DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Schwar­min­tel­ligenz in der IT-Sicherheit

Crow­d­­sourcing-Lösungen werden in allen Bereichen immer popu­lärer. Kann man auch die Sicherheit eines Unter­nehmens kom­plett in die Hände der Masse legen?

Schwar­min­tel­ligenz ist ein Phä­nomen, das erst durch das Internet möglich wurde. Jeder kann sich mit jedem aus­tau­schen. Auf Platt­formen können gemeinsam Ideen ent­wi­ckelt und nach­ver­folgt werden. Unter­nehmen können so bei­spiels­weise ihre Kunden bei der Wei­ter­ent­wicklung ihrer Pro­dukte einbeziehen.


Neben der Schwar­min­tel­ligenz hat das Internet aber auch die Cyber­kri­mi­na­lität erst möglich gemacht. In diesem Bereich sind der Fort­schritt und das Gefah­ren­po­tenzial so stark ange­stiegen, dass Unter­nehmen Ein­dring­linge kaum noch abwehren können. Vor allem kleine Unter­nehmen können bei diesem Wett­rüsten kaum noch mit­halten und werden so zu poten­zi­ellen Opfern.


Gute Hacker
Es stellt sich mitt­ler­weile die Frage, ob Unter­nehmer sich mit­hilfe von Schwar­min­tel­ligenz schützen können. Viele Unter­nehmen nutzen bereits die Mög­lichkeit von Bug Bounty-Pro­­­grammen. Sie loben also eine Belohnung für „gute Hacker“ aus, die Schwach­stellen in der Software aus­findig machen und sie an das Unter­nehmen melden. So können Sicher­heits­löcher schnell und kos­ten­günstig gestopft werden. Ein Sicher­heits­vorfall und der damit ver­bundene Image­schaden wiegen wesentlich schwerer, als die Beloh­nungen, die im Ver­gleich dazu eher Peanuts sind.


Weil das mitt­ler­weile so gut funk­tio­niert, fordert das NIST (National Institute of Stan­dards and Tech­nology) in den USA Unter­nehmen dazu auf sich in IT-Sicher­heits­­­be­langen zusam­men­zu­schließen und die Infor­ma­tionen zu teilen und aus­zu­tau­schen. Die Phi­lo­sophie dahinter ist ein­leuchtend. Durch einen schnellen Infor­ma­ti­ons­aus­tausch könnten Unter­nehmen aktuelle Bedro­hungs­lagen schneller erkennen und eindämmen.
Aller­dings zeigen gerade auch Bug Bounty-Pro­­­gramme die Schwächen der Schwar­min­tel­ligenz. Erst kürzlich konnte ein Teil­nehmer am Facebook Bug Bounty- Pro­gramm tiefer ein­dringen, als von Facebook erwartet und somit an ver­trau­liche Per­so­nen­daten gelangen. Dass dies publik wurde, war Facebook sehr unan­genehm. Der Social Network Riese bezich­tigte den Bug­jäger dann auch des unethi­schen Verhaltens.
 

Bug Bounty-Pro­­­gamme
Zu solchen Vor­fällen kann es kommen, wenn die Richt­linien für Bug Bounty-Pro­­­gamme nicht bindend sind. Außerdem werden sich auch die „guten Hacker“ nicht entlang der Risiko- und Sicher­heits­stra­tegie eines Unter­nehmens ent­lang­hacken. Denn diese sollten sie ja tun­lichst nicht kennen. Was bleibt, ist also das eher unge­steuerte und zufällige Auf­finden von Sicher­heits­lücken, die dann auch noch publik werden können. So liefert ein­fache Schwar­min­tel­ligenz aber keine struk­tu­rierten Lösungen, die bei­spiels­weise mit einem gezielten Pene­tra­ti­onstest ver­gleichbar wären.


Mitt­ler­weile gibt es bereits einige Unter­nehmen aus dem IT-Sicher­heits­­­be­­reich, die crowd­sour­cing­ba­sierte Sicher­heits­software anbieten. Diese Unter­nehmen sammeln Bedro­hungs­in­for­ma­tionen aus ver­schie­denen Quellen und ver­packen sie zur Ver­teilung an die Kunden als Teil einer Managed-Security-Plattform. Durch das Ein­sammeln, die Aggre­gation und einen Über­prü­fungs­prozess ver­suchen diese Anbieter eine größere Trans­parenz und ein grö­ßeres Ver­trauen in die kumu­lierten Infor­ma­tionen zu erzeugen.

Fazit:
Solche Modelle bewähren sich auch in der Praxis, denn hier wird die Intel­ligenz der Menge kana­li­siert. Schwar­min­tel­ligenz ja, aber gesteuert oder nur als Ergänzung zu einem auf das Unter­nehmen abge­stimmten Sicherheitskonzept.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.