[datensicherheit.de, 28.10.2019] Eine aktuelle Untersuchung vergleicht laut HackerOne die Höhe der anfallenden Kosten bei einer Datenschutzverletzung mit dem Preis für eine identifizierte Schwachstelle auf dem „Bug Bounty“-Markt – demnach hätten Investitionen von umgerechnet rund 11.122 Euro potenzielle Folgekosten und Strafen in Höhe von umgerechnet rund 307 Millionen Euro verhindern können.

Abbildung: HackerOne

Kosten Datenschutzverletzung vs. Schwachstellenaufdeckung

Schwerwiegende Datenschutzverletzungen der letzten Jahre hätten drastisch gesenkt werden können

Eine neue Untersuchung, nach eigenen Angaben initiiert „von der Bug-Bounty- und Pentesting-Plattform“ HackerOne, lege offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können:
Diese Datenschutzverletzungen hätten die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und wären mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert worden.
Diese Schätzung basiere auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines „Bug Bounty“-Programms. Als Teil solcher Initiativen würden Hacker für das Aufdecken von sich möglicherweise verheerend auswirkenden Schwachstellen honoriert. Die Unternehmen bekämen einen detaillierten Bericht zur jeweiligen Schwachstelle und dazu Hinweise, wie man sie beseitigen kann, – und das, bevor Angreifer sich die Lücken zunutze machen.

Finanzielle Schäden und Reputationsverluste

Datenschutzverletzungen verursachten jährlich Schäden in Millionenhöhe und zögen „empfindliche Strafen“ nach sich. Zudem erschütterten Verstöße das Vertrauen der Kunden, hätten Reputationsverluste zur Folge und belasteten die finanzielle Bilanz eines Unternehmens.
So habe das Information Commissioner’s Office (ICO) als unabhängige Datenschutz-Aufsichtsbehörde in Großbritannien erst kürzlich verlauten lassen, dass British Airways mit einer Buße in Höhe von umgerechnet 212 Millionen Euro für den Verlust einer halben Million Kundendaten im letzten Jahr belegt werden solle.
Vermutlich hätten sich die Angreifer über eine „JavaScript“-Schwachstelle bei einem Drittanbieter Zugang zu den Systemen bei British Airways verschafft. Auf einer „Bug Bounty“-Plattform liege der Wert einer derartigen Schwachstelle zwischen etwa 4.600 und 9.300 Euro.

Schwachstellen mittels „Bug Bounty“-Programms aufdecken und verantwortungsvoll offenlegen

Gegenstand der Untersuchung von HackerOne waren nach eigenen Angaben die Kosten, welche auf Klagen und Verfahren sowie die verhängten Bußen bei vier schwerwiegenden Datenschutzverletzungen der letzten Jahre zurückgingen. Die betroffenen Unternehmen seien British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015).
Im Rahmen dieser Untersuchung seien diese Kosten mit den „Bug Bounty“-Honoraren verglichen worden, die für jene diesen Datenschutzverletzungen zugrundeliegenden Schwachstellen gezahlt worden wären. Insgesamt hätten die Kosten für alle vier Unternehmen zusammen umgerechnet rund 307 Millionen Euro betragen.
Wenn die betreffenden Schwachstellen im Rahmen eines „Bug Bounty“-Programms aufgedeckt und verantwortlich offengelegt worden wären, hätte das die Unternehmen zusammen zwischen 11.122 und rund 37.000 Euro gekostet. Diese Schätzungen basierten auf den durchschnittlich für diese Art von Schwachstellen gezahlten „Bug Bounties“.

Schwachstellen vorausschauend identifizieren und patchen!

Die Angriffsflächen vergrößerten sich weiter. Es bleibe eine andauernde Herausforderung, Cyber-Kriminellen einen Schritt voraus zu sein. Prash Somaiya, „Security Engineer“ bei HackerOne: „Die am besten geschützten Unternehmen und Organisationen sind sich bewusst, dass es verschiedene Wege gibt, herauszufinden, wo die gefährlichsten Schwachstellen liegen. Mithilfe eines ,Bug Bounty_-Programms und der Unterstützung von Hackern haben unsere Kunden 120.000 Schwachstellen identifizieren und beseitigen können und das, bevor ein Datenschutzverstoß aufgetreten ist.“
Ihre Untersuchung sei eine grobe Schätzung hinsichtlich der potenziell gezahlten „Bug Bounties“ innerhalb ihrer laufenden Programme mit Kunden in vergleichbaren Branchen.
Trotzdem zeige schon dieser Vergleich, dass Unternehmen Millionen sparen und Risiken senken könnten, „wenn sie ihre Schwachstellen vorausschauend identifizieren und patchen“.

Datenschutzverletzungen: Kostenvergleich mit Honoraren für Schwachstellenaufdeckung

Weltweit profitierten Unternehmen in Sachen IT-Sicherheit von „Bug Bounty“-Programmen und der Expertise von Hackern.
Der jährliche, vor kurzem veröffentlichte „Hacker-Powered Security Report“ bestätige, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauere, bis Hacker im Rahmen eines neu initiierten „Bug Bounty“-Programms die erste valide Schwachstelle meldeten.
25 Prozent der gefundenen validen Schwachstellen fielen in die Kategorie „hohes“ bis „kritisches“ Sicherheitsrisiko.

Weitere Informationen zum Thema:

|1:blog, 11.06.2019
THE HACKERONE TOP 10 MOST IMPACTFUL AND REWARDED VULNERABILITY TYPES

datensicherheit.de, 28.04.2019
HackerOne-Jahresbericht: Hacker Community wächst um 100 %

[datensicherheit.de, 28.04.2019] HackerOne, eine Hacker-basierte Sicherheitsplattform, die zwischen Sicherheitsforschern und Firmen vermittelt, hat die Ergebnisse ihres 2019 Hacker Report vorgestellt. Demnach hat sich die Hacker Community im Verhältnis zum Vorjahr verdoppelt, und es wurden19 Millionen US-Dollar an Belohungen ausgezahlt. Die Zahl entspricht annähernd der Gesamtsumme an Bug-Bounties, die in den vorherigen sechs Jahren zusammen genommen ausgezahlt wurden. Der Jahresreport von HackerOne ist eine Benchmark-Studie für gezahlte Bug-Bounties und die innerhalb des Ökosystems gemeldeten Schwachstellen. Die Zahlen sprechen eine deutliche Sprache hinsichtlich der Motivation der beteiligten Sicherheitsforscher, ihrer Ausbildung und dem derzeitigen Fortbildungsstand sowie zu den bevorzugt benutzten Tools, Angriffsoberflächen, der Finanzierung und Zusammenarbeit.

Mehr als 93.000 Sicherheitsschwachstellen gefunden, gemeldet und beseitigt

Laut Angaben des Report kommen die Hacker aus über 150 Ländern rund um den Globus. Die Sicherheitsforscher haben über 93.000 Sicherheitsschwachstellen aufgefunden, gemeldet und beseitigt und damit Einnahmen von 42 Millionen Dollar an ausgeschütteten Bug-Bounties erzielt. Die meisten der auf der HackerOne-Plattform registrierten Hacker (51 %) kommen aus Indien, den Vereinigten Staaten, Russland, Pakistan und dem Vereinigten Königreich. 2018 sind zum ersten Mal auch sechs afrikanische Nationen dabei. Hacker aus Indien und den Vereinigten Staaten machen allein 30 % der Sicherheitsforscher aus. Hier haben sich die Zahlen in 2018 verändert gegenüber zuvor 43 %. Dies ist ein deutliches Indiz für die zunehmende Globalisierung unter den bei HackerOne registrierten Sicherheitsforschern.

Zunehmende Globalisierung

Die zunehmende Globalisierung ist zu einem Teil auf die wachsenden Einnahmequellen für Hacker innerhalb der IT-Sicherheit zurückzuführen. Die Topverdiener bei HackerOne nehmen bis zum vierzigfachen dessen ein, was ein Softwareentwickler durchschnittlich im Jahr und im betreffenden Land verdient. Dazu gehört auch der erste auf der HackerOne-Plattform registrierte Bug-Bounty-Millionär für gemeldete Schwachstellen. Einige Hacker haben bis zu 100.000 US-Dollar für das Offenlegen einer kritischen Sicherheitslücke verdient, und Dutzende von Unternehmen beauftragen inzwischen Hacker, die sie im Rahmen des Programms kennengelernt haben. Zum Tätigkeitsprofil von HackerOne zählt die Veröffentlichung von Bug Reports. Die Plattform stellt nach eigenen Angaben aber auch ein Forum für persönliche und öffentliche Interaktionen zur Verfügung. Dies schafft die Voraussetzungen für eine qualifizierte Auftragsvergabe an  Hacker. HackerOne übernimmt dabei eine führende Rolle als Vermittler zwischen Firmen und Sicherheitsforschern.

Luke Tucker, Senior Director of Community and Content bei HackerOne: „Die Wahrnehmung von Hackern beginnt sich zu verändern. Die Häufigkeit mit der Unternehmen und Regierungsbehörden sich Cyberattacken ausgesetzt sehen hat neue Höhen erreicht. Mehr und mehr werden sich die Betroffenen bewusst, dass sie eine Armee von hochbegabten und kreativen Individuen brauchen um sich wirksam zu schützen – Hacker. Je mehr Unternehmen die Hacker Community als Gemeinschaft von Sicherheitsforschern beauftragen, desto sicherer werden Kunden und Bürger letztendlich sein.“

Imagewandel erkennbar

Das Image von Hackern hat sich nach Angaben von HackerOne weiterentwichelt. Beinahe zwei Drittel aller Amerikaner (64 %) hat inzwischen erkannt, dass Hacker nicht nur Schaden anrichten wollen.

Daraus ist ein wachsendes Interesse entstanden sich der Hacker Community anzuschließen, motiviert allerdings nicht allein durch die Höhe der potenziellen Belohnungen. Beinahe dreimal soviele Hacker (40.52 %) haben mit dem Hacking angefangen, weil sie mehr lernen wollten sowie als Beitrag zu ihrer Karriere und ihrem persönlichen Wachstum. Der Spaß an der Sache ist dabei mit 13,53 % beinahe annähernd so wichtig die finanzielle Motivation mit 14, 26 %. Mit jedem neuen Unternehmen und jeder Regierungsbehörde, die täglich die Vermittlung von HackerOne in Anspruch nehmen – so wie das U.S. Department of Defense, General Motors, Alibaba, Goldman Sachs, Toyota, IBM und weitere mehr  — wächst das Interesse und der Wunsch das Internet zu einem sichereren Platz zu machen (9,31%).

Weitere Informationen zum Thema:

HackerOne
The 2019 Hacker Report

datensicherheit.de, 22.08.2018
Cybersicherheit: Erfolgsfaktoren für Bug Bounty-Programme

datensicherheit.de, 21.08.2018
Nextcloud setzt auf Sicherheit mit Bug Bounty-Programm von HackerOne

datensicherheit.de, 11.07.2018
Cyber-Risiken reduzieren: Hochqualifizierte kreative Hacker-Community nutzen