Mehr als eines unter zehn Unternehmen hat kürzlich eine Datenschutzverletzung aufgrund einer nicht gepatchten Sicherheitsschwachstelle hinnehmen müssen

HackerOne, die weltweit führende Plattform für Hacker-getriebene Sicherheit, veröffentlicht aktuelle Umfrageergebnisse. Demnach glaubt die überwiegende Mehrzahl der befragten Sicherheitsexperten, dass Menschen noch immer effektiver sind als Maschinen, wenn es darum geht Sicherheitsschwachstellen aufzudecken und digitale Werte zu schützen.

 

Die auf der Infosecurity Europe im Juni 2019 durchgeführte Umfrage hat ergeben, dass 53 Prozent der Befragten es für die effektivste Methode zur Aufdeckung bisher unbekannter Schwachstellen halten, die Perspektve eines Außenstehenden einzunehmen, also die eines Hackers oder Pentesters. Demgegenüber gehen nur 27 Prozent der Befragten davon aus, dass Schwachstellen-Scanner oder andere automatisierte Methoden am verlässlichsten sind.

 

Laurie Mercer, Security Engineer bei HackerOne: “Ich bin trotzdem überrascht, dass eine große Zahl der Befragten sich doch einzig und allein auf automatisierte Scanner verlässt und dieser Methode vertraut. Eine Methode, der die Einzigartigkeit fehlt. Automation ist kein Äquivalent für menschliche Intelligenz.”

 

Die Umfrage hat weiterhin ergeben, dass über eines von zehn Unternehmen (12 Prozent) in jüngster Zeit mit einer Datenschutzverletzung konfrontiert war, die auf eine nicht gepatchte Sicherheitsschwachstelle zurückging. 79 Prozent gaben an, dass unbekannte Sicherheitsschwachstellen eine ernste Bedrohung für ihr Unternehmen darstellen.

 

Laurie Mercer weiter: “Jeder einzelne und jedes einzelne Unternehmen ist angreifbar, ist verwundbar. Da macht es Sinn einander zu helfen. Es existiert eine große Gemeinschaft an vertrauenswürdigen Sicherheitsforschern, die ein natürliches Talent haben, nicht gepatchte und bisher unbekannte Schwachstellen aufzudecken. Der meines Erachtens nach beste Weg Hacking zu verhindern ist, von Leuten gehackt zu werden, denen man vertrauen kann. Gemeinsames Ziel ist es, das Internet sicherer zu machen.”

 

Weltweit vertrauen inzwischen immer mehr Unternehmen sogenannten “Ethical Hackern”, um Webseiten, Anwendungen oder Hardware sicherer zu machen. HackerOne hat kürzlich eine Liste der Top 20 Bounty Programsveröffentlicht, bei denen Hacker sich engagieren um Schwachstellen aufzufinden. Die Liste basiert auf 1.400 Kundenprogrammen, deren Daten öffentlich zugänglich und im Verzeichnis der HackerOne-Programme aufgeführt sind. Das Ranking ergibt sich aus der Gesamtsumme der kumulierten Zahlungen (Bounties), welche die betreffenden Unternehmen über die Laufzeit der Programme an Hacker ausgezahlt haben. Das Ranking berücksichtigt darüber hinaus Auszeichnungen für die Programme, die zu den Top 5 mit den schnellsten Antwortzeiten und den am schnellsten ausgezahlten Bounties zählen sowie solchen Unternehmen, die die Leistung der Hacker besonders honorierten und solche, die die meisten Schwachstellen-Reports abgeschlossen haben und weitere Kriterien mehr.

 

Für Hacker sind naturgemäß die Programme mit einer schnellen Reaktion, adäquaten Zahlungen und einer guten Zahlungsmoral am attraktivsten. Es ist wenig überraschend, dass die populärsten Programme zugleich die hieraufgeführten sind.

 

Die Top 20 öffentlichen Bug-Bounty-Programme bei HackerOne, gemessen an Reaktivität, Zahlung und Dank an die Hacker sind die folgenden:

 

  1. Verizon
  2. Uber
  3. PayPal
  4. Shopify
  5. Twitter
  6. Intel
  7. Airbnb
  8. Ubiquiti Networks
  9. Valve
  10. GitLab
  11. GitHub
  12. Slack
  13. Starbucks
  14. Mail.ru
  15. Grab
  16. Coinbase
  17. Snapchat
  18. HackerOne
  19. Dropbox
  20. VK  

 

Methodologie

Die Umfrage wurde auf der Infosecurity Europe vom 4. bis zum 6. Juni 2019 unter 280 Sicherheitsexperten durchgeführt.

 

Weitere Umfragergebnisse:

  • 63 Prozent der befragten Sicherheitsexperten würden mit Hackern zusammenarbeiten wollen um herauszufinden wo die größten Sicherheitsschwachstellen des Unternehmens liegen.
  • 14 Prozent würden sich für die Zusammenarbeit mit Hackern entscheiden um sicherzustellen, dass ihr Unternehmen kontinuierlich überwacht wird.
  • 10 Prozent der Befragten würden aus taktischen Gründen mit Hackern zuammenarbeiten, um selbst ausreichend talentierte Bewerber und Bewerberinnen für das Unternehmen zu interessieren.
  • Die überwältigende Mehrzahl der Befragten, 91 Prozent, vertreten die Ansicht, dass Hacker für das Auffinden von Sicherheitschwachstellen ausreichend entlohnt werden sollten, 63 Prozent gaben an, das sollte nur dann der Fall sein, wenn sich die Betreffenden an den korrekten (verantwortlichen) Prozess der Offenlegung von Sicherheitsschwachstellen halten.

Hinterlassen Sie eine Antwort