20.10.2021

TX Group/Tamedia

Öffentliches Bug-Bounty-Programm gestartet

Experten und Hacker werden für Hinweise auf Sicherheitslücken im digitalen Auftritt der Tamedia-Angebote belohnt. Andreas Schneider, Chief Information Security Officer der TX Group, über die Hintergründe.
TX Group/Tamedia: Öffentliches Bug-Bounty-Programm gestartet
«Mit unserem Bug-Bounty-Programm bezahlen wir Hacker dafür, Schwachstellen bei uns zu finden», sagt Andreas Schneider, Chief Information Security Officer der TX Group. (Bild: zVg)

Im November und Dezember 2020 waren die Medien von Tamedia Ziel eines gross angelegten Cyberangriffs (persoenlich.com berichtete). Ziel solcher Attacken ist es, die Verfügbarkeit von Computersystemen, Netzwerken und Webseiten zu stören. Die Auswirkungen für die Leserinnen und Leser in der Schweiz waren dank umfassender Schutzmassnahmen aber relativ gering, wie es in einer Mitteilung heisst. 

Regelmässig würden neben Grossangriffen auch kleinere Attacken auf die Medien von Tamedia und weitere Angebote der TX Group stattfinden, wie deren Chief Information Security Officer Andreas Schneider sagt. «Wir investieren laufend in Security-Massnahmen, die sich insbesondere bei Cyberangriffen auszahlen. Denn für unsere digitalen Angebote bauen wir Security von Anfang an ein, was auch einen DDoS-Schutz beinhaltet. Es geht sogar so weit, dass wir mit unserem Bug-Bounty-Programm Hacker dafür bezahlen, Schwachstellen bei uns zu finden.»

Nur: Wie funktioniert dies konkret? «Dank der Partnerschaft der TX Group und der Tamedia mit BugCrowd können sich Hacker oder Researcher auf der Plattform registrieren und damit an öffentlichen oder auch privaten Bug-Bounty-Programmen per Einladung teilnehmen», sagt Schneider gegenüber persoenlich.com. BugCrowd, einer der weltweit grössten Anbieter für Bug-Bounty-Programme stelle dabei sicher, dass sich die Researcher an die vordefinierten Regeln halten würden, weshalb sie rechtlich auch nicht belangt würden. «Anschliessend überprüfen sie jede gemeldete Schwachstelle, ob sie funktioniert, ausreichend dokumentiert und ob sie korrekt eingestuft ist», so Schneider weiter. Bezahlt würden die Researcher schliesslich pro gefundener Sicherheitslücke.

Schwachstellen bekämpfen, bevor sie entstehen

Auf Einladung nahmen bereits über 1000 Sicherheitsexperten und Hacker am bisher geschlossenen Programm teil. Reto Matter, Chief Technology Officer von Tamedia, sagt gemäss Mitteilung: «Durch die Öffnung soll die Zahl der Teilnehmenden noch einmal deutlich gesteigert werden.» Und Schneider ergänzt: «Unsere Bug-Bounty-Programme gehören bereits seit Längerem zu den wirksamsten Massnahmen unserer Product-Security-Strategie. Dieses Programm öffentlich anzubieten, ist die Krönung unserer Anstrengungen, die sicherste News-Plattform der Schweiz zu bauen.»

Die daraus resultierenden Erkenntnisse würden dafür genutzt, um die eigenen Entwicklerinnen und Entwickler entsprechend zu schulen. Wie funktioniert dies genau? «Dank der vielen Aktivitäten haben wir eine umfangreiche Übersicht, welche typischen Programmierfehler zu den häufigsten Schwachstellen führen. Wir nutzen diese Daten, um für unsere Entwickler spezifische Trainingsangebote zu schnüren, die gezielt diese Programmierfehler beseitigen sollen», sagt Schneider gegenüber persoenlich.com. Sein Ziel dahinter: Schwachstellen zu bekämpfen, bevor sie überhaupt entstehen. (pd/tim)



Kommentar wird gesendet...

Kommentare

Kommentarfunktion wurde geschlossen

Diese Artikel könnten Sie auch interessieren:

Zum Seitenanfang20211201

Die Branchennews täglich erhalten!

Jetzt Newsletter abonnieren.