Die YesWeHack-Hacker-Community hat im Jahr 2020 doppelt so viele Schwachstellen identifiziert wie im Jahr 2019. Positiv zu vermerken ist, dass die Zeitspanne zwischen Identifikation und Behebung des Lecks 2020 deutlich verkürzt werden konnte. [...]
30 Prozent der gemeldeten Schwachstellen auf der YesWeHack-Plattform wurden als „hoch‟ und „kritisch‟ eingestuft, was bedeutet, dass sie katastrophale Auswirkungen gehabt hätten, wenn sie ein krimineller Hacker genutzt hätte, etwa indem sie Zugang zu allen Kundendaten erhalten oder die Infrastruktur vollständig kompromittieren hätten können.
Die Zeitspanne zwischen der Identifikation und Behebung von Schwachstellen hat sich im Jahr 2020 deutlich verkürzt – von durchschnittlich 109 Tagen im Jahr 2019 auf durchschnittlich 44 Tage im Jahr 2020. Knapp 70 Prozent der in 2020 entdeckten Sicherheitslücken wurden dabei innerhalb von 28 Tagen behoben.
Romain Lecoeuvre, CTO und Mitbegründer von YesWeHack, warnt jedoch vor der zunehmenden Anzahl von Interaktionen mit Drittsystemen wie Logistik, Kunden, Lieferanten, Dienstleister und Finanzen. Für Unternehmen wird es zunehmend schwierig, für die Sicherheit solcher Systeme zu garantieren: „Drittsysteme vergrößern die Angriffsfläche für ein Unternehmen rapide und erschweren es, die Sicherheit seiner digitalen Vermögenswerte zu gewährleisten. Diese neuen Schwachstellen, die nur unzureichend oder gar nicht kontrolliert werden, können zum Hauptziel zukünftiger Cyberangriffe werden.“
Ethische Hacker bekommen zentrale Rolle
Guillaume Vassault-Houlière, CEO und Mitbegründer von YesWeHack, ist überzeugt, dass ethische Hacker in diesem Jahr für die Cybersicherheit eine zentrale Rolle spielen werden und prognostiziert eine flächendeckende Einführung von Vulnerability Disclosure Policies (VDP) in Unternehmen: „Die Beschleunigung des digitalen Zeitalters hat sich bisher immer auf das Produkt konzentriert und nicht auf seine Nutzer. Plötzlich gibt es jedoch eine starke Nachfrage nach Transparenz und Sicherheit seitens der Nutzer gegenüber digitalen Akteuren. Die jüngste Begeisterung der Öffentlichkeit für die Messenger-App Signal, angesichts des Misstrauens gegenüber WhatsApp, ist ein perfektes Beispiel für dieses Bewusstsein. Um das Vertrauen der Nutzer zurückzugewinnen und vollständige Transparenz zu demonstrieren werden Unternehmen daher VDP-Programme einrichten müssen, um ihre Produkte von ethischen Hackern testen zu lassen. Auch Regierungen müssen ein Vorbild bei der Sicherung ihrer digitalen Daten sein und daher die verantwortungsvolle Offenlegung von Schwachstellen auf ihre Agenda setzen. Europa sollte bald Crowdsourced Security in den Mittelpunkt seiner Empfehlungen zur Cybersicherheit stellen.
„Mit Kunden aus mehr als 25 Ländern positioniert sich YesWeHack als Global Player auf dem Markt und als echte Alternative zu amerikanischen Bug-Bounty-Plattformen. Die Kunden stammen zu 35 Prozent aus der Technologie-Branche, doch auch in anderen Branchen gewinnt Bug-Bounty immer mehr an Zugkraft: Finanzdienstleistungen und Versicherungen (26 Prozent), Handel (13 Prozent), Medien und Unterhaltung (6 Prozent) und Transport (6 Prozent) setzen auf die Vorteile der Schwarmintelligenz bei der Schwachstellenjagd.
*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.
Be the first to comment