Die wichtigste Regel in Sachen IT-Sicherheit lautet: Es gibt keine absolute Sicherheit. Wer das erkannt hat, landet früher oder später in Sandro Nafzgers Büro. Der 38-Jährige ist CEO der Firma Bug Bounty Switzerland, die sich auf das Finden von Schwachstellen in Computersystemen spezialisiert hat.
Das Hauptquartier der Fehlerjäger befindet sich mitten in Berns Diplomatenviertel, unweit der chinesischen Botschaft: Altbau, Parkettboden, Stuckaturen an der Decke. Auf den USM-Möbeln sind schwarze Baseballcaps mit dem Logo des Start-ups aufgereiht. An der Wand hängen Flachbildschirme und ein Porträt der drei Gründer. Es sieht aus wie bei einer hippen Softwarebude im Silicon Valley, die Computerspiele programmiert.
Und gewissermassen handelt es sich ja auch um ein Spiel, was Sandro Nafzger und seine 21 Angestellten hier veranstalten. Eines aber mit ernstem Hintergrund. Es heisst: Finde den Fehler! Denn findet ihn zuerst jemand anderes, jemand mit bösen Absichten etwa, titeln die Zeitungen sehr bald: «Super-GAU!» – und das Vertrauen in die IT-Sicherheit ist zerstört.
Entkriminalisiertes Hacken
Eine Server-Schwachstelle machten sich auch die Banditen zunutze, die im Juni kritische Daten von der Interlakner Firma Xplain erbeutet und ins Darknet hochgeladen haben. Darunter geheime Sicherheitsdispositive des Fedpol oder heikle Auszüge aus der Hooligandatenbank. Wie es zum Schlamassel kam, ist derzeit Gegenstand diverser Untersuchungen. Um künftig besser geschützt zu sein, arbeitet das Nationale Zentrum für Cybersicherheit (NCSC) des Bundes seit Ende 2022 auch mit Bug Bounty Switzerland zusammen.
Herzstück von Bug Bounty ist eine Plattform, auf der sich sogenannte ethische Hacker registrieren können. Auf dieser Plattform sind die Trophäen ausgeschrieben: Firma X bietet 3000 Franken für das Aufspüren kritischer Schwachstellen, Firma Y 15'000. Das Eindringen in Computersysteme ist normalerweise eine Straftat. Indem Bug-Bounty-Kunden den weltweit verstreuten Informatikprofis explizit den Auftrag dazu erteilen, wird das Hacken entkriminalisiert.
Sandro Nafzger will in der Schweiz für einen Kulturwandel sorgen. Zu denken, dass hundertprozentige Sicherheit ein Zustand sei, der irgendwann erreicht werden könne, gehöre der Vergangenheit an. Heute ginge es darum, zu lernen, mit der neuen Verletzlichkeit umzugehen, so Nafzger. Kurz: Kein IT-System ist perfekt, Schwachstellen gibt es fast überall. «Umso wichtiger ist es, dass es die Guten sind, die diese Schwachstellen aufspüren.»
Schweizer Bank zahlte nicht genug
Den Schritt aus der Komfortzone gewagt hat vergangene Woche auch eine Schweizer Grossbank. Sie bot den ethischen Hackern 3000 Franken für jede aufgedeckte kritische Schwachstelle. Zunächst passierte gar nichts. War das System also sicher? Sandro Nafzger griff zum Telefonhörer und rief ein paar der Computerfreaks an: «Was ist da los?» Es lohne sich nicht, bekam er zu hören. Nachdem die Bank das Kopfgeld verzehnfacht hatte, dauerte es eine kurze Nacht lang, bis ein ernsthaftes Hochsicherheitsproblem auf dem Tisch lag.
Der Bund hat bislang fünf Bug-Bounty-Programme gestartet. Dabei wurden oder werden die Systeme und Applikationen von vier Einheiten der Bundesverwaltung durch ethische Hacker geprüft. 19 Hacker haben seither auf 54 Schwachstellen aufmerksam gemacht. 27 davon wurden akzeptiert und belohnt, 2 befinden sich gemäss NCSC noch in Beurteilung und 25 wurden als ungültig deklariert.
Die Mehrheit der gefundenen Schwachstellen sei von «mittlerer Kritikalität». Wäre ein Fehler kritisch, müsste er sofort behoben werden. Handelt es sich um eine mittlere Bedrohung, erfolge die Behebung «Anhand der Release-Planung», also beim nächsten Projektschritt. Seit der Lancierung des Bug-Bounty-Programms hat der Bund insgesamt 13'950 Franken an ethische Hacker ausbezahlt. Beim Pilot-Programm 2021, bei dem zehn Schwachstellen im EDA und bei den Parlamentsdiensten identifiziert werden konnten, waren es knapp 10'000 Franken.
«Seht her, wir haben nichts zu verbergen»
Bug-Bounty-Programme sorgen also im Idealfall für einen Paradigmenwechsel bei der Fehlerkultur. Sandro Nafzger: «Wenn ein Unternehmen eine Sicherheitslücke nicht mehr als Katastrophe betrachtet, sondern als einmalige Chance, sich neu zu erfinden, ist bereits viel erreicht.» Im Kern bringt es Samuel Becketts berühmtes Zitat auf den Punkt: «Scheitere erneut, scheitere besser.»
Wer ethische Hacker auf seine Systeme loslässt, investiere in ein besseres Vertrauensverhältnis mit der Bevölkerung, sagt Nafzger: «Seht her, wir haben nichts zu verbergen.» Dieser «Digital Trust» sei bei sämtlichen IT-Projekten matchentscheidend, gerade auch beim Bund, der in den nächsten Jahren digitale Patientendossiers oder das E-Voting vorantreiben will.
Die Kriminalität im Internet pulsiert, Cyberattacken nehmen zu. Davon auszugehen, dass man sicher ist, sei ein gefährlicher Trugschluss, sagt Sandro Nafzger. «Wer keinen Fehler findet, hat bloss nicht gut genug hingeschaut.»