[datensicherheit.de, 11.08.2020] hackerone hat am 11. August 2020 Forschungsergebnisse einer neuen Studie veröffentlicht, die im Juli 2020 von Opinion Matters im Auftrag durchgeführt worden sei. Der vierte hackerone-Jahresbericht mit dem Titel „Hacker Powered Security“ werde noch im August 2020 in voller Länge veröffentlicht. Er befasst sich laut hackerone unter anderem mit den Erfahrungen von Kunden und Hackern während der „Pandemie“ und zeigt neueste Trends auf.

Abbildung: hackerone

hackerone-Umfrage zu den Folgen der Corona-Pandemie

Umfrage, wie CISOs Corona-Herausforderungen gemeistert

Insgesamt seien im Rahmen dieser Studie 1.400 Sicherheitsexperten von Unternehmen mit mehr als 1.000 Beschäftigten in Großbritannien, Frankreich, Deutschland, Australien, Singapur, den USA und Kanada befragt worden – Ziel war demnach herauszufinden, wie „,CISOs‘ die Herausforderungen im Zuge der ,COVID-19‘-Pandemie gemeistert haben“. Dabei habe sich gezeigt, dass rund ein Drittel der „CISOs“ vor „erheblichen Herausforderungen standen und immer noch stehen“.

Jeder Dritte Befragte hat in der Corona-Krise verstärkt IT-Angriffe erlebt

Jeder Dritte befragte deutsche CISO, CTO oder CIO habe angegeben, dass sie in Folge der „Pandemie“ verstärkt Angriffe auf ihre IT-Systeme erlebt hätten. Parallel dazu sagten 41 Prozent der Befragten, dass sie die Sicherheit der Home-Office-Arbeitsplätze und der genutzten Collaboration-Tools gegenüber anderen Applikationen hätten priorisieren müssen. Infolgedessen seien 70 Prozent der Befragten in Deutschland der Ansicht, dass sich aufgrund von „COVID-19“ die Wahrscheinlichkeit eines Datenlecks für ihre Organisation vergrößert habe.

Corona hat das Leben ins Web verlagert – mit Chancen und Risiken

„Die ,COVID-19-Pandemie‘ hat das Leben ins Web verlagert“, so Marten Mickos, CEO von hackerone. Da Unternehmen bestrebt seien, den speziellen Erfordernissen des Home-Offices und gleichzeitig den Kundenbedürfnissen nach digitalen Diensten Rechnung zu tragen, habe sich ihre Angriffsfläche drastisch vergrößert. Die Folge sei, dass die Sicherheitsteams nicht in ausreichendem Maß und der nötigen personellen Besetzung zur Verfügung stünden. Mickos: „Genau hier kommen ,White Hat Hacker‘ ins Spiel, indem man ihre Kreativität und Erfahrung nutzt, um Software sicherer zu machen und bedrohliche Aktivitäten zu verhindern.“

Corona-Folge: Gegenüber Schwachstellen-Berichten von Dritten offener

Seit März 2020 verzeichne hackerone im Vergleich zum Vorjahreszeitraum einen Anstieg von 56 Prozent neuer Anmeldungen von Hackern auf seiner Plattform. Angesichts der Tatsache, dass die Budgets und Teams bei einem Viertel der Befragten gekürzt worden sei, „ist es nicht überraschend, dass 34 Prozent der deutschen ,CISOs‘ äußern, dass sie nun Schwachstellen-Berichten von Dritten offener gegenüberstehen als vor der ,Pandemie‘.“

Digitale Initiativen in Corona-Krise bei 37% deutscher Sicherheitsverantwortlicher beschleunigt

Die Unternehmen würden erkennen, dass sie mit ihrer Digitalen Transformation und der Cloud-Migration zu langsam gewesen seien, so Mickos weiter. „Untersuchungen von hackerone ergaben, dass sich die digitalen Initiativen in Folge von „COVID-19“ bei 37 Prozent der deutschen Sicherheitsverantwortlichen beschleunigt haben. Fast ein Drittel war gezwungen, dies umzusetzen, bevor sie bereit dazu waren. Die Belastung, die die Sicherheitsteams derzeit erleben, ist immens. Mit Hilfe von Hackern durchgeführte Crowdsourcing-Sicherheitstests sind ein schneller und kosteneffizienter Weg, um das Risiko von Schwachstellen zu minimieren.“

Weitere Informationen zum Thema:

hackerone, 11.08.2020
COVID Confessions of a CISO / Hacker Powered Security Report

datensicherheit.de, 13.05.2020
CISO – Empfehlungen zur Einstellung, Bindung und Weiterentwicklung künftiger Sicherheitsexperten

[datensicherheit.de, 28.10.2019] Eine aktuelle Untersuchung vergleicht laut HackerOne die Höhe der anfallenden Kosten bei einer Datenschutzverletzung mit dem Preis für eine identifizierte Schwachstelle auf dem „Bug Bounty“-Markt – demnach hätten Investitionen von umgerechnet rund 11.122 Euro potenzielle Folgekosten und Strafen in Höhe von umgerechnet rund 307 Millionen Euro verhindern können.

Abbildung: HackerOne

Kosten Datenschutzverletzung vs. Schwachstellenaufdeckung

Schwerwiegende Datenschutzverletzungen der letzten Jahre hätten drastisch gesenkt werden können

Eine neue Untersuchung, nach eigenen Angaben initiiert „von der Bug-Bounty- und Pentesting-Plattform“ HackerOne, lege offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können:
Diese Datenschutzverletzungen hätten die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und wären mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert worden.
Diese Schätzung basiere auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines „Bug Bounty“-Programms. Als Teil solcher Initiativen würden Hacker für das Aufdecken von sich möglicherweise verheerend auswirkenden Schwachstellen honoriert. Die Unternehmen bekämen einen detaillierten Bericht zur jeweiligen Schwachstelle und dazu Hinweise, wie man sie beseitigen kann, – und das, bevor Angreifer sich die Lücken zunutze machen.

Finanzielle Schäden und Reputationsverluste

Datenschutzverletzungen verursachten jährlich Schäden in Millionenhöhe und zögen „empfindliche Strafen“ nach sich. Zudem erschütterten Verstöße das Vertrauen der Kunden, hätten Reputationsverluste zur Folge und belasteten die finanzielle Bilanz eines Unternehmens.
So habe das Information Commissioner’s Office (ICO) als unabhängige Datenschutz-Aufsichtsbehörde in Großbritannien erst kürzlich verlauten lassen, dass British Airways mit einer Buße in Höhe von umgerechnet 212 Millionen Euro für den Verlust einer halben Million Kundendaten im letzten Jahr belegt werden solle.
Vermutlich hätten sich die Angreifer über eine „JavaScript“-Schwachstelle bei einem Drittanbieter Zugang zu den Systemen bei British Airways verschafft. Auf einer „Bug Bounty“-Plattform liege der Wert einer derartigen Schwachstelle zwischen etwa 4.600 und 9.300 Euro.

Schwachstellen mittels „Bug Bounty“-Programms aufdecken und verantwortungsvoll offenlegen

Gegenstand der Untersuchung von HackerOne waren nach eigenen Angaben die Kosten, welche auf Klagen und Verfahren sowie die verhängten Bußen bei vier schwerwiegenden Datenschutzverletzungen der letzten Jahre zurückgingen. Die betroffenen Unternehmen seien British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015).
Im Rahmen dieser Untersuchung seien diese Kosten mit den „Bug Bounty“-Honoraren verglichen worden, die für jene diesen Datenschutzverletzungen zugrundeliegenden Schwachstellen gezahlt worden wären. Insgesamt hätten die Kosten für alle vier Unternehmen zusammen umgerechnet rund 307 Millionen Euro betragen.
Wenn die betreffenden Schwachstellen im Rahmen eines „Bug Bounty“-Programms aufgedeckt und verantwortlich offengelegt worden wären, hätte das die Unternehmen zusammen zwischen 11.122 und rund 37.000 Euro gekostet. Diese Schätzungen basierten auf den durchschnittlich für diese Art von Schwachstellen gezahlten „Bug Bounties“.

Schwachstellen vorausschauend identifizieren und patchen!

Die Angriffsflächen vergrößerten sich weiter. Es bleibe eine andauernde Herausforderung, Cyber-Kriminellen einen Schritt voraus zu sein. Prash Somaiya, „Security Engineer“ bei HackerOne: „Die am besten geschützten Unternehmen und Organisationen sind sich bewusst, dass es verschiedene Wege gibt, herauszufinden, wo die gefährlichsten Schwachstellen liegen. Mithilfe eines ,Bug Bounty_-Programms und der Unterstützung von Hackern haben unsere Kunden 120.000 Schwachstellen identifizieren und beseitigen können und das, bevor ein Datenschutzverstoß aufgetreten ist.“
Ihre Untersuchung sei eine grobe Schätzung hinsichtlich der potenziell gezahlten „Bug Bounties“ innerhalb ihrer laufenden Programme mit Kunden in vergleichbaren Branchen.
Trotzdem zeige schon dieser Vergleich, dass Unternehmen Millionen sparen und Risiken senken könnten, „wenn sie ihre Schwachstellen vorausschauend identifizieren und patchen“.

Datenschutzverletzungen: Kostenvergleich mit Honoraren für Schwachstellenaufdeckung

Weltweit profitierten Unternehmen in Sachen IT-Sicherheit von „Bug Bounty“-Programmen und der Expertise von Hackern.
Der jährliche, vor kurzem veröffentlichte „Hacker-Powered Security Report“ bestätige, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauere, bis Hacker im Rahmen eines neu initiierten „Bug Bounty“-Programms die erste valide Schwachstelle meldeten.
25 Prozent der gefundenen validen Schwachstellen fielen in die Kategorie „hohes“ bis „kritisches“ Sicherheitsrisiko.

Weitere Informationen zum Thema:

|1:blog, 11.06.2019
THE HACKERONE TOP 10 MOST IMPACTFUL AND REWARDED VULNERABILITY TYPES

datensicherheit.de, 28.04.2019
HackerOne-Jahresbericht: Hacker Community wächst um 100 %

[datensicherheit.de, 11.06.2019] HackerOne veröffentlicht nach eigenen Angaben erstmals einen Forschungseinblick hinsichtlich der zehn wirkungsvollsten Sicherheitsschwachstellen, die im Rahmen seiner Programme gemeldet wurden. An diesen Schwachstellen haben die bei der HackerOne-Plattform erfassten Hacker demnach über 54 Millionen US-Dollar Beute gemacht. HackerOne hat eine interaktive Seite veröffentlicht, auf der die Schwachstellen mit dem höchsten Schweregrad verzeichnet sind. Dieser sei zum einen bezogen auf die Zahl der Meldungen insgesamt, zum anderen auf die Häufigkeit mit der diese Schwachstellen seitens der Industrie gemeldet wurden. Die Daten basierten auf über 120.000 gemeldeten Schwachstellen aus mehr als 1.400 Kundenprogrammen weltweit.

HackerOne: Top 10 der Schwachstellen

• Cross-site Scripting-Angriffe – AlleTypen (DOM-basiert, reflektiert, beständig, generisch)
• Unsachgemäße Authentifizierung – generisch
• Offenlegung von Informationen
• Privilege Escalation / Privilegienerweiterung
• SQL-Injektion
• Code-Injektion
• Server-Side Request Forgery (SSRF) – serverseitige Fälschung von Anforderungen
• Insecure Direct Object Reference (IDOR) – Objektreferenz auf diese Objekte ist manipulierbar
• Unsachgemäß vergebene Zugriffsberechtigungen / Zugriffskontrolle – generisch
• Cross-Site Request Forgery (CSRF) – Unterschieben eines ungewollten Webaufrufs

Für Sicherheitsteams von besonderem Interesse

„Wir sehen eine 40-prozentige Überschneidung zwischen den Top-10-Sicherheitsschwachstellen mit der jüngsten OWASP-Top-10-Veröffentlichung. Cross-site Scripting-Angriffe (XSS), das Offenlegen von Informationen und Injektionsvarianten sind auf beiden Listen vertreten. Beide Quellen unterstützen Sicherheitsabteilungen dabei, die größten Risiken zu erkennen“, sagt Miju Han von HackerOne.
Ihre Liste beziehe zusätzlich mit ein, wie oft die betreffenden Schwachstellen aufgetreten sind und wie sich ihr Wert in „Bug Bounties“ beziffert. „Das sollte für Sicherheitsteams von besonderem Interesse sein, wenn man sich vor kriminellen Hackern schützen will.”

Kritisch oder höchst schwerwiegend: 60 % der ausgezahlten „Bug Bounties“

„Wenn man sich die kumulative Höhe der ,Bounties‘ anschaut, die für kritische und höchst schwerwiegende Bugs gezahlt wurden, macht die Summe 60 Prozent der insgesamt ausgezahlten ,Bug Bounties‘ aus. Wenn man die Zahl der gemeldeten Schwachstellen untereinander vergleicht, sind darunter drei Mal so viele schwerwiegende Bugs gegenüber kritischen gemeldet“, berichtet Miju.
Auf der anderen Seite summierten sich die für minderschwere Bugs gezahlten ,Bounties‘ auf nur acht Prozent der Gesamtsumme, die in etwa 30 Prozent der Zahl der gemeldeten Schwachstellen entspreche. „Wir sind jetzt in der glücklichen Lage das umfassende Datenmaterial mit unseren Kunden und der Industrie zu teilen. Diese Informationen gestatten eine zuverlässige Einschätzung welche Schwachstellen wahrscheinlich am teuersten werden.”

Weitere Informationen zum Thema:

hackerone
The HackerOne Top 10 Most Impactful Vulnerability Types

|1:blog, 11.06.2019
THE HACKERONE TOP 10 MOST IMPACTFUL AND REWARDED VULNERABILITY TYPES

datensicherheit.de, 28.04.2019
HackerOne-Jahresbericht: Hacker Community wächst um 100 %

datensicherheit.de, 21.08.2018
Nextcloud setzt auf Sicherheit mit Bug Bounty-Programm von HackerOne

[datensicherheit.de, 28.04.2019] HackerOne, eine Hacker-basierte Sicherheitsplattform, die zwischen Sicherheitsforschern und Firmen vermittelt, hat die Ergebnisse ihres 2019 Hacker Report vorgestellt. Demnach hat sich die Hacker Community im Verhältnis zum Vorjahr verdoppelt, und es wurden19 Millionen US-Dollar an Belohungen ausgezahlt. Die Zahl entspricht annähernd der Gesamtsumme an Bug-Bounties, die in den vorherigen sechs Jahren zusammen genommen ausgezahlt wurden. Der Jahresreport von HackerOne ist eine Benchmark-Studie für gezahlte Bug-Bounties und die innerhalb des Ökosystems gemeldeten Schwachstellen. Die Zahlen sprechen eine deutliche Sprache hinsichtlich der Motivation der beteiligten Sicherheitsforscher, ihrer Ausbildung und dem derzeitigen Fortbildungsstand sowie zu den bevorzugt benutzten Tools, Angriffsoberflächen, der Finanzierung und Zusammenarbeit.

Mehr als 93.000 Sicherheitsschwachstellen gefunden, gemeldet und beseitigt

Laut Angaben des Report kommen die Hacker aus über 150 Ländern rund um den Globus. Die Sicherheitsforscher haben über 93.000 Sicherheitsschwachstellen aufgefunden, gemeldet und beseitigt und damit Einnahmen von 42 Millionen Dollar an ausgeschütteten Bug-Bounties erzielt. Die meisten der auf der HackerOne-Plattform registrierten Hacker (51 %) kommen aus Indien, den Vereinigten Staaten, Russland, Pakistan und dem Vereinigten Königreich. 2018 sind zum ersten Mal auch sechs afrikanische Nationen dabei. Hacker aus Indien und den Vereinigten Staaten machen allein 30 % der Sicherheitsforscher aus. Hier haben sich die Zahlen in 2018 verändert gegenüber zuvor 43 %. Dies ist ein deutliches Indiz für die zunehmende Globalisierung unter den bei HackerOne registrierten Sicherheitsforschern.

Zunehmende Globalisierung

Die zunehmende Globalisierung ist zu einem Teil auf die wachsenden Einnahmequellen für Hacker innerhalb der IT-Sicherheit zurückzuführen. Die Topverdiener bei HackerOne nehmen bis zum vierzigfachen dessen ein, was ein Softwareentwickler durchschnittlich im Jahr und im betreffenden Land verdient. Dazu gehört auch der erste auf der HackerOne-Plattform registrierte Bug-Bounty-Millionär für gemeldete Schwachstellen. Einige Hacker haben bis zu 100.000 US-Dollar für das Offenlegen einer kritischen Sicherheitslücke verdient, und Dutzende von Unternehmen beauftragen inzwischen Hacker, die sie im Rahmen des Programms kennengelernt haben. Zum Tätigkeitsprofil von HackerOne zählt die Veröffentlichung von Bug Reports. Die Plattform stellt nach eigenen Angaben aber auch ein Forum für persönliche und öffentliche Interaktionen zur Verfügung. Dies schafft die Voraussetzungen für eine qualifizierte Auftragsvergabe an  Hacker. HackerOne übernimmt dabei eine führende Rolle als Vermittler zwischen Firmen und Sicherheitsforschern.

Luke Tucker, Senior Director of Community and Content bei HackerOne: „Die Wahrnehmung von Hackern beginnt sich zu verändern. Die Häufigkeit mit der Unternehmen und Regierungsbehörden sich Cyberattacken ausgesetzt sehen hat neue Höhen erreicht. Mehr und mehr werden sich die Betroffenen bewusst, dass sie eine Armee von hochbegabten und kreativen Individuen brauchen um sich wirksam zu schützen – Hacker. Je mehr Unternehmen die Hacker Community als Gemeinschaft von Sicherheitsforschern beauftragen, desto sicherer werden Kunden und Bürger letztendlich sein.“

Imagewandel erkennbar

Das Image von Hackern hat sich nach Angaben von HackerOne weiterentwichelt. Beinahe zwei Drittel aller Amerikaner (64 %) hat inzwischen erkannt, dass Hacker nicht nur Schaden anrichten wollen.

Daraus ist ein wachsendes Interesse entstanden sich der Hacker Community anzuschließen, motiviert allerdings nicht allein durch die Höhe der potenziellen Belohnungen. Beinahe dreimal soviele Hacker (40.52 %) haben mit dem Hacking angefangen, weil sie mehr lernen wollten sowie als Beitrag zu ihrer Karriere und ihrem persönlichen Wachstum. Der Spaß an der Sache ist dabei mit 13,53 % beinahe annähernd so wichtig die finanzielle Motivation mit 14, 26 %. Mit jedem neuen Unternehmen und jeder Regierungsbehörde, die täglich die Vermittlung von HackerOne in Anspruch nehmen – so wie das U.S. Department of Defense, General Motors, Alibaba, Goldman Sachs, Toyota, IBM und weitere mehr  — wächst das Interesse und der Wunsch das Internet zu einem sichereren Platz zu machen (9,31%).

Weitere Informationen zum Thema:

HackerOne
The 2019 Hacker Report

datensicherheit.de, 22.08.2018
Cybersicherheit: Erfolgsfaktoren für Bug Bounty-Programme

datensicherheit.de, 21.08.2018
Nextcloud setzt auf Sicherheit mit Bug Bounty-Programm von HackerOne

datensicherheit.de, 11.07.2018
Cyber-Risiken reduzieren: Hochqualifizierte kreative Hacker-Community nutzen

[datensicherheit.de, 11.07.2018] HackerOne hat am 11. Juli 2018 die Ergebnisse des „Hacker-Powered Security Reports 2018“ bekanntgegeben. Dieser basiere auf über 72.000 behobenen Sicherheitslücken, über 1.000 Kundenprogrammen und mehr als 31 Millionen US-Dollar Prämien für Hacker aus über 100 Ländern. Dieser Jahresreport sei eine Benchmark-Studie zu „Bug Bounties“ und „Vulnerability Disclosure“, basierend auf dem größten verfügbaren Datensatz für entdeckte Schwachstellen oder Sicherheitslücken.

Gesamtzahl hochkritischer bzw. kritischer Schwachstellen 2017 um 22 % gestiegen

Durch Hacker würden immer öfter kritische Schwachstellen entdeckt als je zuvor: Die Gesamtzahl der hochkritischen oder kritischen Schwachstellen sei im Jahr 2017 um 22 Prozent gestiegen. Darüber hinaus seien 24 Prozent der behobenen Schwachstellen branchenübergreifend als „kritisch“ bis „hochkritisch“ eingestuft worden.
Infolgedessen seien die Prämien für Bug-Reports mit besonders hohem Schweregrad gesteigen: Die höchste Prämie 2017 für einen einzelnen Report habe 75.000 US-Dollar betragen. Die größten Anbieter wie Google, Microsoft und Intel böten 250.000 US-Dollar Prämien für kritische Sicherheitslücken. Inzwischen würden dabei Falschmeldungen immer seltener auftreten – über 80 Prozent der eingereichten und qualifizierten Reports seien zutreffend.

„Crowdsourced Security Testing“ setzt sich immer mehr durch

„,Crowdsourced Security Testing‘ setzt sich immer stärker durch, und es wird erwartet, dass dies von Kunden immer schneller und auf breiter Basis akzeptiert wird“ berichtet Gartner. Besonders Regierungen seien dabei weltweit führend: Im Regierungssektor habe es eine 125-prozentige Steigerung gegenüber dem Vorjahr gegeben. Neue Aufträge seien u.a. von der Europäischen Kommission und dem Verteidigungsministerium von Singapur gekommen, die damit wie das US-Verteidigungsministerium mit HackerOne aktiv seien.
Offizielle Ausschreibungen wie „Hack the Department of Homeland Security Act“, „Hack Your State Department Act“, „Prevent Election Voting Act“ und das „Department of Justice Vulnerability Disclosure Framework“ zeigten, wie weitgehend der öffentliche Sektor bereits auf „Hacker-Powered Security“-Programme zurückgreife.

Verunsicherung über Umgang mit kritischen „Bug Reports“ von Drittanbietern

Aber auch Branchen jenseits des Technologiemarktes setzten immer stärker auf „Hacker-Powered Security“-Lösungen. Der Konsumgüter-Bereich, Finanzdienstleistungen und Versicherungen, Behörden und Telekommunikation machten heute 43 Prozent der „Bug-Bounty“-Programme aus. Die Automotive-Programme seien im vergangenen Jahr um 50 Prozent gestiegen und die Telekommunikationsprogramme um 71 Prozent.
Dennoch seien viele große Unternehmen nach wie vor mit Hinblick auf eine effektive Identifizierung, Kommunikation, Behebung und Offenlegung von Schwachstellen weitestgehend unvorbereitet. 93 Prozent der „Forbes Global 2000“-Liste von 2017 hätten keine Richtlinien dafür, wie sie mit kritischen „Bug Reports“ von Drittanbietern umgehen oder darauf reagieren können.

Foto: HackerOne

Marten Mickos: „Crowdsourced Security Testing“ setzt sich immer stärker durch

„Hacker-Powered Security“ erhält großen Stellenwert

„Die Weltwirtschaft öffnet sich der hochqualifizierten und kreativen Hacker-Community, um Cyber-Risiken zu reduzieren“, sagt Marten Mickos, „CEO“ von HackerOne:
„Ein Modell, das einst nur den größten und technologisch fortschrittlichsten Unternehmen vorbehalten war, wird heute von Organisationen jeder Größe und Branche überall auf der Welt eingesetzt. ,Hacker-Powered Security‘ erhält damit einen großen Stellenwert, durch die das Internet insgesamt sicherer wird.“

Weitere Informationen zum Thema:

|1:resources
THE HACKER-POWERED SECURITY REPORT 2018

datensicherheit.de, 21.04.2017
Exploit-basierte Cyber-Angriffe: Zuwachs um fast 25 Prozent im Jahr 2016