
Das britische Verteidigungsministerium (Ministry of Defence, MoD) hat heute den Abschluss seines ersten Bug-Bounty-Wettbewerbs bekannt gegeben, der zusammen mit Hackerone durchgeführt wurde. Bei dem Programm handelte es sich um einen 30-tägigen, von Hackern durchgeführten Sicherheitstest, der darauf abzielte, Schwachstellen aufzudecken, bevor sie von Gegnern ausgenutzt werden können. Aufgrund der Ergebnisse der sogenannten Integrated Review der britischen Regierung, hat diese sich zu „einer stärkeren Position in Sachen Sicherheit und Widerstandsfähigkeit“ sowie „einem Fokus auf Offenheit als Quelle des Wohlstands“ bekannt. Das nun durchgeführte Programm des MoD ist Teil einer organisationsweiten Verpflichtung, eine Kultur der Transparenz und Zusammenarbeit im Bereich der Sicherheit zu etablieren, um Cyber-Bedrohungen zu bekämpfen und die nationale Sicherheit Großbritanniens zu verbessern.
„Das Verteidigungsministerium hat sich zu einer Strategie des ‚Secure by Design‘ entschlossen, bei der Transparenz eine wesentliche Rolle spielt, um Verbesserungsmöglichkeiten im Entwicklungsprozess zu identifizieren“, kommentiert Christine Maxwell, Chief Information Security Officer (CISO) im britischen Verteidigungsministerium. „Es ist für uns wichtig, die Möglichkeiten unserer digitalen und Cyber-Entwicklung zu erweitern, um Mitarbeiter mit speziellen Fähigkeiten, Energie und Leistungsbereitschaft zu gewinnen. Die Zusammenarbeit mit der Community ethischer Hacker ermöglicht es uns, unseren Stab von technischen Experten zu vergrößern und unsere Ressourcen aus verschiedenerlei Richtungen zu schützen und zu verteidigen. Zu verstehen, wo wir Schwächen haben, und mit der großen Ethical-Hacking-Community zusammenzuarbeiten, um diese Schwachstellen zu identifizieren und zu beheben, ist ein wesentlicher Schritt zur Verringerung von Cyberrisiken und zur Verbesserung der Widerstandsfähigkeit.“
Bug-Bounty-Programme schaffen Anreize für die Sicherheitsforschung und die Meldung real existierender Sicherheitslücken. Im Austausch für die Meldung echter und dokumentierter Schwachstellen erhalten die Beteiligten einen entsprechenden finanziellen Bonus. Diese Programme sind gelebte Praxis in der Wirtschaft und werden von den fortschrittlichsten Regierungsorganisationen und Unternehmen auf der ganzen Welt durchgeführt. Indem sie den Security-Teams Schwachstellen melden, helfen ethische Hacker dem britischen Verteidigungsministerium, seine digitalen Ressourcen abzusichern und sich gegen Cyberangriffe zu wappnen. Dieser Bug-Bounty-Wettbewerb ist das jüngste Beispiel für die Bereitschaft des MoD, innovative und unkonventionelle Ansätze zu verfolgen, um die Fähigkeiten und die Sicherheit von Menschen, Netzwerken und Daten zu gewährleisten. Das Verteidigungsministerium des Vereinigten Königreichs fordert außerdem von seinen Partnern, dass die Grundsätze des „Secure by Design“ von der Lieferkette übernommen werden, um die Einhaltung von DEFCON 658 und DefStan 05-138 zu gewährleisten.
„Es ist eine Tatsache, dass ein abgeschotteter und im Verborgenen praktizierter Sicherheitsansatz nicht gut funktioniert“, sagt Trevor Shingles alias @sowhatsec, einer der 26 ethischen Hacker, die am Programm des britischen Verteidigungsministeriums teilnahmen. „Ich habe mich auf die Identifizierung von Schwachstellen in Zusammenhang mit der Umgehung von Authentifizierungsmethoden konzentriert. Diese ermöglichen es unbefugten Benutzern, auf Systeme zuzugreifen, auf die sie nicht zugreifen sollten. Dabei konnte ich erfolgreich eine OAuth-Fehlkonfiguration entdecken und in der Folge melden, die es mir ermöglicht hätte, Berechtigungen zu ändern und Zugriff zu erhalten. Stattdessen konnte ich jedoch dem Verteidigungsministerium bei der Behebung und der zukünftigen Absicherung helfen. Die Offenheit des Verteidigungsministeriums, autorisierten Zugriff auf seine Systeme zu gewähren, ist ein echter Beweis dafür, dass es alle ihm zur Verfügung stehenden Mittel einsetzt, um seine Anwendungen tatsächlich zu stärken und abzusichern. Dies ist ein großartiges Beispiel nicht nur für Großbritannien, sondern auch für andere Länder, an dem diese ihre eigenen Sicherheitsansätze messen können.“
„Regierungen auf der ganzen Welt werden sich zunehmend der Tatsache bewusst, dass sie ihre riesigen, digitalen Umgebungen nicht mehr mit traditionellen Sicherheitstools schützen können“, sagt Marten Mickos, CEO von Hackerone. „Ein formelles Verfahren zur Meldung von Schwachstellen durch Dritte wird weltweit als Best Practice angesehen, und die US-Regierung hat es in diesem Jahr für ihre zivilen Bundesbehörden sogar zur Pflicht gemacht. Das britische Verteidigungsministerium ist Vorreiter in der britischen Regierung aufgrund zukunftsweisender und kollaborativer Lösungen zur Sicherung seiner digitalen Ressourcen. Und ich gehe davon aus, dass weitere Regierungsbehörden diesem Beispiel folgen werden.“
Die Integration mit Partnern und Verbündeten trägt zum Ziel des britischen Verteidigungsministeriums bei, digital sicher und widerstandsfähig zu sein. Und das Bug Bounty-Programm sorgt zudem dafür, dass das MoD auf Augenhöhe mit seinen Verbündeten in den Vereinigten Staaten ist. Denn das US-Verteidigungsministerium, die US-Armee und die US-Luftwaffe arbeiten alle mit der Community ethischer Hacker von Hackerone zusammen, um ihre Software sicherer zu machen.
Fachartikel

KI vor Sicherheit: Alle Fortune-500-Konzerne setzen auf künstliche Intelligenz – Schutzmaßnahmen hinken hinterher

Gefahr aus dem Code: Hackergruppe Water Curse nutzt GitHub für Malware-Verbreitung

Jenseits der Checkliste: Warum Angreifer Ihre Fehlkonfigurationen lieben – und wie Sie sie stoppen können

Wie Sie eine Systemhärtung bestens in Ihr Windows 11 Rollout Projekt integrieren

Vom Aushängeschild zum Sicherheitsrisiko: Warum Ihre Website ein Angriffsziel ist
Studien

Studie: Mehrheit der Beschäftigten hält KI am Arbeitsplatz für überschätzt

NTT DATA-Studie: Mangelde Abstimmung im C-Level bei Einführung von GenAI

PwC-Studie: Künstliche Intelligenz vervielfacht Produktivität und steigert Gehälter deutlich

TÜV-Studie: Cyberangriffe auf 15 Prozent der Unternehmen – Phishing bleibt Hauptbedrohung

Rasante Verbreitung von GenAI bringt Chancen und Risiken – Bericht zeigt alarmierende Entwicklung im Jahr 2025
Whitepaper

BSI-leitet G7-Arbeitsgruppe: Gemeinsames Konzept für eine „SBOM for AI“ veröffentlicht

NIST stellt 19 Modelle für Zero-Trust-Architekturen vor

Wirtschaft fordert deutsche Cloud-Alternativen – Abhängigkeit von US-Anbietern wächst

Internationale Behörden warnen vor Play-Ransomware: Neue Angriffsmethoden entdeckt
