Banken und Hacker – warum nicht gemeinsam Schwachstellen beseitigen?

Seit Beginn der Corona-Krise ist die Anzahl der Ransomware-Attacken auf Finanzinstitute um den Faktor neun gestiegen, die Anzahl der Cyberangriffe insgesamt hat sich mehr als verdoppelt. Dies berichten 25 CISOs führender Finanzunternehmen im Modern Bank Heists 3.0 von Vmware Carbon Black (auch hier im IT-Finanzmagazin). Darüber hinaus zeigt die jüngste Untersuchung von Hackerone, einer Bug-Bounty-Plattform, dass 70 Prozent der deutschen CISOs glauben, dass ihre Organisation aufgrund von COVID-19 mit höherer Wahrscheinlichkeit eine Datenverletzung erleiden wird. Daraus wird deutlich, wie wichtig eine umfassende Sicherheitsstrategie für Firmen der Finanzbranche ist.

von Laurie Mercer, Security Engineer bei HackerOne

Hierzu investieren diese Unternehmen große Summen in Firewalls, Virenscanner und andere Technologien, um ihre IT-Sicherheit und die Qualität von Software, Apps und Webseiten zu verbessern. Dazu gehören in der Regel auch Lösungen für das Penetration-Testing (auch Pen Testing), die automatisiert diese neuen Anwendungen, Webseiten, Apps und andere Software-basierte Lösungen auf technische Schwachstellen hin analysieren sollen. Kaum überraschend: Es bleiben auch nach dem Einsatz der oben genannten technischen Lösungen Schwachstellen in der betreffenden Software, Website oder App zurück – und diese gilt es zu entdecken und zu beheben.

Beispiel Online-Banking: Als Plattform, die über das Internet verfügbar ist, bietet sie versierten Hackern unter Umständen Zugang auf die Datenbanken des Finanzinstituts mit Millionen sensibler Kundendatensätzen. Und sowohl der Handel mit diesen Daten als auch die Manipulation von Finanztransaktionen oder betrügerische Abbuchungen sind aus Sicht krimineller Hacker äußerst lohnenswerte Ziele.

Entsprechend gilt es für die Unternehmen, ein Höchstmaß an Sicherheit bereits bei der Entwicklung der Banking-Apps, der Webseiten oder der Anwendungen zu gewährleisten.”

Eine Option hierbei ist es, diejenigen am Thema Security zu beteiligen, deren kriminelles Pendant später besonderes Interesse daran haben, die Schwachstellen dieser Lösungen auszuhebeln und in ihrem Sinne auszunutzen – die Rede ist von Hackern.

Anreize für legales Hacking

Spezielle Bug-Bounty-Plattformen helfen Unternehmen dabei, mittels eines Prämiensystems (sogenannten Bug Bounties) mit White-Hat-Hackern, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen, zusammenzuarbeiten. Letztgenannte überprüfen die Lösungen einer Firma auf Schwachstellen, gefundene Schwachstellen werden dokumentiert und an den Auftraggeber zurückgespielt, damit dieser die Lücken beseitigen kann. Dass die Hacker dabei aber auch auf andere Probleme stoßen, beispielsweise funktionelle Bugs, steigert obendrein auch die Qualität der Software und Anwendungen über den reinen Sicherheitsaspekt hinaus. Software, Webseiten oder Apps nur mit Hilfe technischer Lösungen zu prüfen und so zu riskieren, dass Sicherheitslücken unentdeckt bleiben, die in der Folge ausgenutzt werden können, ist zweifelsohne ein riskantes Spiel mit dem Vertrauen der eigenen Kunden.

Besser wäre es, wenn „gute“ Hacker versuchen, die Anwendungen bzw. das Online-Banking zu hacken, dem Anbieter die dabei festgestellten Einfallstore gut dokumentiert melden und diese Tore geschlossen werden können. Die Hacker erhalten dafür einen entsprechenden Lohn, die Bug Bounty. Auf diesen Bereich haben sich verschiedene Unternehmen wie Hackerone spezialisiert, die hierfür entsprechende Plattformen bieten, um den Kontakt zwischen White-Hat-Hacker und Firmen herzustellen.

Zur Beachtung

Doch da­bei gibt es ei­ni­ges zu be­ach­ten: Bei­spiels­wei­se, dass bei­de – Ha­cker und Or­ga­ni­sa­ti­on – ei­nen recht­li­chen Rah­men be­nö­ti­gen, da­mit bei­de Par­tei­en ent­spre­chend ge­schützt sind und es ge­re­gelt ist, wel­che Sys­te­me im Un­ter­neh­men für ei­n Pro­jekt in Fra­ge kom­men. Dar­über hin­aus soll­te es of­fen­sicht­lich sein, dass über die­sen Ver­trag hin­aus der An­satz der Ha­cker in der rea­len Welt um­ge­setzt wird. Das be­deu­tet, dass die “Whi­te-Hat-Ha­cker” kei­nen an­de­ren Zu­gang zu der von ih­nen ge­hack­ten Platt­form ha­ben als ein kri­mi­nel­ler An­grei­fer. Durch die­sen An­satz kann der ethi­sche Ha­cker sei­ne Krea­ti­vi­tät un­ter Be­weis stel­len, um er­folg­reich in das Sys­tem ein­zu­drin­gen. Par­al­lel da­zu er­hält das Un­ter­neh­men ei­ne rea­lis­ti­sche Vor­stel­lung von der Ge­fähr­dung durch Cy­ber­kri­mi­nel­le, die sich aus den ge­fun­de­nen, do­ku­men­tier­ten und ge­mel­de­ten Schwach­stel­len ergibt.

Im oben beschriebenen Fall, der typischerweise über Bug-Bounty-Plattformen abgewickelt wird, ist vorgesehen, dass sich die White-Hat-Hacker dem Unternehmen gegenüber verpflichten, deren Schwachstellen in der IT-Infrastruktur oder aber eben auch funktionelle Fehler aufzudecken.

Die Kriterien werden in VDPs (Vulnerability Disclosure Program) festgelegt und sind Bestandteil des Vertrags.”

So wird das Vertrauensverhältnis definiert – die Hacker sind offiziell abgesichert und liefern im Anschluss einen validen Bericht der Schwachstellen. Die Behebung selbiger liegt dann in der Verantwortung der IT-Teams des Unternehmens.

Das Beispiel Goldman Sachs

Mit Goldman Sachs ist eines der weltweit führenden Institute in den Bereichen Investmentbanking, Wertpapierhandel und in der Vermögensverwaltung genau diesen Weg gegangen. Das Unternehmen arbeitete in der Vergangenheit mit modernsten Werkzeugen, um neue Anwendungen, Websites und Apps auf Fehler und Schwachstellen hin zu analysieren. Da jedoch die Kombination von Tools und menschlicher Kreativität eine wesentlich bessere Qualitätssicherung bedeutet, entschied sich der mittlerweile mehr als 150 Jahre alte Finanzexperte dafür, die Technik durch die Zusammenarbeit mit Hackern zu ergänzen. So führte Goldman Sachs als erste Investmentbank im Mai 2018 ein erstes Bug-Bounty-Programm ein, das nur für einen begrenzten Kreis von Personen zugänglich war.

Später wurde daraus eine öffentliche Initiative. Bereits im ersten Jahr des Programms wurden 23 Schwachstellen behoben, von denen jede einzelne ein tatsächliches Risiko für Kunden und deren Daten darstellte. Aktuell haben die White-Hat-Hacker bereits knapp 60 Schwachstellen identifiziert, von denen eben etliche auch bereits behoben wurden. Im Schnitt haben die IT-Teams binnen weniger Stunden auf die Reports reagiert und die Schwachstellen in der Folge innerhalb von zwei Monaten behoben, kritische Lücken benötigten teilweise nur eine Stunde zur Korrektur. Daraus wird deutlich, welchen Stellenwert die Zusammenarbeit zwischen Goldman Sachs und den Hackern aufseiten des Bankhauses genießt. Auch im Moment arbeitet Goldman Sachs mit Hackern zusammen, um Schwachstellen in ihren Verbraucher-Websites zu identifizieren, darunter goldmansachs.com und marcus.com (eine Website für Verbraucherkredite).

Doch trotz des offensichtlichen Nutzens erkennen deutsche Unternehmen das Potenzial der Zusammenarbeit mit Hackern bislang noch nicht.”

Das ist das Ergebnis einer Umfrage, die das Marktforschungsunternehmen Opinion Matters im Auftrag von Hackerone durchgeführt hat. Von mehr als 600 CISOs aus Deutschland, Frankreich und Großbritannien war gerade mal ein Drittel (36 Prozent) der deutschen Sicherheitsverantwortlichen dazu bereit, Meldungen aus der Hacker-Community zu Fehlern in der von ihren Unternehmen entwickelten Software zu berücksichtigen. Interessant ist allerdings auch das Ergebnis der kürzlich durchgeführten COVID19-Umfrage – denn 34 Prozent der Befragten in Deutschland sind aufgrund der Pandemie nun offener für Berichte von Dritten.

Doch zeigen Beispiele wie Goldman Sachs, dass die Hacker in der Zusammenarbeit einen wertvollen Beitrag zur IT-Sicherheit und zur Verbesserung der Produktqualität leisten können. Sowohl die Unternehmen als auch deren Kunden können davon nur profitieren.aj