Innovation & Technologie
«In der IT-Branche ist man nie für alles gewappnet»
Rund hundert Hacker aus der ganzen Welt mit einem Ziel: die Onlinedienste der Post anzugreifen. Ein Horrorszenario für Marcel Zumbühl, Chief Information Security Officer (CISO) der Post? Keineswegs! Der grösste Hacker-Bekämpfer der Post erklärt, weshalb die Post sich angreifen lässt und die Hacker, die Schwachstellen finden, sogar bezahlt.
Inhaltsbereich
Herr Zumbühl, im Rahmen des Anlasses leHACK vergangenes Wochenende hat die Post ihre Onlinedienste zur Verfügung gestellt, damit diese von Hackern aus der ganzen Welt angegriffen werden konnten. Ist das nicht eine riskante Entscheidung?
Überhaupt nicht! (lacht) Die Informationssicherheit ist ein stetiger Prozess und kriminelle Hacker greifen Tag und Nacht ohne Vorwarnung an. Deshalb ist es entscheidend, dass wir unsere Schwachpunkte entdecken. Und die beste Methode, diese zu finden, ist die Zusammenarbeit mit ethischen Hackern, die im rechtlichen Rahmen agieren – genau wie vergangenes Wochenende bei leHACK. Wir haben zum ersten Mal grünes Licht für Angriffe auf alle unsere 300 Onlinedienste gegeben und damit bei unserem Bug-Bounty-Programm einen entscheidenden Schritt vorwärts gemacht.
Für Laien: Was ist ein Bug-Bounty-Programm?
Wir wollen kriminellen Hackern zuvorkommen und Bugs entdecken, bevor sie es tun, was verheerende Folgen für das Unternehmen haben kann. Zu diesem Zweck hat die Post, wie viele andere Unternehmen weltweit, ein Bug-Bounty-Programm lanciert: Ethische Hacker erhalten eine Prämie, wenn sie mögliche Schwachstellen der Software oder der Produkte melden. Im Rahmen dieses Programms wird ein «Kopfgeld» auf Sicherheitslücken ausgesetzt. Der Hacker wird nach Schwere des Sicherheitsrisikos entschädigt und arbeitet mit unseren Fachleuten an der Behebung der Schwachstelle.
Das Bug-Bounty-Programm der Post gibt es seit vier Jahren. Hat es bereits zu Erfolgen geführt?
Wir haben 459 Schwachstellen entdeckt, 22 davon während leHACK. Und wir haben insgesamt über 380 000 Euro an «Kopfgeldern» ausbezahlt. Es ist eine Investition, die sich für uns lohnt: Wird eine Schwachstelle von IT-Kriminellen entdeckt (und ausgenutzt), bevor sie behoben ist, führt der entstehende Schaden zu deutlich höheren Kosten.
Werden die Hacker dank der Post reich?
Das würde ich nicht sagen. Der höchste von uns ausbezahlte Betrag war 40 000 Euro. Und ethisches Hacking ist ein Beruf, der sich gerade herausbildet. Ich kenne ein paar Personen, die es hauptberuflich machen, aber für die Mehrheit ist es eine Zusatztätigkeit.
Ihr Team wehrt monatlich rund hundert gezielte Angriffe, 14 000 Angriffe auf das Postnetz und 280 Phishing-Wellen ab. Ist die Post ein besonders attraktives Ziel?
Nein, ich würde sagen, die Zahl der Angriffe bewegt sich im normalen Rahmen. Mit der Pandemie zugenommen hat sicher die Zahl der im Namen der Post versendeten Spam-Mails. Aber das ist ein Trend, mit dem Postunternehmen auf der ganzen Welt zu kämpfen haben.
Wie zufrieden waren Sie mit den Ergebnissen von LeHACK in Paris?
Ehrlich gesagt hätte ich erwartet, dass die Hacker mehr Schwachstellen finden. In der IT-Branche ist man nie für alles gewappnet, wir sind also für jede gefundene Schwachstelle dankbar. In Zukunft werden wir bestimmt wieder ähnliche Projekte durchführen.