Resilient Business

Angriff ist die beste Verteidigung

Wie ein Versicherungskonzern mit Bug-Bounty- und Vulnerability-Disclosure-Programmen die eigene Unternehmensresilienz erhöht.

Ethisches Hacking für die Sicherheit

Was sind Bug Bounty (BBP)- und Vulnerability Disclosure (VDP)-Programme? Dabei handelt es sich um bewährte Verfahren im Bereich der Cybersicherheit, mit denen blinde Flecken und Lücken in ausgereiften Systemen (z. B. Software, Websites, Cloud-Dienste usw.) geschlossen werden. Diese bewährten Verfahren nennt man ethisches Hacking. Das bedeutet: vertrauenswürdige Parteien wenden Hacking-Techniken an, um Sicherheitslücken in einem Netzwerk oder Computersystem zu identifizieren, zu analysieren und zu beheben. Forschende, die am BBP teilnehmen, erhalten eine finanzielle Belohnung (Bounty) für jede gültige, geprüfte und behobene Sicherheitslücke.

Kritische Anwendungen erfolgreich sichern

In dem von uns verwalteten Programm melden ethische Hacker:innen Schwachstellen in den ausgereiftesten Geschäfts- und kritischen Webanwendungen des Unternehmens, die von internen Teams behoben und entsprechend ihrer Verdienste belohnt werden.

BBP und VDP sind kosteneffiziente Best Practices zur proaktiven Behebung neuer Schwachstellen in ausgereiften Systemen. Diese für beide Seiten vorteilhaften Programme arbeiten mit den unterschiedlichsten qualifizierten Forschern und Organisationen zusammen, um das Kundenerlebnis und die Informationssicherheit zu verbessern.

Cybersecurity sichert das Vertrauen

206 Milliarden Euro allein in Deutschland. Auf diese Summe schätzt eine Bitkom-Umfrage den Schaden, der durch Cyberkriminalität im Jahr 2023 entsteht. Weltweit liegt der Wert bei rund 7,5 Billionen Euro. Proaktive Cybersecurity-Strategien sind für Unternehmen unerlässlich - und mit der digitalen Transformation und der zunehmenden Vernetzung der Geschäftswelt wird die Bedeutung solcher Strategien exponentiell steigen. Programme wie BBP und VDP ergänzen das bestehende Cybersecurity-Portfolio um eine aktive und zeitnahe Kontrolle gegen potenzielle Informationssicherheitsrisiken.

Mit dem richtigen Partner nachhaltig erfolgreich

Die Kernaufgabe der ersten Projektphase war die Auswahl eines kompetenten Partners für die Bug Bounty und Vulnerability Disclosure Programme. Nur wenige Anbieter sind in der Lage, Engagements in den Dimensionen der sich ständig weiterentwickelnden Technologien, der erweiterten Beteiligung einer geprüften Forschergemeinschaft und der maßgeschneiderten Geschäftsspezifikationen angemessen zu skalieren.

Wir haben den Vertrag über ein globales Ausschreibungsverfahren abgeschlossen, in dem Datenschutz, Geheimhaltung, Vertraulichkeit, Safe Harbor, Teilnahmeregeln und eine breite Palette von inhärenten Konzepten bestätigt wurden.

Reibungslose Abläufe dank optimierter Prozesse

Wir haben dieses Projekt von Anfang bis Ende geplant und gesteuert: von der Etablierung des neuen Programms bis zum Betrieb innerhalb der Organisation unseres Kunden. Exzellente Koordinationsfähigkeiten waren eine Kernkompetenz, um dieses Cybersecurity-Programm kosteneffizient auf globaler Ebene auszurollen und zu pflegen. Der Plattformanbieter, die mehr als 500 Forscher, die wir aus der ganzen Welt rekrutieren konnten, sowie die international verteilten Geschäftseinheiten unseres Kunden sind nun in der Lage, nahtlos miteinander zu arbeiten und zu kommunizieren. Das alles durch unserer Fähigkeiten zur Gestaltung von Geschäftsbeziehungen.

Automatisierung erhöht Sicherheit

Wir haben das Bug Bounty- und Vulnerability Disclosure-Reporting für unsere Kunden automatisiert, um eine rasche Behebung zu ermöglichen. Die behobenen Schwachstellen werden automatisch an die Geschäftsverantwortlichen gemeldet, damit diese die nächsten Schritte einleiten können und die Durchlaufzeit optimiert wird.

Eine stolze Gemeinschaft

Wir haben in diesem Projekt viel über Cybersicherheit gelernt, aber noch mehr über die Gemeinschaft dahinter. Wir sind stolz darauf, eine erfolgreiche Gemeinschaft renommierter Forscher aufgebaut zu haben. Ein Wert, der in unseren Zielvorgaben für die Informationssicherheit 2024 für alle Geschäftseinheiten in unserer Organisation anerkannt wird. Und dieser Wert wird auch vom CIO unseres Kunden gesehen: „Dies ist eine der effektivsten IS- und IT-Investitionsinitiativen, die wir je hatten."

Kontakt

Schreiben Sie uns!

Das Foto zeigt Sanat Gautam.

Sanat Gautam

Experte für GRC und Informationssicherheit

Bitte gebe deinen Namen ein

Bitte gebe deine Email ein

Bitte gebe eine Nachricht ein

Ihre Anfrage wurde als Spam erkannt und konnte nicht erfolgreich übermittelt werden. Bitte aktualisieren Sie das Formular und versuchen Sie, die Anfrage erneut zu senden, oder kontaktieren Sie den Website-Administrator unter kontakt@metafinanz.de für weitere Unterstützung.

Leider ist etwas schief gelaufen. Bitte versuchen Sie es später nochmal.

Danke für Ihre Nachricht

Wir melden uns so schnell wie möglich bei Ihnen