Unternehmen, Verwaltungen und Institutionen werden vermehrt Opfer von Cyberangriffen – und dies unabhängig ihrer Grösse oder Branche. Immer mehr grössere Unternehmen setzen zur Verringerung ihrer Verletzlichkeit auf sogenannte Bug Bounty-Programme. Im Rahmen dieser Programme suchen ethische Hacker auf Einladung aktiv nach Schwachstellen im IT-System. Das Startup Bug Bounty Switzerland betreibt solche Programme unter anderem für Banken, Versicherungen und Kantone. Die Luzerner sind gut drei Jahre nach der Gründung hierzulande bereits Marktführer und verfügen über ein Netzwerk von über 10'000 ethischen Hackern. Zu den über 100 Kunden zählen seit letztem Jahr auch Coop, die Landesverwaltung Liechtenstein und der Kanton Aargau.
KMU hingegen nutzen solche Programme kaum. «Ein Grund ist sicher auch die noch tiefe Bekanntheit von ethischem Hacking», sagt Bug Bounty-Mitgründer und CEO Sandro Nafzger. Das soll sich künftig ändern: Seit letztem Jahr schlägt die Nationale Cyberstrategie NCS die Zusammenarbeit mit ethischen Hackern als strategische Massnahme für mehr Sicherheit vor. Bug Bounty Switzerland fungiert dabei als strategischer Partner bei der schweizweiten Umsetzung.
Die Betreiberin der ersten Schweizer Bug-Bounty-Plattform bringt nun für kleinere und mittlere Unternehmen ein praktikables, schnell implementierbares Tool auf den Markt. KMU können ein Sicherheitspaket kaufen, das auf einer Vulnerability Disclosure Policy (VDP) basiert. Das ist eine Erklärung, welche das Unternehmen auf seiner Webseite platzieren kann und ethischen Hackern signalisiert, in welchem Rahmen das Aufspüren und Melden von Schwachstellen erwünscht ist. Bug Bounty Switzerland übernimmt dabei die gesamte Interaktion mit den Hackern, die Auswertung der Rapporte und das Aussieben von unethischen Hacker-Anfragen. «Diese Lösung ist gut skalierbar – auch im Ausland», so Nafzger.
Die nächsten Wachstumsschritte werden von drei neuen Mitgliedern des Advisory Boards unterstützt: Mit Marco Marchesi, dem Gründer und langjährigen CEO des Cybersecurity-Spezialisten ISPIN, gewinnt das Startup einen strategischen Sparring-Partner mit nachgewiesener Erfahrung in der Unternehmensentwicklung. Shira Kaplan bringt als Gründerin von Cyverse und Investoren-Vermittlerin bei Cyverse Capital viel Wissen aus zwei zentralen Perspektiven ein. Sie ist Advisorin bei einigen ausländischen Cybersecurity-Startups. Stefan Frei, Senior Information Security Officer bei SIX Digital Exchange und langjähriger ETH-Dozent, verfügt über praktisches und theoretisches Wissen in Bezug auf offensive und defensive Cybersecurity-Anwendungen.
Bug Bounty Switzerland hat im letzten Jahr die Zahl der Mitarbeitenden mehr als verdoppelt. Die 25 Angestellten verteilen sich auf die Standorte in Luzern, Bern und Zürich. «Trotz nach wie vor kleinem Team ist es uns wichtig, sowohl unsere Kunden als auch die ethischen Hacker persönlich zu betreuen», erklärt CEO Nafzger. Das Startup investiert dennoch in die Skalierbarkeit seiner Lösung und hat grosse Pläne.
(press release / FR)
Bild: Neue Mitglieder des Advisory Boards v.l.n.r. Marco Marchesi, Shira Kaplan und Stefan Frei; ZVG