Bitte stellen Sie Matrix Requirements und Ihre Rolle im Unternehmen kurz vor

Bevor wir 2014 Matrix Requirements (Matrixreq.com) gründeten, waren wir Projektmanager bei einem Medizintechnikunternehmen und hatten erkannt, dass wir für die Rückverfolgbarkeit des Designs ein besseres Tool benötigten. Daher entwickelten wir MatrixALM zunächst für den Eigenbedarf.

Die Gründung von Matrix Requirements zur unabhängigen Vermarktung dieser Anwendung erfolgte erst später.

Matrix Requirements ist ein vierköpfiges Team, das bereits 100 Kunden mit insgesamt 700 Nutzern akquiriert hat, was für ein so kleines Team eine beachtliche Leistung darstellt.
30% unserer Kunden kommen aus den USA und ähnlich viele aus Deutschland, der Rest entfällt auf die übrigen europäischen Länder sowie Israel, Australien, Indien und Kanada.
Meine Aufgabe im Team bezieht sich vorwiegend auf Back-Office, Netzwerke, Datenbanken und Linux-Server. Es versteht sich von selbst, dass Sicherheit bei mir höchste Priorität hat.

Was hat Sie dazu bewogen eine Bug-Bounty-Übung anzusetzen?

Auch wenn wir ein kleines Unternehmen sind, haben wir die ISO13485:2016 Zertifizierung erhalten und streben auch die Zertifizierung nach ISO27001 an. Diese Standards erfordern die eingehende Untersuchung der mit unseren Prozessen verbundenen Risiken. Ein offensichtliches Risiko in Unternehmen wie dem unseren ist natürlich das unbefugte Eindringen Fremder in unsere IT-Systeme.

Es gab bereits mehrere Versuche, die wir mit relativ ausgefeilten Regeln, die wir in unseren Firewalls implementiert haben, abwehren konnten. Auch hatten wir eine KULeuven-Gruppe mit einem Audit beauftragt, die u.a. empfahl, eine Bug-Bounty-Übung abzuhalten.

Warum haben Sie sich für YesWeHack entschieden?

Wir hatten uns zunächst an einen bekannten US-amerikanischen Bug-Bounty-Anbieter gewandt, der für uns jedoch viel zu teuer war. Dann entdeckten wir über den OVH-DLP-Startup-Akzelerator (dessen Mitglied wir sind) YesWeHack.

Wir kontaktierten YesWeHack und fanden, dass das Angebot genau unseren Anforderungen entsprach: Eine Gruppe aus Researchern, die unser Sicherheitsniveau im BlackBox-Modus untersuchen konnten. Ein wichtiges Kriterium für uns war, mit den Researchern auf Englisch kommunizieren zu können. Dies war auf dieser Plattform möglich.

Welche Ergebnisse ergab diese private Phase?

In der privaten Phase war eine Gruppe aus 10 Researchern tätig, die 5 Schwachpunkte fanden. Ehrlich gesagt, waren wir erleichtert, dass keine dieser Schwachstellen gravierend war, und sahen uns bestätigt, dass wir bereits recht ausgereifte Sicherheitsfeatures implementiert hatten.

Natürlich kann man auf diesem Gebiet nie die Hände in den Schoß legen, aber die identifizierten Schwachstellen waren jede für sich nicht gravierend genug, um ein unbefugtes Eindringen in unsere Website zu ermöglichen.

Dennoch waren wir den Researchern sehr dankbar, denn manchmal kann ein Zusammenspiel aus kleinen Schwachstellen einen effektiven Angriffspunkt ergeben. Die Zusammenarbeit mit den Researchern war sehr produktiv, denn sie überprüften auch die Effizienz unserer Abhilfemaßnahmen.

Ein sehr positiver Aspekt der Übung war der Dialog: Wir zwangen uns, ihre Empfehlungen rasch umzusetzen, woraufhin sie unsere Abhilfemaßnahmen zeitnah überprüften und bei Bedarf Vorschläge zur weiteren Optimierung machten.

Was erwarten Sie von der öffentlichen Phase?

Wir setzen für alle ethischen Hacker auf den YesWeHack-Plattformen eine Belohnung aus. Davon erhoffen uns wir ein positives Feedback, mit dem wir unsere Anwendung und die dazugehörige Programmierschnittstelle noch sicherer machen können. Natürlich hoffe ich, dass dabei keine allzu gravierenden Probleme entdeckt werden, aber ich finde es besser, wenn potenzielle Sicherheitslücken so bald wie möglich auf diese Art und Weise zutage treten.

Ein Bug-Bounty-Programm ist eine gute Möglichkeit, um die eigene Arbeit auf den Prüfstand zu stellen. Dank des Einsatzes von Ideen, auf die wir selbst nicht gekommen wären, hoffen wir auf einen hohen Lerneffekt in dieser öffentlichen Phase.

Wir müssen uns heute mehr denn je – und dabei denke ich an Facebook, British Airways etc. – in Demut üben und daran denken, dass „Sicherheit durch Unklarheit“ nicht existiert, und dass man seine Karten auf den Tisch legen und proaktiv vorgehen muss, um ein angemessenes Sicherheitsniveau zu gewährleisten.

***
Gehen Sie auf das Bug Bounty Public Program von MatrixAlm!
***