Ein Bug Bounty Program für SIX: Wenn Unternehmen Hacker einladen

«Als ich meinen Eltern eröffnete, dass ich Hacker werden will, hielt sich ihre Begeisterung in engen Grenzen», sagt Alexander Hagenah und lacht. Seit er zwölf Jahre alt ist, hat der Head Cyber Controls von SIX nichts anderes im Kopf, als «Wege zu finden, Sicherheitssysteme zu umgehen und in Computer einzusteigen». Auch die schulische Leistung litt unter seinem Hobby, die Eltern schafften es gerade noch, ihn durch eine Lehre als Anwendungsentwickler zu schleifen.

Bei seinen ersten Hacker-Gehversuchen waren die Ziele von Alexander Hagenah nicht immer hehrer Natur. Das änderte sich jedoch schnell und er begann, für Unternehmen und Regierungen zu arbeiten, indem er deren Abwehrdispositiv testete. Er wurde zu einem sogenannten ethischen Hacker.

Ethische Hacker wenden die «gleichen Verfahren wie ihre skrupellosen Pendants» an, doch «melden sie erkannte Probleme an ihre Auftraggeber und nutzten sie nicht zu ihrem eigenen Vorteil aus», so die Definition von «ComputerWeekly». Bisweilen werden ethische Hacker auch White Hats genannt, eine Anspielung auf Westernfilme, wo die guten Cowboys weisse Hüte, die bösen schwarze Hüte tragen.

Auf den Punkt bringt es die «New York Times»: «Die Lösung für das Hacker-Problem? Mehr Hacker!» Der Markt für ethisches Hacken ist gemäss einer Studie allein in den USA bereits 4 Milliarden US-Dollar gross und es gibt auch schon Kurse, die ein Diplom in ethischem Hacken anbieten.

Alexander Hagenah arbeitete viele Jahre für ein deutsch-britisches Spionage-Software-Unternehmen, seine Kunden waren Geheimdienste und Regierungen rund um die Welt. Mit seinen Fähigkeiten als ethischer Hacker ermöglichte er diesen innovative Massnahmen der Offensive Cybersecurity.

Im Mai 2021 stiess Alexander Hagenah zu SIX. Seine Aufgabe: mit einem neuen Offensive Cybersecurity Team Schwachstellen im eigenen System aufdecken. «Oder einfacher gesagt: Ich sollte eine Hackerbande zusammenstellen – ein superspannender Job», so Alexander Hagenah. Sein erster Eindruck: «Wir starteten auf einem viel höheren Niveau, als ich es im Regierungsumfeld gewohnt war.» Alexander Hagenah holt einige der besten Cyberspezialisten zu SIX und führt mit ihnen alle Spielarten der Offensive Cybersecurity durch. Zum Arsenal von Alexander Hagenahs Team gehören:

• Red/Purple Team: Das Team nimmt die Rolle von Hackern ein, entweder in Absprache mit der Defensive Cybersecurity von SIX (Purple) oder ohne Vorwarnung (Red). Ziel: Die Defensive schulen und stärken. 
• Penetrationstests (kurz Pentests): Das Team greift die eigenen Systeme an. Ziel: Sicherheitslücken entdecken.
• Bug Bounty Program: Externe Hacker suchen Schwachstellen auf der Website von SIX. Ziel: Sicherheitslücken über einen längeren Zeitraum hinweg entdecken.

Bug Bounty Programs gibt es schon seit 1983 (siehe Box), dem Jahr in dem Alexander Hagenah das Licht der Welt erblickte. Das Bug Bounty Program von SIX gibt es im Frühjahr 2022 zum ersten Mal. SIX führt es mit HackerOne durch, der grössten White-Hat-Plattform der Welt. Seit 2012 hat sie über 100 Millionen US-Dollar an Bounties, «Kopfgeld», ausbezahlt. Auf dem Portal des Branchenleaders werden derzeit knapp 400 aktive Programme geführt, viele davon sind für illustre Auftraggeber wie das US-Verteidigungsministerium, IBM, Twitter oder TikTok. «Ziel unseres Bug Bounty Programs ist es, Schwachstellen auf unserer Website zu finden, auf die wir selbst nicht kommen», so Alexander Hagenah.

Er nennt drei Gründe, warum das klappen sollte: «Erstens bringen externe Hacker ihre eigenen Ideen mit, zweitens nehmen viel mehr Leute teil, als ich Teammitglieder habe, und drittens läuft ein Bug Bounty Program während Jahren – ein Pentest ist oft nach einer Woche wieder vorbei.» Je nachdem, welche Erfahrungen SIX mit dem Bug Bounty Program sammelt, liesse sich das Prinzip ausdehnen, beispielsweise auf die Cloud oder interne Systeme von SIX, so Alexander Hagenah.

Für Alexander Hagenah ist es unerlässlich, ein Ohr in der Hackerszene zu haben, denn Cybersecurity sei unheimlich dynamisch. Ein Bug Bounty Program diene in diesem Zusammenhang nicht nur dem Erkenntnisgewinn über die eigenen Schwächen, sondern helfe auch, sich bei den besten ethischen Hackern der Welt einen Namen als Auftraggeber zu machen.

Vor ein paar Jahren ging eine Meldung um die Welt, wonach ein ethischer Hacker eine Million US-Dollar erhielt für die Offenlegung einer Lücke in einem iPhone-Betriebssystem. Der Alltag von ethischen Hackern sieht jedoch meist etwas weniger glamourös aus: Für das Aufspüren von Zero-Day Vulnerabilities, wie bisher unbekannte Sicherheitslücken genannt werden, bezahlen Unternehmen in der Regel «je nach Bedeutung des Bugs zwischen 50 und 10’000 US-Dollar», so Alexander Hagenah. «Spürt man um die 100 Lücken pro Jahr auf, lässt sich komfortabel von Bug Bounty Programs leben», zumal viele der ethischen Hacker in exotischen Destinationen leben würden und mit wenig Geld durchkämen – viele, aber nicht alle. Wie Alexander Hagenah selbst haben auch andere ethische Hacker in Cybersecurity-Abteilungen von Unternehmen angeheuert. Vielfach betreiben sie das Jagen nach Fehlern als Hobby weiter.

Die Eltern von Alexander Hagenah haben ihm die Berufswahl übrigens längst verziehen. «Unterdessen sind sie sogar stolz auf mich, besonders wenn ich ihnen erzähle, dass ich mithalf, Attentate zu verhindern, Ringe für Kinderpornografie und Terroristennetzwerke aufzudecken oder Drogen- und Menschenhandel zu unterbinden.» Auch bei SIX hat Alexander Hagenah Grosses vor. Er will eine der besten Offensive Cybersecurities der Schweiz aufbauen.