Dieser Prozess gewährleistet, dass Produkte nicht nur funktionieren, sondern auch sicher sind – eine kontinuierliche Herausforderung im Bereich Cybersecurity. Daniel Scherrer, verantwortlich für die Software-Sicherheit fasst zusammen:
Akt 1: Meldung und Erstbewertung
Alles beginnt mit der Meldung einer potenziellen Schwachstelle. Durch das Abraxas Bug-Bounty-Programm, E-Mails und andere Quellen gehen wertvolle Hinweise ein. Sobald eine Meldung eingeht, wird sie an das Security-Triage-Team weitergeleitet. Dieses Team – die «Security Champions» – spielt eine zentrale Rolle bei der ersten Bewertung der Meldung. Es ist Teil des zentral organisierten und spezialisiertem «Product Security Incident Response Team» (PSIRT). Es analysiert die Schwachstelle tiefgehend und reproduziert sie nach festgelegten Regeln.
Die Triage arbeitet eng mit dem Produktteam zusammen, um eine finale Bewertung der Meldung vorzunehmen. Es ist eine gemeinschaftliche Anstrengung, um die Validität und die Auswirkungen der gemeldeten Schwachstelle zu verstehen. Der Ethical Hacker, der die Schwachstelle gemeldet hat, erhält bereits in dieser Phase eine erste Rückmeldung vom PSIRT über seinen Befund.
Akt 2: Priorisierung und Bearbeitung
Die Priorisierung der Schwachstelle erfolgt in Abhängigkeit von ihrem Schweregrad. Interne Policies definieren hierfür den Rahmen für die maximal tolerierbare Zeit für das Schliessen dieser Schwachstelle. Produktteams spielen dabei eine wichtige Rolle. Sie nutzen unterschiedliche Methoden und folgen anderen Entwicklungszyklen. Wird eine Schwachstelle als kritisch eingestuft, ist jedoch sofortiges Handeln angesagt.
Alle bearbeiteten Fälle werden in wöchentlichen Meetings mit dem ganzen PSIRT besprochen und rekapituliert. Abraxas legt grossen Wert darauf, aus jedem Fall zu lernen und diese Erkenntnisse auch mit anderen Produktteams zu teilen.
Akt 3: Einführung des Patches
Nachdem das Entwicklungsteam einen Fix implementiert hat, folgen Retests durch das PSIRT als neutrale Review-Stelle. Abhängig von der Art der Schwachstelle führt es erneute Black-Box- oder White-Box-Tests durch, inklusive Secure Code Reviews. Der Ethical Hacker wird über den erfolgreichen Retest informiert und eingeladen, den Fix zu begutachten.
Akt 4: Veröffentlichung und Anerkennung
Bei öffentlichen Bug-Bounty-Programmen wird die Schwachstelle anschliessend auf Plattformen wie GitHub im Unternehmensaccount veröffentlicht (Beispiel auf GitHub). Die Person, die die Schwachstelle gemeldet hat, wird entsprechend honoriert. Dieser Schritt stellt nicht nur eine Anerkennung für den Ethical Hacker dar, sondern trägt auch zur Transparenz und Sicherheit in der Öffentlichkeit bei.
