Warum die Post ein Bug Bounty Programm braucht

Diese Woche hat die Post ihr öffentliches Bug Bounty Programm gestartet. Warum es innerhalb von wenigen Stunden klar war, dass an der Zusammenarbeit mit ethischen Hackern kein Weg vorbeiführt, der Aufbau aber trotzdem zwei Jahre gedauert hat, erklärt Programmleiter Bug Bounty, Sandro Nafzger.

Sandro Nafzger
Blog
Head of Bug Bounty Sandro Nafzger

Inhaltsbereich

Als wir damals den Mut hatten, die Zusammenarbeit mit ethischen Hackerinnen und Hackern einfach auszuprobieren, war es sofort klar: An einem Bug Bounty Programm führt kein Weg vorbei! Das Projektbudget reichte nicht wie geplant für sechs Wochen, sondern nur knapp vier Stunden – auch das war ein positives Zeichen. Aber nun der Reihe nach…

Im Frühling 2019 hatte die Post zum ersten Mal einen öffentlichen Intrusionstest sowie die Veröffentlichung des Quellcodes für das damalige E-Voting System durchgeführt. Die Diskussion insbesondere in den Medien war sehr kontrovers. Nun könnte man meinen, dass sich die Post mit diesem Ansatz der «Public Scrutiny» die Finger verbrannt hat und wohl einen grossen Bogen um ähnliche Verfahren machen würde. Aber genau das Gegenteil war der Fall. Denn das Beispiel zeigt auch: Die Methode funktioniert, kritische Fehler konnten gefunden und geschlossen werden. So kann das betreffende Systeme und die darumliegende Organisation weiter verbessert werden.

In der Folge kam die Frage auf, ob die Zusammenarbeit mit einer globalen Community von IT-Sicherheitsexperten im Rahmen eines Bug Bounty Programms nicht auch für die Post als Ganzes sinnvoll wäre. Unser Bauchgefühl sagte ja, aber es gab erst diese eine Erfahrung mit E-Voting und relativ wenig Knowhow. Also starteten wir, nach Rücksprache mit dem CISO Post, eine dreimonatige Studie in einem interdisziplinären Team von drei Sicherheitsexperten, einem Projektleiter, einem Anwalt und einem Kommunikationsexperten. Wir haben das Thema Bug Bounty von allen Seiten beleuchtet und kamen zum Schluss, dass Bug Bounty für die Post wichtig sein könnte, der Nutzen wohl hoch ist, die Kosten tragbar sind und wir eine pragmatische Lösung für die Machbarkeit gefunden hatten. Um diese theoretischen Thesen zu überprüfen, hat Information Security Post dann entschieden einen sechswöchigen Proof-of-Concept durchzuführen.

Am Montag, 21. Oktober, um 11.00 Uhr, ging es los: Wir haben den Startknopf für unser erstes private Bug Bounty Programm gedrückt. Dabei haben wir anfänglich nur fünf ethischen Hackern erlaubt, rund zehn ausgewählte IT-Systeme zu «hacken» und auf Sicherheitslücken zu untersuchen. Und siehe da, in weniger als einer Stunde erhielten wir die erste kritische Sicherheitslücke gemeldet. Und es blieb bei weitem nicht das einzige Finding. Aber wie konnte das sein? Wir hatten nur gut etablierte Onlinedienste getestet, die mit traditionellen Testmethoden regelmässig auf ihre Sicherheit überprüft werden.

Für den gesamten Proof-of-Concept, welcher sechs Wochen dauern sollte, hatten wir insgesamt CHF 25 000.- für das Ausbezahlen von Belohnungen reserviert. Um 15.00 Uhr, also nur vier Stunden nach dem Start des sechswöchigen Tests hatten wir das Budget bereits ausgeschöpft. War das nun ein Problem? Nein ganz im Gegenteil: Wir haben sofort realisiert, dass diese neue Testmethode noch viel mächtiger und wichtiger ist, als wir es vermutet hatten und eine grosse Chance für die Post darstellt. Weil die Erkenntnisse, die wir bereits nach wenigen Stunden erhalten hatten, so wertvoll waren, hat der CISO unser Budget aufgestockt und den Test insgesamt fünf Wochen laufen gelassen. Wir konnten insbesondere auch das Zusammenspiel zwischen Hackerinnen und Hackern sowie Entwicklerinnen und Entwicklern testen und fanden, dass wir mit dieser neuen Zusammenarbeit gefundene Fehler zeitnah schliessen können und vor allem, dass die Chemie zwischen den beiden unterschiedlichen Gruppen von Anfang an stimmte. In diesem Test konnten 130 banale bis kritische Schwachstellen gefunden und gefixt werden und wir bezahlten Belohnung von rund CHF 150 000.- aus.

Die Frage, ob es Bug Bounty wirklich braucht, hatte sich also innerhalb von wenigen Stunden erledigt. In einem Bug Bounty Programm findet man nämlich Sicherheitslücken, die mit all den anderen Testmethoden bisher verborgen blieben. Und das auf eine sehr effiziente Weise.

Nach dem ersten Proof of Concept suchten wir einen Weg, diese neue und disruptive Methode schrittweise einführen und konzernweit etablieren konnten, ohne uns dabei selbst zu überfordern. Denn eines war klar: Mit einem Bug Bounty Programm ohne Einschränkungen würden wir innerhalb weniger Tage hunderte von neuen Schwachstellen finden und würden unsere Organisation damit komplett überfordern – das wollten wir nicht. So ist unser Bug Bounty Skalierungsmodell entstanden.

Onlinedienst kommt zuerst in Incubator

Unser Skalierungsmodell besteht aus drei Maturitätslevels die ein Onlinedienst erreichen kann. Wenn eine Applikation neu in unser Bug Bounty Programm kommt, startet sie immer in einem «Custom Incubator» – ein zeitlich limitiertes Bug Bounty Programm mit 5 bis 50 ethischen Hackerinnen und Hackern und relativ tiefen Bounties. Bereits innerhalb der ersten paar Stunden und Tage werden damit die wichtigsten Sicherheitsprobleme entdeckt und gemeldet. Nicht nur zeigt sich, wie hoch die Sicherheitsmaturität vom getesteten Produkt respektive Dienstleistung ist, sondern auch wie agil und fit die Organisation und das Team dahinter. 

So gibt es eigentlich zwei Szenarien nach einem «Custom Incubator». Idealerweise kann das getestete System dann direkt in das ständige und ebenfalls private Programm «Private Main» überführt werden. Dabei kommt es weniger darauf an, wieviele Schwachstellen gefunden werden, sondern wie das Team dahinter damit umgeht. Für gewisse Teams ist es normal, täglich neue Inputs zu erhalten, diese nach klaren Regeln zu priorisieren und in regelmässigen Sprints zu beheben. Für andere Teams ist dieses agile Vorgehen noch eine Herausforderung. Typischerweise benötigen solche Teams nach einem Custom Incubator dann eine Pause, um sich intern besser aufzustellen und die gefundenen Schwachstellen zu beheben.

Mit dem «Private Main» betreibt die Post seit Mai 2020 nun ein ständiges und privates Bug Bounty Programm. Laufend werden darin weitere Onlineservices aufgenommen und intensiv getestet von mehreren hundert ethischen Hackerinnen und Hackern, bevor sie dann in das öffentliche Bug Bounty Programm «Public Main» überführt werden. Dieses hat nun gestartet und steht allen 23 000 registrierten Hackern zur Verfügung.

Dieses dreistufige Vorgehensmodell hat es uns erlaubt, die dafür notwendige Maturität für das Management der Bug Bounty Programme Schritt für Schritt aufzubauen und zu festigen, um damit ein konzernweites Programm zu betreiben, an dem alle beteiligten grossen Spass haben.

Dies als Voraussetzung, um nun die Mehrheit aller digitalen Post Produkte – ein paar hundert IT-Systeme – mit dem Bug Bounty Programm kontinuierlich zu verbessern. 

Fazit: Die Zusammenarbeit mit ethischen Hackerinnen und Hackern erfordert Mut. Jedoch wird man dafür reichlich belohnt. Denn man erhält fast täglich neue Erkenntnisse und Verbesserungsmöglichkeiten. Dadurch entsteht eine positive und agile Lernkultur, von der die ganze Organisation profitiert. Ein perfektes Bug Bounty Programm gibt es nicht. Aber mit einem kleinen Anfang und kontinuierlichem Ausbau sind wir auf dem richtigen Weg dahin.

verfasst von

Sandro Nafzger

Programmleiter Bug Bounty und Experte für Crowdsourced Cybersecurity

Mit Bug Bounty Post zu «Digital Trust»

Innovation & Technologie, Blog
Mehr erfahren
Ein Informatiker bei der Arbeit.

«Solange wir keine ausgewogene Vielfalt haben, müssen wir proaktiv handeln»

Menschen, Blog
Mehr erfahren
Links Laetitia Henriot Arsever, Leiterin Technology Management, Informatik Post und rechts Linda de Winter, Leiterin Development, Informatik Post.