Schwachstellen: Bei der Sicherheit dreht sich alles um den Kunden

About You kennt inzwischen fast jeder Konsument in Deutschland als sympathischen Anbieter junger Mode und Accessoires. Das Hamburger Unternehmen ist mittlerweile mehr als eine Milliarde Euro wert und beschäftigt über 500 Mitarbeiter. Mehr als sieben Millionen Downloads der About-You-App und über fünf Millionen Einkäufer jeden Monat sprechen für den Erfolg des E-Commerce-Anbieters. Ein Teil des Erfolgs hängt mit dem Umgang des Onlinehändlers mit den Daten der Kunden und Lieferanten zusammen. So muss das Unternehmen dafür Sorge tragen, dass Schwachstellen in den IT-Systemen sofort erkannt und behoben werden.

Umfassender Schutz der Daten von Kunden und Lieferanten

Beim Thema IT-Sicherheit geht der Onlinehändler möglichst umfassend vor, wie Vladyslav Cherednychenko, Information Security Engineer bei About You, erklärt: „Unsere Aktivitäten umfassen alles, was man sich nur vorstellen kann, was mit der IT-Sicherheit des Unternehmens und seinen Dienstleistungen zu tun haben könnte. Dazu gehört die Netzwerküberwachung, das Schreiben von Sicherheitsrichtlinien, Sensibilisierungskampagnen, Penetrationstests, die Durchführung des Bug-Bounty-Programms, Software-Audits und vieles mehr.“

Das Unternehmen verließ sich traditionell auf den Einfallsreichtum seiner internen Sicherheitsingenieure sowie auf periodische Penetration-Tests, um die Sicherheit der Daten, Anwendungen und Systeme zu gewährleisten. Eines der Fokusthemen der Security-Teams war dabei stets, auf die Ausführung von Remote Code zu achten und daraus potenziell resultierende Gefahren frühzeitig zu identifizieren. Dieser Ansatz funktionierte jedoch nur, solange das Unternehmen noch kleiner war.

Schwachstellen: Intern gesteuertes Modell zur Identifizierung

Mit fortschreitendem Wachstum von About You stieß der Ansatz, die IT-Sicherheit komplett eigenständig zu managen, jedoch an seine Grenzen. Dabei ist aber genau diese Sicherheit für den Onlinehändler von größter Bedeutung. Das SecOps-Team erkannte somit das Risiko, das aus der Kombination von Unternehmenswachstum und einem intern gesteuerten Modell zur Identifizierung von Schwachstellen erwächst. Im Wesentlichen würden unternehmenseigene Ingenieure, egal wie schlau sie auch sein mögen, selten die gleichen Taktiken anwenden wie kriminelle Akteure, die von außen die Unternehmens-IT attackieren.

Hinzu kommt, dass im Laufe der Zeit unwillkürlich eine gewisse Betriebsblindheit einsetzt. Schließlich führt die immergleiche Sichtweise eines internen Teams durch firmeneigenes Wissen und Diskussionen zu einer verzerrten Wahrnehmung. Und die Beschäftigung tagein, tagaus mit demselben Code birgt das Risiko, die Perspektive zu verlieren. Diese braucht es jedoch, um bei der Suche nach neuartigen Schwachstellen erfolgreich zu sein. Schließlich war About You klar – obwohl sie von innen einen guten Einblick in ihre Sicherheit hatten – dass man besser verstehen muss, wie Cyberkriminelle die IT-Infrastruktur und -Technologie von außen betrachten.

Schwachstellen: Perspektive der Cyberkriminellen einnehmen

Der Wunsch danach, einen externen Blick auf die Sicherheit und die IT-technischen Schwachstellen des Unternehmens werfen zu können, veranlasste About You, ein Bug-Bounty-Programm in Erwägung zu ziehen. Bei einem solchen Programm handelt es sich um eine Initiative, bei der Unternehmen, Ämter oder Organisationen mit Hackern vertraglich zusammenarbeiten. Die sogenannten White-Hat-Hacker, auch ethische Hacker genannt, verfolgen dabei keine kriminellen Ziele. Ihre Aufgabe ist es vielmehr, in der IT-Infrastruktur, bei Apps, Web-Anwendungen, Software und Betriebssystemen sowie im Netzwerk und anderen Stellen Sicherheitslücken und Schwachstellen zu entdecken, zu dokumentieren und dem Unternehmen zu melden.

Für diese Aufgabe erhalten die Hacker dann eine Prämie, die Bug Bounty. Die Höhe dieser Prämie ist von der Bedeutung der gefundenen Lücke abhängig und kann von rund hundert Euro bis zu 100.000 Euro für das Finden und Melden einer einzigen Schwachstelle reichen. Das Unternehmen muss dann dafür Sorge tragen, dass diese Schwachstellen geschlossen werden. HackerOne zum Beispiel bietet eine Plattform, die genau diesen Bedarf adressiert. Dort können sich Hacker mit Klarnamen registrieren, um an Bug-Bounty-Projekten teilnehmen zu können. Interessierte Organisationen finden hier genau das Know-how, um ihre IT von unabhängigen Experten testen zu lassen.

Schwachstellen analysieren: About you kooperiert mit HackerOne

„Als Security-Team verstehen wir alle die Vorteile eines Bug-Bounty-Programms. Aber es galt, das Management zu überzeugen, dass es besser ist, Geld in die HackerOne-Plattform zu investieren, als zum Beispiel einen automatischen Schwachstellen-Scanner anzuschaffen“, berichtet Cherednychenko. „Wir hatten zudem die Befürchtung, zu viele Berichte zu erhalten, und das Team würde zu viel Zeit damit verbringen müssen, sich nur mit diesen zu befassen. Andere Teams hatten Angst, dass es unerwünschte Aufmerksamkeit von Cyberkriminellen auf sich ziehen würde“.

Das About You Team arbeitete daher sehr eng mit HackerOne zusammen, um diese Bedenken auszuräumen und ein schlüsselfertiges, vollständig verwaltetes Bug-Bounty-Programm ins Leben zu rufen. Das wichtigste Ziel des Projektes war es, Schwachstellen zu finden. Doch das war About You noch nicht genug. Das Unternehmen wollte darüber hinaus das Programm nutzen, um gute Beziehungen zu den White-Hat-Hackern aufzubauen und gleichzeitig ein Bekenntnis zu einem starken Engagement in Sachen Sicherheit und Schutz seiner Kundendaten abgeben.

Start eines Bug-Bounty-Programms mit Team von HackerOne

About You begann mit einem kontrollierten Bug-Bounty-Programm, bei dem das Triage-Team von HackerOne zur Validierung von Berichten, zur Verwaltung der Kommunikation mit Hackern und vielem mehr eingesetzt wurde. Der Einsatz der Hacker-Plattform stellte sicher, dass das Sicherheitsteam von About You genug Zeit hatte, mit den Entwicklern zusammenzuarbeiten, um die Schwachstellen zu beheben und ihre Lösungen zu testen.

Mit der Zeit stellten sich Lerneffekte bei About You ein, und so wurde das Sicherheitsteam effizienter in der Abarbeitung der gemeldeten Lücken. Dies hatte zur Folge, dass Kapazitäten frei wurden, um sich auf interne Dienste oder andere Projekte außerhalb des Schwachstellenmanagements zu konzentrieren. Und obwohl der Umfang des Bug-Bounty-Programms gleichgeblieben ist, konnte About You einen Rückgang der Gesamtzahl der eingehenden Meldungen verzeichnen. Dies ist auf die akribische Arbeit der Hacker zurückzuführen, die den Onlinehändler auf diese Weise unterstützten, potenzielle Angriffsflächen signifikant zu reduzieren.

Aufgrund des Erfolgs der bisherigen Zusammenarbeit, ist geplant, das Bug-Bounty-Programm weiter zu öffnen und es für alle Hacker zugänglich zu machen. Das Ziel ist es, dass eine größere Zahl von Hackern sich an der Suche nach Schwachstellen beteiligen und dies in entsprechend mehr Reports zu dokumentieren.

Schwachstellen: Hacker tragen zur Verbesserung der IT-Sicherheit bei

Genauso wie das Management eine gute Begründung von Seiten der SecOps benötigte, bevor es grünes Licht für das Bug-Bounty-Programm gab, so braucht die Firmenleitung gegenüber den Eigentümern des Unternehmens natürlich auch eine Rechtfertigung dafür, dass die Investition in die Hacker-Plattform gut angelegtes Geld ist. Für About You liegt der Beweis weniger in einer harten Rendite als vielmehr darin, wie diese Investments zur Verbesserung der IT-Sicherheit beitragen.

Hacker für das Finden von Schwachstellen zu bezahlen, anstatt unternehmenseigene Ressourcen dafür aufzuwenden, ist nach Ansicht des Security-Teams ein klarer Vorteil. Die Kosten dafür, dass ein interner Experte nach einer Sicherheitslücke sucht, sind eindeutig viel höher als die Belohnung eines Hackers, und genau das ist es, was Führungskräfte interessiert.

About You hat aber auch noch weitere Lehren aus diesen Erfahrungen ziehen können. Dazu gehört die Zeit, die benötigt wird, um ein Problem zu lösen – und der Faktor Zeit spielt gerade in diesem Zusammenhang eine große Rolle. Wenn ein Fehler nicht schnell genug behoben wird, wird das Problem eskaliert, um den Prozess zu beschleunigen. Gegenwärtig plant das Unternehmen mit einer sehr kurzen Reaktionszeit von durchschnittlich rund zwei Stunden. Und auch die sieben Tage, die durchschnittlich zum Beheben einer Lücke bzw. eines Problems kalkuliert sind, sind vergleichsweise sehr kurz. 

Transparente Zusammenarbeit mit Hackern ist entscheidend

Für andere Organisationen, die ein Bug-Bounty-Programm in Erwägung ziehen, ist es von entscheidender Bedeutung, mit Hackern ehrlich umzugehen. Dies hilft den Hackern, ihre Anstrengungen zu konzentrieren und das Programm in einer Weise anzuwenden, was beiden beteiligten Parteien hilft. Denn je größer das Wissen und die Erfahrung der Hacker in einem Projekt sind, desto qualifizierter kann der Hacker nach Bugs suchen.

Und noch ein Rat von About You: Es ist wichtig der Kommunikation mit den Hackern besondere Aufmerksamkeit zu widmen. Diese verbringen viel Zeit damit, nach Problemen zu suchen und Berichte zu erstellen. Eine klare Kommunikation im Programmumfang oder in der Programmbeschreibung kann Hackern helfen, ihre Zeit nicht unnötig zu verschwenden.

„Für uns hat das HackerOne-Programm gut funktioniert. Und wir sind mit den bisherigen Ergebnissen zufrieden. HackerOne und die Hacker-Community tragen erheblich dazu bei, unsere Technologie für unsere Kunden sicherer und besser zu machen“, ist Vladyslav Cherednychenko überzeugt.

HackerOne ist eine von Hackern betriebene Sicherheitsplattform, die Unternehmen dabei unterstützt, kritische Schwachstellen zu finden und zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden können. Über 1.300 Unternehmen und Organisationen koopieren mit HackerOne, um über 120.000 Schwachstellen zu finden und über 49 Millionen US-Dollar an Bug- Bountys zu vergeben. (sg)

Lesen Sie auch: Kundenauthentifizierung: So vermeiden Onlinehändler einen Umsatzeinbruch im Online-Shop