Herr Nafzger, für welche Firmen lohnt es sich, mit ethischen Hackern zusammenzuarbeiten?
IT-Sicherheit ist für alle Organisationen relevant, die im Rahmen der Digitalisierung auf moderne Geschäftsmodelle und Abläufe setzen. Dazu gehört z. B. auch der Schreinereibetrieb oder das Fitnessstudio.
In unserer vernetzten Welt nimmt die Verletzlichkeit rasant zu. Deshalb ist es erfolgsentscheidend, zu lernen mit Sicherheitslücken gut umzugehen, um diese schnell und nachhaltig beheben zu können. Um sich vor bösen Hackern und echten Cyberattacken zu schützen, gibt es keine effektivere Methode, als mit den guten, also ethischen Hackern zusammenzuarbeiten
Dieser Artikel ist Teil der Market Opinion «Cyber-Angriffen mit Prävention begegnen», die in Zusammenarbeit mit der Baloise realisiert wurde.
Also können auch kleine Organisationen davon profitieren?
Ja, soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMU – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen. Das bringt aber gewisse Herausforderungen, da gerade kleine Organisationen oft über geringe Ressourcen und IT-Know-how verfügen. Mit unserem Schweizer Ökosystem wollen wir auch solchen Organisationen Zugang zu Bug-Bounty-Programmen ermöglichen und sie dabei unterstützen, neue Handlungsfähigkeiten aufzubauen. IT-Sicherheit kann man nur begrenzt delegieren oder outsourcen, jede Organisation muss ihre Verantwortung übernehmen und den Umgang mit ihrer Verwundbarkeit trainieren, bevor der Ernstfall eintritt.
Was sind die wichtigsten Punkte, die es in der Zusammenarbeit mit ethischen Hackern zu beachten gilt?
Das Wichtigste ist aus meiner Sicht, dass man sofort damit beginnt, seine eigene Verletzlichkeit und Angriffsoberfläche richtig einzuschätzen und zu verbessern. Dabei helfen ethische Hacker gerne. Sie betrachten die Organisation von aussen, genau so, wie sie im Internet steht, und zeigen die kritischsten Sicherheitsprobleme auf, ohne dass dabei ein Schaden entsteht. Nur weil man bisher noch kein Opfer einer Cyberattacke geworden ist, heisst das nicht, dass man davor genügend geschützt ist. Es gilt: You don’t know what you don’t know.
Lesen Sie auch: