Förderung von Bug-Bounty-Programmen

Schweizer Bug-Jäger von der Post und Swisscom bündeln ihre Expertise

Uhr
von Coen Kaat

Die neu gegründete Firma Bug Bounty Switzerland will die Digitalisierung in der Schweiz sicherer gestalten. Um dies zu erreichen, will das fünfköpfige Team hinter dem Jungunternehmen Bug-Bounty-Programme in der Schweiz etablieren – mit Expertise von der Post und Swisscom.

Das Team (v.l.): Alessandro Casablanca, Head of Marketing, Florian Badertscher, CTO, Matthias Jauslin, COO, Lukas Heppler, Head of Customer Success, und Sandro Nafzger, CEO & Partner. (Source: zVg)
Das Team (v.l.): Alessandro Casablanca, Head of Marketing, Florian Badertscher, CTO, Matthias Jauslin, COO, Lukas Heppler, Head of Customer Success, und Sandro Nafzger, CEO & Partner. (Source: zVg)

Die Schweizer Cybersecurity-Landschaft ist um ein Unternehmen reicher geworden: Ein fünfköpfiges Team rund um zwei IT-Security-Spezialisten von der Post beziehungsweise Swisscom gründeten die Firma Bug Bounty Switzerland. Die Firma mit Sitz in Luzern ist seit April 2020 aktiv, wie sie nun mitteilt.

Der Name ist Programm. Laut der Mitteilung ist es das Ziel des Unternehmens, Bug-Bounty-Programme in der Schweiz zu etablieren. Derartige Programme sollen die IT-Security von Firmen und deren Produkte verbessern.

Zu diesem Zweck werden sogenannte ethische Hacker – also "gute" Hacker – aufgefordert, Schwachstellen zu finden. Für jede Schwachstelle erhält der Hacker, der sie findet, eine Belohnung. Je gravierender die Schwachstelle ist, desto höher ist das Preisgeld.

Solche Programme gehören für viele internationalen Unternehmen bereits zum Standard. Google etwa führt sogar mehrere – darunter etwa separate für Chrome und Android. Auch Intel und Microsoft betreiben solche Programme.

Ein lukratives Geschäftspotenzial

Zwar ist das Geschäft mit den Schwachstellen auch in der Schweiz sehr lukrativ. Gemäss der Hackerplattform Hacker-One nahmen Schweizer und österreichische Hacker 2019 fast zehn Mal mehr ein mit derartigen Prämien als im Jahr zuvor, wie Sie hier nachlesen können.

Klar ausformulierte Bug-Bounty-Programme seien hierzulande aber nach wie vor rar, schreibt das frisch gegründete Unternehmen Bug Bounty Switzerland. Einzig bei der Swisscom und der Post seien solche Wettbewerbe üblich, heisst es weiter. Diese Programme wurden aufgebaut von den beiden Mitgründern Sandro Nafzger und Florian Badertscher.

Nun wollen sie ihre Expertise bündeln – für eine sichere digitale Transformation in der Schweiz, wie sie schreiben. Die beiden werden in ihren Funktionen bei der Post respektive Swisscom verbleiben.

Sandro Nafzger, CEO und Partner von Bug Bounty Switzerland. (Source: zVg)

"Die sichere Digitalisierung der Schweiz liegt uns sehr am Herzen", erklärt Nafzger. "Unsere Erfahrung zeigt allerdings, dass traditionelle Sicherheitsmassnahmen wie Penetrationstests nicht mehr ausreichen, um kritische Schwachstellen in IT-Systemen zu finden." Indem sie die hierzulande vorhandene Expertise in einem Unternehmen bündelten, könnten auch andere Firmen davon profitieren und so die Sicherheit ihrer Systeme erhöhen.

Das fünfköpfige Team

Sandro Nafzger, CEO von Bug Bounty Switzerland, führt das neue Team an. Laut seinem Linkedin-Profil ist er seit Mai 2019 als Head of Bug Bounty für die Post tätig. Zuvor arbeitete er auch als Expert & Leader for Bug Bounty Programs in Switzerland bei Sansolutions sowie als Project Leader Public Intrusion Test (PIT) for E-Voting in Switzerland bei Baeriswyl Tschanz & Partner.

Ihm zur Seite steht Florian Badertscher als CTO. Badertscher bringt seine IT-Security-Expertise seit über 5 Jahren bei der Swisscom ein – zunächst als Security Analyst CSIRT und seit 2017 als Senior Security Analyst Cyber Defense und Lead Bug Bounty Program. Zuvor arbeite er unter anderem als IT-Security-Analyst für Compass Security, wie seinem Linkedin-Profil zu entnehmen ist.

Ein Angebot in drei Stufen

Aktuell besteht das Team zusätzlich noch aus Matthias Jauslin, COO und Partner sowie Lukas Heppler, Head of Customer Success, und Alessandro Casablanca, Head of Marketing.

Das Angebot der Firma ist in drei Stufen unterteilt: Reality-Check, Proof of Concept und schliesslich ein kontinuierliches Bug-Bounty-Programm. Der Reality-Check diene als kurzer Testlauf zur Sensibilisierung und Risikoeinschätzung.

Beim Proof of Concept wird ein dreimonatiges Programm aufgebaut. Dies soll die Machbarkeit eines vollwertigen Bug-Bounty-Programms nachweisen. Der Kunde werde dabei aktiv in die Planung miteinbezogen.

Als letzter Schritt erfolge der Ausbau zu einem kontinuierlichen Bug-Bounty-Programm. Hierfür könne der Kunde eine Jahreslizenz beziehen.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.

Zum Nachschlagen:

Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security.

Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.

Webcode
DPF8_186855