Meine Beziehung zum Begriff «Vertrauen» ist ambivalent: Auf der einen Seite möchte ich, dass unsere Kunden uns und unseren Dienstleistungen vertrauen. Auf der anderen Seite sage ich unseren Entwicklerinnen und Entwicklern während Bedrohungsanalyse-Workshops regelmässig, dass «Vertrauen» leider oft die Abstinenz von Sicherheitsüberprüfungen bedeutet. Das macht eine Software zum angreifbaren Ziel. Ein Risiko, das ich lieber behandle als akzeptiere.
Bekannte Beispiele wie der MOVEit-SQL-Injection-Angriff (CVE-2023-21709) oder die Online-Exchange-Schwachstelle (CVE-2023-34362) zeigen gut auf, dass das Vertrauen so lange anhält, bis es schwerwiegend verletzt wurde.
In der Branche von Abraxas verletzt beispielsweise eine ausgenutzte Schwachstelle nicht nur das Vertrauen in die Unternehmung, sondern zugleich auch das Vertrauen in den Staat selbst, da dieser oftmals als Dienstleister von unseren Software-Lösungen dem Volke gegenübersteht. Für uns ist das eine grosse Verantwortung, welche wir mit viel Engagement und Wille wahrnehmen.
Auch wenn wir das Vertrauen unserer Kunden suchen und wünschen, wollen wir aber nicht, dass sich die Sicherheit auf diesem Bedürfnis ausruht. Aus diesem Grund haben wir vor rund zwei Jahren mit unserem Bug-Bounty-Programm begonnen und legen beispielsweise unseren Source Code der VOTING Suite auf GitHub offen. Es folgen mit Sicherheit weitere Lösungen im Laufe der nächsten Monate oder Jahre. Wir erhoffen uns, dass wir durch die Offenlegung des Sourcecodes und die Etablierung eines kontinuierlich laufendem Bug-Bounty-Programms Schwachstellen schneller, direkter und durch wohlgesinnte Sicherheitsforscher entdecken können, und nicht erst dann, wenn es zu spät ist. Darauf vertrauen wir (Zwinkern).
