Da jedes IT-System individuell aufgebaut und kontinuierlichen Veränderungen unterlegen ist, verfehlen konventionelle Sicherheitslösungen oft die Wirkung. Gerade in dynamisch wachsenden Unternehmen ist die Situation nach jedem IT-Systemupdate anders – ständig entstehen neue Angriffspunkte. Hier ist die kontinuierliche und agile Bug-Bounty-Methode zielführender. YesWeHack [1] bringt Unternehmen, die Sicherheitslücken in ihrer digitalen Infrastruktur schließen wollen, mit mehr als 10.000 ethischen Hackern aus 120 Ländern zusammen.
Die sogenannten "Hunter" sind Sicherheitsexperten, die Schwachstellen in IT-Systemen zum Wohle eines Unternehmens aufdecken – im Gegensatz zu Black Hats, die IT-Systeme für böswillige Zwecke hacken. Unternehmen haben die Wahl zwischen einem privaten Programm, bei dem sie ausgewählte Hunter gezielt ansprechen, oder sie schreiben einen Auftrag für die gesamte Community öffentlich aus. Hunter nehmen entweder direkt über die Website Kontakt auf oder treten einem Programm über öffentliche Schnittstellen bei, zum Beispiel bei Jira, Jenkins, Github oder Gitlab.
Die Suche nach Sicherheitsdefiziten sowie der Datenaustausch zwischen YesWeHack und seinen Kunden erfolgt über End-to-End-Verschlüsselung, die den Anforderungen aller gängigen Sicherheitsprotokolle genügt. Dabei greift YesWeHack zu keiner Zeit selbst auf die Schwachstellenberichte zu. Die Plattform wird auf einer Cloud gehostet, die die strengsten Sicherheitsanforderungen erfüllt: Sie ist zertifiziert nach ISO 27001, CSA STAR, SOC I / II Typ 2 sowie PCI DSS und ist DSGVO-konform. Zudem wird die YesWeHack-Plattform selbst permanent über ein Bug-Bounty-Programm geprüft und soll daher höchstmögliche Sicherheit und Transparenz für ihre Kunden bieten.
Meldung
Hilfreiche Hacker
Die europäische Bug-Bounty-Plattform YesWeHack ist nun auch in Deutschland sowie Österreich und der Schweiz tätig. Nach dem Einstand auf der Nürnberger Security-Messe it-sa baut YesWeHack aktuell ein deutschsprachiges Team auf, um Kunden vor Ort besser betreuen zu können. Der 1995 von Netscape geprägte Begriff "Bug Bounty" steht für einen neuen Ansatz, die Cybersicherheitslage von Unternehmen durch ständige und gezielte Überprüfung zu gewährleisten.
Weitere Infos:
Tipps & Tools
Microsoft und Zoom am meisten von Markenimitation betroffen [13.04.2021]
Cyberkriminelle täuschen häufig eine falsche Identität vor, um Leuten Geld oder wertvolle Informationen zu entlocken. Einem aktuellen Bericht zufolge waren Microsoft und Zoom im letzten Jahr die am häufigsten imitierten Unternehmen. Insgesamt wurden die Tech-Konzerne bei 80 Prozent aller markenbezogenen E-Mail-Phishing-Kampagnen nachgeahmt, um Opfer hinters Licht zu führen. [mehr]
Doxing fasst Unternehmen ins Visier [7.04.2021]
Kaspersky warnt vor einer neuen Cybergefahr für Unternehmen: Beim "Corporate Doxing" werden Methoden des bislang eher aus dem privaten Bereich bekannten Doxing im Kontext gezielter Angriffe genutzt. Neben gefälschten E-Mails setzen die Angreifer KI ein, um Stimmen von hochrangigen Führungskräften zu imitieren, damit Mitarbeiter vertrauliche Informationen preisgeben oder Gelder überweisen. [mehr]
Wurmbefall durch Purple Fox [30.03.2021]
Neues Git-Release behebt Sicherheitslücke [19.03.2021]
Fachartikel
Advertorial: Schwache Passwörter identifizieren und verhindern – regelmäßige Passwortwechsel minimieren [12.04.2021]
Erleichtern Sie das Leben Ihrer Nutzer, indem Sie starke Passwörter mithilfe von leicht zu merkenden Passphrasen im Unternehmen ermöglichen und dadurch Passwortwechsel nur noch im Falle einer Kompromittierung nötig machen. Zu wissen, wie es um die Stärke der Kennwörter im Unternehmen bestellt ist, ist ein guter Ausgangspunkt, um Ihre Passwortsicherheit zu erhöhen. [mehr]
