounty Switzerland jüngst mit dem Nationalen Zentrum für Cybersicherheit (NCSC) eine strategische Zusammenarbeit gestartet. Florian Schütz, Delegierter des Bundes für Cybersicherheit und Leiter des NCSC, unterstützt das Start-up als Berater.