- Viele hacken nur nebenbei, weil es ihnen Spass macht und es einen Nebenverdienst einbringt.
- Ethische Hacker bezeichnen sich gerne als Sicherheitsforschende.
- Auch Cyberkriminelle nutzen KI, um ihre Angriffe zu verbessern.
Können Sie kurz erklären, was ein ethischer Hacker ist?
Wenn von einem Hacker gesprochen wird, hat man oft ein negatives Bild im Kopf. Aber eigentlich ist ein Hacker nur jemand, der in die Technik verliebt ist. Das ist eine Tüftlerin oder ein Nerd, mit besonderen Fähigkeiten und Gaben, der oder die richtig in die Tiefe der Technik eintauchen kann. Einige davon nutzen diese Fähigkeiten, um sich zu bereichern und um Schaden anzurichten – das sind die Cyberkriminellen. Daneben gibt es aber auch die guten Hacker und Hackerinnen, die ethischen. Wir bezeichnen sie auch gern als Sicherheitsforschende.
Sie erforschen die Sicherheit eines IT-Systems?
Ja, denn Hackerinnen sind in die technische Herausforderung verliebt und wollen einen Beitrag zu einer besseren Welt leisten. Findet eine Hackerin irgendwo eine Sicherheitslücke, dann möchte sie, dass diese behoben wird, und so meldet sie diesen «Bug», damit die Sicherheitslücke geschlossen und nicht von Kriminellen ausgenutzt werden kann.
Ist «hacken» ein Fulltime-Job?
Viele hacken nur nebenbei, quasi als Hobby, weil es ihnen Spass macht und es einen Nebenverdienst einbringt. Daneben gibt es aber auch jene, die professionell «jagen» und damit den Lebensunterhalt für sich und ihre Familien verdienen. Hacker haben oft eine akademische Ausbildung oder arbeiten in der Informatik, etwa in der Softwareentwicklung oder in der Cyber Security.
Zur Person
Name: Sandro Nafzger
Funktion: CEO und Co-Gründer von Bug Bounty Switzerland
Ausbildung: Master of Science in Business Information Systems, Fachhochschule Nordwestschweiz und Cape Peninsula University of Technology; Bachelor of Science in Wirtschaftsinformatik, Fachhochschule Nordwestschweiz und San Diego State University.
Unternehmen:
Bug Bounty Switzerland ist der Schweizer Marktführer und hilft dabei, Ethical Hacking für die ganze Schweiz einfach und sicher nutzbar zu machen.
Wie werden Hacker dann bezahlt?
Mit sogenannten Bug-Bounty-Programmen, was man als Kopfgeldjagd auf Sicherheitslücken übersetzen könnte, lässt sich gutes Geld verdienen. Wir betreiben solche Programme bereits für über hundert Kunden aus dem In- und Ausland. Die meisten davon sind privat und somit nur sorgfältig ausgewählten Hackerinnen zugänglich. Für die eingeladenen Hacker wird ein attraktives Preisgeld, ein sogenanntes Bounty, ausgeschrieben. Oftmals im fünf- oder gar sechsstelligen Bereich.
Mit wie vielen Hackern und Hackerinnen arbeitet ihr zusammen?
Wir haben Zugriff auf über 10 000 ethische Hacker aus der ganzen Welt und können diese quasi auf Knopfdruck aktivieren, um ein IT-System auf Herz und Nieren zu testen. Mit dieser unglaublichen Power der Community bringen wir eine sehr hohe Testabdeckung hin und finden auch Sicherheitslücken, die mit anderen Testmethoden nicht gefunden werden können. Zudem agieren die Hacker quasi als virtueller Schutzschild, den man über ein ganzes Unternehmen legen kann, um sich gegen böswillige Cyberattacken zu schützen.
Leidet der Betrieb des Unternehmens darunter?
Nein, ganz im Gegenteil. In unseren Bug-Bounty-Programmen gibt es ganz klare Spielregeln, an die sich die Hackerinnen halten müssen. So darf es etwa unter keinen Umständen zu einer Betriebsstörung kommen. Die Hacker sind sehr vorsichtig, richtige Profis halt. Sie werden von uns verifiziert und laufend überprüft. Mit ethischen Hackerinnen zusammenzuarbeiten, ist daher kein zusätzliches Risiko, sondern die wohl effektivste Art, um realistische Risikoeinschätzungen zu erhalten und die Cyberresilienz laufend zu verbessern.
Wie sieht so ein Bug-Bounty-Programm aus?
Um ein Bug-Bounty-Programm so gekonnt zu betreiben, damit es als virtueller Schutzschild funktioniert, benötigt man jahrelange Erfahrung, tiefgehende Expertise und recht viele Ressourcen. Die Interaktion mit Hackern ist oft sehr anspruchsvoll, schnell und technisch. Die meisten Firmen verfügen daher nicht über die nötigen Voraussetzungen, um so ein Programm optimal zu betreiben. Aus diesem Grund haben wir Bug Bounty Switzerland gegründet: Wir wollen ethisches Hacken für die ganze Schweiz einfach und sicher nutzbar machen. Dazu haben wir eine Plug-and-Play-Lösung entwickelt und können unseren virtuellen Schutzschild innerhalb weniger Stunden für jedes Unternehmen aktivieren. Egal, wie gross oder klein.
Wie seid ihr auf die Geschäftsidee gekommen?
Ich durfte 2018 als Gesamtprojektleiter die erste legale Cyberattacke auf das Schweizer E-Voting System organisieren. Innert zehn Monaten haben wir in enger Abstimmung mit Bund und Kantonen die ganzen Rahmenbedingungen ausgearbeitet und den ersten Legal-Safe-Harbor für ethische Hackerinnen und Hacker in der Schweiz entwickelt. Damit dürfen sie mit Einwilligung der verantwortlichen Firma legal IT-Systeme angreifen. Dabei habe ich Lukas Heppler und Florian Badertscher, meine beiden Co-Founder, kennengelernt. Lukas war technisch verantwortlich für das E-Voting-System der Post. Florian hat bereits 2015 das erste grosse Bug-Bounty-Programm der Schweiz für die Swisscom aufgebaut und geleitet. Für uns drei war sofort klar, dass ethisches Hacken zu einem neuen Sicherheitsstandard wird in der Schweiz, aber dass man das Ganze völlig neu denken muss.
Inwiefern?
Das Thema Bug Bounty oder ethisches Hacken ist nicht neu. Die Amerikaner machen das schon lange, und es gibt einige grosse und gut etablierte Bug-Bounty-Plattformen. Diese verkaufen aber einfach ihre Software als nutzbare Plattform mit minimalem Support, auch Software as a Service (SaaS) genannt. Um mit solch einer Plattform nun selbst ein effektives und effizientes Bug-Bounty-Programm zu betreiben, braucht es wertvolle Zeit und Ressourcen, über die nur die wenigsten Firmen im Übermass verfügen. Aus unserer Erfahrung bei Swisscom und Post wissen wir genau, wie gross und teuer die Teams sind, die notwendig sind, um so ein Programm zu betreiben.
Was treibt euch an?
Uns liegt es sehr am Herzen, dass die digitale Transformation der Schweiz gelingt. Dazu braucht es aber die Zusammenarbeit mit ethischen Hackern für Unternehmen von jeder Grösse und Sicherheitsmaturität. Wir wollen einen virtuellen Schutzschild über die ganze Schweiz legen. Deshalb engagieren wir uns seit dem Start unserer Firma sehr stark, um ethisches Hacken in der Schweiz als neuen Sicherheitsstandard zu etablieren. Letztes Jahr wurde die Zusammenarbeit mit ethischen Hackerinnen nun vom Bundesrat in der Nationalen Cyberstrategie (NCS) verankert.
Wie ist euer Unternehmen aufgestellt?
Wir sehen uns als Technologieunternehmen und investieren viel in die Skalierbarkeit und Benutzerfreundlichkeit unserer Lösungen. Zwei Drittel unserer 25 Mitarbeitenden sind Security- und Software-Engineers. Bei uns steht der Mensch und persönliche Kontakt im Zentrum, egal ob Mitarbeiterin, Kunde oder Hackerin. Alles rundherum soll aber möglichst effizient und maximal automatisiert ablaufen.
Welche Rolle spielt dabei die künstliche Intelligenz (KI)?
Natürlich eine grosse. Wir versuchen, sämtliche technologischen Möglichkeiten zu nutzen, und haben daher schon früh KI in unsere Plattform integriert. Wir sehen KI als Tool, um noch schneller und effizienter zu werden. Auch die Cyberkriminellen nutzen KI, um ihre Angriffe zu verbessern, deshalb müssen wir auf der Verteidigungsseite ebenfalls immer besser werden.
«Damit die digitale Transformation gelingt, braucht es ethische Hacker.»
Sandro Nafzger, CEO und Co-Founder von Bug Bounty Switzerland AG
Hört sich an wie ein Wettrüsten. Wird es jemals ein Ende finden?
Niemand kann genau sagen, wo und wie das enden wird. Sam Altman, der CEO von Open AI und Chat GPT, hat beim letzten Weltwirtschaftsforum in Davos selbst vor den Risiken der KI gewarnt.
Macht Ihnen das auch Angst?
Angst macht es mir keine, ich denke aber, dass hier ein Paradigmenwechsel notwendig ist, und zwar dahingehend, wie wir uns als Menschen definieren. Wollen wir Menschen sein, die vor allem rational sind und den ganzen Tag einfach funktionieren, ähnlich wie ein Roboter? Für diese Art Menschen wird es vermutlich künftig immer weniger Verwendung geben respektive wird diese Art von Menschen uns wohl nicht helfen, das Ganze in eine günstigere Richtung zu lenken.
Was wird uns denn dann helfen?
Wir sollten vielleicht eher wieder eine spirituelle Perspektive aufs Leben herstellen. Es existieren nicht nur die Dinge, die wir anfassen und mit der heutigen Logik erklären können. Es gibt vielleicht noch mehr – Dinge, die wir nicht sehen, sondern eher fühlen, so was wie die Intuition oder der Geist. Wenn wir uns als Menschen so definieren und all unsere Gaben nutzen, könnte die künstliche Intelligenz eine gute Ergänzung sein.
Selbst Experten und Expertinnen befürchten, dass die KI den Menschen eines Tages überlegen sein könnte.
Die technologische Revolution schreitet rasant voran. Aus meiner Sicht müsste es dazu eben auch so was geben wie eine «Revolution of Consciousness». Also dass wir Menschen wieder bewusster im Hier und Jetzt leben und uns aktiv damit befassen, wer wir wirklich sind, was wir hier tun und wie wir in Zukunft zusammenleben wollen. Dazu gehört für mich auch, dass wir aufmerksamer werden und kritisch hinterfragen, wo wir heute vielleicht fehlgeleitet und manipuliert werden.
Wie meinen Sie das?
Wenn wir uns als Menschen dahingehend weiterentwickeln, gewissermassen aufwachen und unsere Realität mit einer positiven Vision für das Leben neu definieren, dann könnten neue Technologien wie die künstliche Intelligenz der Schlüssel zu mehr Freiheit und neuem Wohlstand für die ganze Welt sein.
