Erwünschte Hebelwirkung

Das private Abraxas-Bug-Bounty-Programm neigt sich dem Ende zu. Bisher hat es im Sinne der Ausschreibung kein Finding ergeben, das als «critical» eingestuft werden musste. Dafür positive Effekte der anderen Art. Ab dem 22. August 2022 startet das öffentlich zugängliche Programm.

Von Peter Gassmann, Leiter Solution Engineering · 22. August 2022

Es ist uns ernst damit. Wir wollen sichere Software für die Schweiz entwickeln und uns gleichzeitig erneuern. Denn die Sicherheitswelt um uns herum hat sich verändert, die Lage erfordert ein Umdenken. Organisationen müssen sich auf allen Ebenen mit der Bedrohung durch die digitale Kriminalität auseinandersetzen.

Seit dem Start unseres ersten Abraxas Bug-Bounty-Programms für das neue Ergebnisermittlungssystem der Kantone SG und TG sind einige Findings eingetroffen. Keines beschreibt bisher eine Schwachstelle, die als «critical» eingestuft wurde. Nun wird es öffentlich.

Die Behebung der Schwachstellen läuft bisher gut, unsere Rückmeldungen an die Security Researcher sind für diese nachvollziehbar, der Dialog funktioniert. Wie ziehen aber nicht nur technische Lehren aus unserem ersten Bug-Bounty-Programm, das drei positive Hebelwirkungen zeigt.

Mit Security Researchern und Ethical Hackern auf Augenhöhe

Wir denken nicht wie Hacker, wir sind auch keine. Code wird immer mit guten Absichten entwickelt. Es braucht darum die Denkweise eines Angreifers, um Schwachstellen zu entdecken. Anders gesagt: Wer sein Messer schleift, will sein Brot leichter schneiden.

Weil wir keine Hacker sind, braucht es einen Dialog mit Security Researchern, die Erfahrung im Aufspüren von Schwachstellen haben und sich die Denkweise eines Hackers angeeignet haben. Hier haben wir von Anfang an den richtigen Ton getroffen. Unsere schnellen und fundierten Rückmeldungen auf gemeldete Findings in etwas mehr als einem Arbeitstag überzeugen die Security-Researcherinnen und -Researcher.

Findings ausserhalb des Scopes optimieren Organisation und Programm

Wir haben nicht an alles gedacht. Die Security Researcher schon. Manche von ihnen haben Schleichwege in das Ergebnisermittlungssystem gesucht – und dabei auch Lücken in einer Komponente der für die Software genutzten Infrastruktur gefunden. Beispielsweise in der Web Application Firewall. Dort gab es auf einer Fehlerseite einen Link, der sich hätte missbrauchen lassen können. Wir haben ihn in kurzer Zeit entfernt.

Aufwändiger war eine im Dialog mit dem Security Researcher letztlich als «high» eingestufte Schwachstelle in der Berechtigungs- und Identitätsverwaltung. Diese war zu dem Zeitpunkt noch nicht im Auftrag enthalten. Wir haben umgehend auf den Report des Researchers reagiert und das für die Berechtigungs- und Identitätsverwaltung verantwortliche Team sowie sein System innert weniger Wochen ins Abraxas Bug-Bounty-Programm eingebunden. Damit haben wir das Programm weiter aufgewertet und unsere Organisation noch besser auf die transparente, offene und damit sicherere Softwareentwicklung ausgerichtet. Ausserdem erhielt der Security Researcher für seinen Beitrag eine Prämie.

Sicherheitsbewusstsein ist ein Dauerauftrag

Wir sind ein sicherheitsbewusstes Unternehmen – das schliesst mit ein, dauerhaft daran zu arbeiten, das Bewusstsein auch bei den Anwenderinnen und Anwendern von Informationstechnologien zu schärfen.

Auch in Zukunft werden wir mit dem Abraxas Bug-Bounty-Programm Software transparent und damit sicherer entwickeln – immer im Bewusstsein, dass Schwachstellen unvermeidlich sind, und dass wir stets gleichauf mit den Methoden der digitalen Kriminalität sein müssen. Wir investieren dafür in die Security-Kompetenz unserer Mitarbeiter:innen. Dabei helfen uns die Security-Researcherinnen und -Researcher, dabei unterstützt uns unsere ganz persönliche Motivation, sichere Lösungen bereitzustellen.

Mehr über das Abraxas Bug-Bounty-Programm und Anmeldung für Security Researcher: bugbounty.ch/abraxas

Peter Gassmann

Über Peter Gassmann

Peter Gassmann leitet bei Abraxas den Bereich Solution Engineering und ist Mitglied der Geschäftsleitung. Er trägt die Verantwortung für die Entwicklung innovativer und gleichzeitig sicheren Software für die öffentliche Hand.