Zur Stärkung der digitalen Sicherheit: britisches Verteidigungsministerium sucht Zusammenarbeit mit Hackern

3. August 2021

Das britische Verteidigungsministerium (Ministry of Defence, MoD) hat heute den Abschluss seines ersten Bug-Bounty-Wettbewerbs bekannt gegeben, der zusammen mit Hackerone durchgeführt wurde. Bei dem Programm handelte es sich um einen 30-tägigen, von Hackern durchgeführten Sicherheitstest, der darauf abzielte, Schwachstellen aufzudecken, bevor sie von Gegnern ausgenutzt werden können. Aufgrund der Ergebnisse der sogenannten Integrated Review der britischen Regierung, hat diese sich zu „einer stärkeren Position in Sachen Sicherheit und Widerstandsfähigkeit“ sowie „einem Fokus auf Offenheit als Quelle des Wohlstands“ bekannt. Das nun durchgeführte Programm des MoD ist Teil einer organisationsweiten Verpflichtung, eine Kultur der Transparenz und Zusammenarbeit im Bereich der Sicherheit zu etablieren, um Cyber-Bedrohungen zu bekämpfen und die nationale Sicherheit Großbritanniens zu verbessern.

„Das Verteidigungsministerium hat sich zu einer Strategie des ‚Secure by Design‘ entschlossen, bei der Transparenz eine wesentliche Rolle spielt, um Verbesserungsmöglichkeiten im Entwicklungsprozess zu identifizieren“, kommentiert Christine Maxwell, Chief Information Security Officer (CISO) im britischen Verteidigungsministerium. „Es ist für uns wichtig, die Möglichkeiten unserer digitalen und Cyber-Entwicklung zu erweitern, um Mitarbeiter mit speziellen Fähigkeiten, Energie und Leistungsbereitschaft zu gewinnen. Die Zusammenarbeit mit der Community ethischer Hacker ermöglicht es uns, unseren Stab von technischen Experten zu vergrößern und unsere Ressourcen aus verschiedenerlei Richtungen zu schützen und zu verteidigen. Zu verstehen, wo wir Schwächen haben, und mit der großen Ethical-Hacking-Community zusammenzuarbeiten, um diese Schwachstellen zu identifizieren und zu beheben, ist ein wesentlicher Schritt zur Verringerung von Cyberrisiken und zur Verbesserung der Widerstandsfähigkeit.“

Bug-Bounty-Programme schaffen Anreize für die Sicherheitsforschung und die Meldung real existierender Sicherheitslücken. Im Austausch für die Meldung echter und dokumentierter Schwachstellen erhalten die Beteiligten einen entsprechenden finanziellen Bonus. Diese Programme sind gelebte Praxis in der Wirtschaft und werden von den fortschrittlichsten Regierungsorganisationen und Unternehmen auf der ganzen Welt durchgeführt. Indem sie den Security-Teams Schwachstellen melden, helfen ethische Hacker dem britischen Verteidigungsministerium, seine digitalen Ressourcen abzusichern und sich gegen Cyberangriffe zu wappnen. Dieser Bug-Bounty-Wettbewerb ist das jüngste Beispiel für die Bereitschaft des MoD, innovative und unkonventionelle Ansätze zu verfolgen, um die Fähigkeiten und die Sicherheit von Menschen, Netzwerken und Daten zu gewährleisten. Das Verteidigungsministerium des Vereinigten Königreichs fordert außerdem von seinen Partnern, dass die Grundsätze des „Secure by Design“ von der Lieferkette übernommen werden, um die Einhaltung von DEFCON 658 und DefStan 05-138 zu gewährleisten.

„Es ist eine Tatsache, dass ein abgeschotteter und im Verborgenen praktizierter Sicherheitsansatz nicht gut funktioniert“, sagt Trevor Shingles alias @sowhatsec, einer der 26 ethischen Hacker, die am Programm des britischen Verteidigungsministeriums teilnahmen. „Ich habe mich auf die Identifizierung von Schwachstellen in Zusammenhang mit der Umgehung von Authentifizierungsmethoden konzentriert. Diese ermöglichen es unbefugten Benutzern, auf Systeme zuzugreifen, auf die sie nicht zugreifen sollten. Dabei konnte ich erfolgreich eine OAuth-Fehlkonfiguration entdecken und in der Folge melden, die es mir ermöglicht hätte, Berechtigungen zu ändern und Zugriff zu erhalten. Stattdessen konnte ich jedoch dem Verteidigungsministerium bei der Behebung und der zukünftigen Absicherung helfen. Die Offenheit des Verteidigungsministeriums, autorisierten Zugriff auf seine Systeme zu gewähren, ist ein echter Beweis dafür, dass es alle ihm zur Verfügung stehenden Mittel einsetzt, um seine Anwendungen tatsächlich zu stärken und abzusichern. Dies ist ein großartiges Beispiel nicht nur für Großbritannien, sondern auch für andere Länder, an dem diese ihre eigenen Sicherheitsansätze messen können.“

„Regierungen auf der ganzen Welt werden sich zunehmend der Tatsache bewusst, dass sie ihre riesigen, digitalen Umgebungen nicht mehr mit traditionellen Sicherheitstools schützen können“, sagt Marten Mickos, CEO von Hackerone. „Ein formelles Verfahren zur Meldung von Schwachstellen durch Dritte wird weltweit als Best Practice angesehen, und die US-Regierung hat es in diesem Jahr für ihre zivilen Bundesbehörden sogar zur Pflicht gemacht. Das britische Verteidigungsministerium ist Vorreiter in der britischen Regierung aufgrund zukunftsweisender und kollaborativer Lösungen zur Sicherung seiner digitalen Ressourcen. Und ich gehe davon aus, dass weitere Regierungsbehörden diesem Beispiel folgen werden.“

Die Integration mit Partnern und Verbündeten trägt zum Ziel des britischen Verteidigungsministeriums bei, digital sicher und widerstandsfähig zu sein. Und das Bug Bounty-Programm sorgt zudem dafür, dass das MoD auf Augenhöhe mit seinen Verbündeten in den Vereinigten Staaten ist. Denn das US-Verteidigungsministerium, die US-Armee und die US-Luftwaffe arbeiten alle mit der Community ethischer Hacker von Hackerone zusammen, um ihre Software sicherer zu machen.