Für Unternehmen, die Cloud-basierte Lösungen anbieten, ist Sicherheit immer ein Thema. So bietet der Open Source-Anbieter Nextcloud beispielsweise Technologien für die Dateisynchronisation und Online-Zusammenarbeit. Sicherheit ist dabei ein zentraler Bestandteil der gesamten Geschäftsstrategie. Das interne Sicherheitsteam von Nextcloud arbeitet deshalb mit dem Bug Bounty-Programm von Hacker One. Damit hat es bisher mehr als 100 gültige, spezifische Sicherheitslücken behoben, wobei die Reaktionszeit unter einer Stunde lag.

Für Nextcloud, einem Anbieter selbst gehosteter Cloud-Technologie, gehört die Gewährleistung von Sicherheit, Datenschutz und dessen Kontrolle zu den wichtigsten Aufgaben. Seine Kunden müssen jederzeit nachvollziehen können, wo sich ihre Daten befinden und wer darauf zugreift. Dies erfordert bereits bei Planung, Fertigstellung, Testabläufen und Positionierung ihrer Produkte einen sicherheitsorientierten Ansatz. Der Claim „Security First“ bringt es klar zum Ausdruck: Sicherheit ist eine Kernkomponente der gesamten Geschäftsstrategie des Cloud-Anbieters.

Das interne Sicherheitsteam von Nextcloud kommt beim Einsatz des Bug Bounty-Programms von Hacker One auf eine überdurchschnittliche Reaktionszeit von weniger als einer Stunde. „Das macht sie zu einem beispielhaften Modell für den Aufbau eines effizienten Bug Bounty Triage- und Response-Prozesses“, so Michiel Prins, Mitbegründer von Hacker One. „Der Fokus auf Reaktionsschnelligkeit und Sicherheit bietet wiederum die beste Voraussetzung, um Top-Hacker-Talente anzuziehen, die die gute Arbeit ihres internen Sicherheitsteams zum Schutz der Kunden weiter ergänzen.“

Stetige Verbesserung
Beim Start des Bug Bounty-Programms von Hacker One erhielt Nextcloud zunächst sehr viele Berichte mit ernstzunehmenden und sicherheitsrelevanten Problemen. Mit der Zeit wurde jedoch die Codebasis stärker und die Schwere der gemeldeten Schwachstellen nahm ab – denn das Engineering in Sicherheitsfragen entwickelte und verbesserte sich stetig weiter. Die Kunden wurden über die erkannten Schwachstellen vor einer Veröffentlichung und Behebung in Kenntnis gesetzt – zudem wurden sie entsprechend informiert, wie darauf reagiert werden sollte. „Wir schätzen, dass etwas 75 Prozent der Sicherheitsprobleme, zu denen wir unsere Kunden beraten, über das Bug Bounty-Programm eintraf“, so Frank Karlitschek, Gründer und Geschäftsführer von Nextcloud.

Für Frank Karlitschek bietet das Bug Bounty-Programm von Hacker One einen praktikablen Zugang zu On-demand-Expertise – überall dort, wo sie benötigt wird. Dadurch kann er seinen Kunden kontinuierlichen Schutz gewähren.

Effizientere Budgetnutzung
Nextcloud arbeitet bereits seit Juni 2016 mit mehr als hundert qualifizierten Hackern der Bug Bounty-Plattform zusammen. Das interne Sicherheitsteam des Cloud-Anbieters hat dabei das Programm von Anfang an als Chance gesehen, mehr Ressourcen, mehr Fähigkeiten und mehr Erfahrung einzubringen, ohne auf zusätzliche Mitarbeiter zurückgreifen zu müssen.

„Wir wollten unseren Kunden, Partnern und Usern deutlich demonstrieren, dass wir das Thema Sicherheit ernstnehmen“, fügt Jos Poortvliet, Mitbegründer und Marketingleiter von Nextcloud, hinzu. Auch das Sicherheitsteam des Stuttgarter Unternehmens drängte darauf – den Mitarbeitern dort ist die Fülle an Sicherheitswissen auf der Hacker One-Plattform bekannt, so dass sie sich einen direkten Zugang dazu wünschten.

Nextcloud investiert besonders stark in diesem Bereich. Zwar wurden bereits in der Vergangenheit Third-Party-Reviews und andere typische Sicherheitsmaßnahmen durchgeführt, aber für Poortlvliet war „die Qualität nicht immer überzeugend“.

Bounties als DSGVO-Compliance Tool
Als Anbieter selbst gehosteter Cloud-Technologie innerhalb der Europäischen Union hat Nextcloud viele Kunden mit datenschutzrelevanten Datenmengen. Deshalb nahm es die DSGVO-Compliance frühzeitig in den Blick. Die Datensicherheit ist dabei eine wesentliche Komponente. „Die DSGVO verlangt den Nachweis, dass die Sicherheit der Benutzerdaten ernstgenommen wird“, erklärt Poortvliet. „Dies hängt natürlich nicht nur an einem einzelnen Faktum, aber ich würde sagen, ein gut verwaltetes Security Bug Bounty-Programm ist ein deutlicher Beweis dafür, wie ernst wir den Datenschutz nehmen.“

Für Poortvliet belegt der Einsatz der Bug Bounty-Programme nicht nur das Sicherheits-Engagement seines Unternehmens. Er versteht dies auch als Investition zum Schutz vor möglichen DSGVO-Verletzungen. „Ich sehe Prozesse um Datensicherheit kommen, die verloren gehen – die aber mit einem Hacker One-Programm hätten gewonnen werden können. Dafür gibt es Gründe auf praktischer wie auch auf rechtlicher Ebene“, prognostiziert Poortvliet. „Auf praktischer Ebene, da Sie mit einem solchen Programm möglicherweise Probleme in der Infrastruktur aufgedeckt hätten. Und auf rechtlicher, weil es zeigt, dass Sie alle Vorkehrungen getroffen haben, die möglich waren.“

Ausblick
Den Produzenten und Kunden sicherheitskritischer Codes stehen laut Poortvliet zukünftig noch große Herausforderungen bevor. „Wir hoffen, dass Bug Bounty-Programme zu einem Industriestandard werden – um der Sicherheit und Stabilität der gesamten Branche willen“, so sein Resümee. Jede ans Internet angebundene Infrastruktur sollte seiner Einschätzung nach ein solches Programm durchlaufen. Denn damit unterzögen sich Unternehmen dringend notwendigen und sicherheitsrelevanten Analysen unterziehen – außerdem bauten sie damit einen Schutz vor drohenden Klagen wegen Verstößen gegen die DSVGO auf. Poortvliet selbst würde kein Produkt empfehlen, das das eigene Netzwerk oder die Daten der Kunden als sicher einstuft, dabei aber selbst kein Bug Bounty-Programm durchlaufen hat.

Das Fazit des Unternehmens zur Zusammenarbeit mit Hacker One fällt äußerst positiv aus – insbesondere habe es erhebliche Vorteile gegenüber konkurrierenden Unternehmen gebracht. „Natürlich muss man ein derartiges Programm managen und Ressourcen einkalkulieren“, so Poortvliet, „aber es bietet zugleich die Möglichkeit, Mitarbeiter zu schulen, ihnen Feedback über die Sicherheitsauswirklungen ihrer Arbeit zu geben und sie dafür zu sensibilisieren, dass es nicht nur darum geht, die Probleme selbst zu finden“.

Was sind Bug Bounty-Programme?
Viele Unternehmen wenden sich an die Hacker-Community, um ihre Sicherheitsvorkehrungen zu verbessern. Diese Unternehmen führen Bug Bounty-Programme durch, zu denen sie erfahrene Hacker einladen. Die Hacker werden auf die Schwachstellen in den Systemen angesetzt, damit diese behoben werden können, bevor sie kompromittiert werden. Anstatt dass eine Person oder ein kleines Team ein- oder zweimal im Jahr nach Schwachstellen sucht, nutzen Sicherheitsteams Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.

Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Durch Nutzung der Hacker-Community können Unternehmen von deren umfassenden Fachkenntnissen auf der ganzen Welt profitieren, uneingeschränkt von Standort und Anzahl. Der einzige limitierende Faktor bei der Durchführung eines Bug Bounty-Programms ist die Geschwindigkeit, mit der gefundene Schwachstellen behoben werden können. Engagierte IT-Sicherheitsteams werden dabei nicht nur die Zeit bis zur Behebung sorgfältig überwachen, sondern auch alle nützlichen Erkenntnisse, die sie aus der Bug Bounty gewinnen, in ihre anderen Sicherheitslösungen einfließen lassen.

So können beispielsweise statische und dynamische Analyseregeln festgelegt werden, um ähnliche Schwachstellen in verschiedenen Code Bases zu finden. Bug Bounty-Programme starten daher oft im kleinen Rahmen mit nur einigen ausgesuchten Hacker-Einladungen. Auf diese Weise können Unternehmen sich behutsam darauf einstellen, mit der Hacker-Community an der Behebung von Schwachstellen zu arbeiten. Wenn dann Schwachstellen entdeckt und gemeldet worden sind, können diese Probleme direkt und sicher behoben werden.

Bug Bounty-Programme können auf der Kostenseite eine große Bandbreite erreichen – je nachdem, wie konkurrenzfähig die Prämien dafür sein müssen und welchen Umfang die Technologien haben, die Hacker dafür unter die Lupe nehmen müssen. Entsprechend reicht auch die Größe der Unternehmen, die Bug Bounty-Programme von Hacker One einsetzen von kleinen Start-ups über Non-Profit-Organisationen bis hin zu großen Konzernen.

Die Kosten richten sich dabei nach den speziellen Sicherheitsbedürfnissen. Einige der hochdotiertesten Bug Bounty-Programme zahlen Hackern über eine Million US-Dollar an Prämien pro Jahr, gleichzeitig gibt es aber auch viele Programme, die überhaupt keine Bounty-Awards anbieten und trotzdem sehr erfolgreich sind.