50'000 Franken für wohlgesinnte Hacker

Die Swisscom hat letztes Jahr 40 Hackern Geld bezahlt, weil diese Sicherheitslücken meldeten.

Zwischen 150 und 10'000 Franken bezahlte die Swisscom Hackern pro aufgedeckte Sicherheitslücke.

Zwischen 150 und 10'000 Franken bezahlte die Swisscom Hackern pro aufgedeckte Sicherheitslücke. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Entdeckt ein Hacker eine Sicherheits­lücke auf einer Webapplikation, steckt er unter Umständen in einem mora­lischen Dilemma: Soll er das von der Sicherheitslücke betroffene Unternehmen auf die Schwachstelle aufmerksam machen oder die Information doch lieber Kriminellen zukommen lassen, die für solche Hinweise viel Geld bezahlen?

Da Unternehmen ein grosses Interesse an solchen Hinweisen haben, verlassen sie sich immer häufiger nicht ­lediglich auf das Gewissen der Hacker, sondern bieten diesen Geld an, wenn diese Sicherheitslücken dem Unternehmen melden.

160 Sicherheitslücken aufgespürt

Einen solchen monetären Anreiz ­bietet den Hackern auch die Swisscom. Gemäss eigenen Angaben hat sie im ­September 2015 ein sogenanntes Bug-Bounty-Programm (Fehler-Kopfgeld-Programm) lanciert. Sprecher Sepp ­Huber sagt, die Swisscom sei seines Wissens das einzige grosse Schweizer Unternehmen mit einem solchen Anreiz­system. Ein letzte Woche publizierter Bericht gibt nun erstmals Auskunft über Kosten und Nutzen des Programms.

Insgesamt hat die Swisscom letztes Jahr für rund 160 aufgespürte Sicherheitslücken circa 50'000 Franken bezahlt. Das Geld verteilte sich auf etwa 40 Personen. Pro Hinweis zahlt der ­Telecomkonzern zwischen 150 und 10'000 Franken – je nachdem, wie kritisch die entdeckte Schwachstelle war. Nur wenige Hinweise wurden mit mehr als 2000 Franken belohnt. Denn: Hochkritisch war laut Swisscom im letzten Jahr nur eine einzige entdeckte Schwachstelle. Um was es sich dabei handelte, will der Telecomkonzern aus Sicherheitsgründen nicht sagen. Die Schwachstelle sei jedoch behoben worden, bevor sie ausgenutzt wurde, so Sprecher Huber. 14 weitere Schwachstellen stufte die Swisscom als mittelkritisch ein.

Eigene Experten wären teurer

Welche Art von Schwachstellen werden von Hackern denn aufgedeckt? Die Swisscom nennt als Beispiel Probleme bei einer älteren Router-Generation. Wenn Kunden bei diesen eine unsichere Konfiguration vorgenommen hatten, konnten Angreifer die Kontrolle über das Gerät erlangen, sofern sie die öffentliche IP-Adresse des Kunden hatten.

Für die Swisscom ist das Anreizprogramm finanziell interessant. Müssten angestellte oder herbeigezogene IT-Spezialisten diese Schwachstellen aufspüren, wäre das wohl bedeutend teurer. Swisscom schreibt denn auch: «Das ­Programm erhöht die Sicherheit unserer Infrastruktur kosteneffektiv.» (Tages-Anzeiger)

Erstellt: 09.04.2017, 23:17 Uhr

Artikel zum Thema

Eine Million Schweizer Login-Daten gestohlen

Sie verwenden im Netz immer dasselbe Passwort? Ein fataler Fehler, wie der Security Report 2017 von Swisscom zeigt. Mehr...

Warum der Fax nicht totzukriegen ist

Vor 40 Jahren kam der Fax in die Schweiz. Trotz E-Mail und SMS setzen Firmen noch heute auf die völlig veraltete Technologie. Für viele ist sie unverzichtbar. Mehr...

Digitaler Überfall auf Schweizer Unternehmen

Hacker haben zwei Berner Firmen rund 1,5 Millionen Franken gestohlen. Die Patrons kritisieren die Banken für ihre tiefen Sicherheitsstandards. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Die Welt in Bildern

Sie sind nun keine Kinder mehr: Junge Erwachsene nehmen an einer traditionellen Zeremonie in Seoul teil, bei der sie den Übertritt in ihr 19. Lebensjahr feiern. Sie dürfen nun ihre eigenen Lebensentscheidungen fällen, wählen gehen und Alkohol trinken. (20. Mai 2019)
(Bild: Ed Jones) Mehr...