Das britische Verteidigungsministerium (Ministry of Defence, MoD) hat heute den Abschluss seines ersten Bug-Bounty-Wettbewerbs bekannt gegeben, der zusammen mit Hackerone durchgeführt wurde. Bei dem Programm handelte es sich um einen 30-tägigen, von Hackern durchgeführten Sicherheitstest, der darauf abzielte, Schwachstellen aufzudecken, bevor sie von Gegnern ausgenutzt werden können. Aufgrund der Ergebnisse der sogenannten Integrated Review der britischen Regierung, hat diese sich zu „einer stärkeren Position in Sachen Sicherheit und Widerstandsfähigkeit“ sowie „einem Fokus auf Offenheit als Quelle des Wohlstands“ bekannt. Das nun durchgeführte Programm des MoD ist Teil einer organisationsweiten Verpflichtung, eine Kultur der Transparenz und Zusammenarbeit im Bereich der Sicherheit zu etablieren, um Cyber-Bedrohungen zu bekämpfen und die nationale Sicherheit Großbritanniens zu verbessern.

„Das Verteidigungsministerium hat sich zu einer Strategie des ‚Secure by Design‘ entschlossen, bei der Transparenz eine wesentliche Rolle spielt, um Verbesserungsmöglichkeiten im Entwicklungsprozess zu identifizieren“, kommentiert Christine Maxwell, Chief Information Security Officer (CISO) im britischen Verteidigungsministerium. „Es ist für uns wichtig, die Möglichkeiten unserer digitalen und Cyber-Entwicklung zu erweitern, um Mitarbeiter mit speziellen Fähigkeiten, Energie und Leistungsbereitschaft zu gewinnen. Die Zusammenarbeit mit der Community ethischer Hacker ermöglicht es uns, unseren Stab von technischen Experten zu vergrößern und unsere Ressourcen aus verschiedenerlei Richtungen zu schützen und zu verteidigen. Zu verstehen, wo wir Schwächen haben, und mit der großen Ethical-Hacking-Community zusammenzuarbeiten, um diese Schwachstellen zu identifizieren und zu beheben, ist ein wesentlicher Schritt zur Verringerung von Cyberrisiken und zur Verbesserung der Widerstandsfähigkeit.“

Bug-Bounty-Programme schaffen Anreize für die Sicherheitsforschung und die Meldung real existierender Sicherheitslücken. Im Austausch für die Meldung echter und dokumentierter Schwachstellen erhalten die Beteiligten einen entsprechenden finanziellen Bonus. Diese Programme sind gelebte Praxis in der Wirtschaft und werden von den fortschrittlichsten Regierungsorganisationen und Unternehmen auf der ganzen Welt durchgeführt. Indem sie den Security-Teams Schwachstellen melden, helfen ethische Hacker dem britischen Verteidigungsministerium, seine digitalen Ressourcen abzusichern und sich gegen Cyberangriffe zu wappnen. Dieser Bug-Bounty-Wettbewerb ist das jüngste Beispiel für die Bereitschaft des MoD, innovative und unkonventionelle Ansätze zu verfolgen, um die Fähigkeiten und die Sicherheit von Menschen, Netzwerken und Daten zu gewährleisten. Das Verteidigungsministerium des Vereinigten Königreichs fordert außerdem von seinen Partnern, dass die Grundsätze des „Secure by Design“ von der Lieferkette übernommen werden, um die Einhaltung von DEFCON 658 und DefStan 05-138 zu gewährleisten.

„Es ist eine Tatsache, dass ein abgeschotteter und im Verborgenen praktizierter Sicherheitsansatz nicht gut funktioniert“, sagt Trevor Shingles alias @sowhatsec, einer der 26 ethischen Hacker, die am Programm des britischen Verteidigungsministeriums teilnahmen. „Ich habe mich auf die Identifizierung von Schwachstellen in Zusammenhang mit der Umgehung von Authentifizierungsmethoden konzentriert. Diese ermöglichen es unbefugten Benutzern, auf Systeme zuzugreifen, auf die sie nicht zugreifen sollten. Dabei konnte ich erfolgreich eine OAuth-Fehlkonfiguration entdecken und in der Folge melden, die es mir ermöglicht hätte, Berechtigungen zu ändern und Zugriff zu erhalten. Stattdessen konnte ich jedoch dem Verteidigungsministerium bei der Behebung und der zukünftigen Absicherung helfen. Die Offenheit des Verteidigungsministeriums, autorisierten Zugriff auf seine Systeme zu gewähren, ist ein echter Beweis dafür, dass es alle ihm zur Verfügung stehenden Mittel einsetzt, um seine Anwendungen tatsächlich zu stärken und abzusichern. Dies ist ein großartiges Beispiel nicht nur für Großbritannien, sondern auch für andere Länder, an dem diese ihre eigenen Sicherheitsansätze messen können.“

„Regierungen auf der ganzen Welt werden sich zunehmend der Tatsache bewusst, dass sie ihre riesigen, digitalen Umgebungen nicht mehr mit traditionellen Sicherheitstools schützen können“, sagt Marten Mickos, CEO von Hackerone. „Ein formelles Verfahren zur Meldung von Schwachstellen durch Dritte wird weltweit als Best Practice angesehen, und die US-Regierung hat es in diesem Jahr für ihre zivilen Bundesbehörden sogar zur Pflicht gemacht. Das britische Verteidigungsministerium ist Vorreiter in der britischen Regierung aufgrund zukunftsweisender und kollaborativer Lösungen zur Sicherung seiner digitalen Ressourcen. Und ich gehe davon aus, dass weitere Regierungsbehörden diesem Beispiel folgen werden.“

Die Integration mit Partnern und Verbündeten trägt zum Ziel des britischen Verteidigungsministeriums bei, digital sicher und widerstandsfähig zu sein. Und das Bug Bounty-Programm sorgt zudem dafür, dass das MoD auf Augenhöhe mit seinen Verbündeten in den Vereinigten Staaten ist. Denn das US-Verteidigungsministerium, die US-Armee und die US-Luftwaffe arbeiten alle mit der Community ethischer Hacker von Hackerone zusammen, um ihre Software sicherer zu machen.

Über das britische Verteidigungsministerium
Die Aufgaben des Verteidigungsministeriums: „Wir arbeiten für ein sicheres und prosperierendes Vereinigtes Königreich mit globaler Reichweite und Einfluss. Wir werden unsere Mitbürger, Territorien, Werte und Interessen im In- und Ausland durch starke Streitkräfte und in Partnerschaft mit Verbündeten schützen, um unsere Sicherheit zu gewährleisten, unsere nationalen Interessen zu unterstützen und unseren Wohlstand zu sichern.“ Das britische Verteidigungsministerium ist eine ministerielle Behörde, die von 24 Agenturen und öffentlichen Einrichtungen unterstützt wird. Auf Grundlage der Statistiken vom 1. April 2021 verfügt das Verteidigungsministerium über eine Personalstärke von 198.880 regulären Truppenangehörigen und Reservisten sowie 56.920 zivilen Mitarbeitern.
 

Über Hackerone

Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.

Firmenkontakt und Herausgeber der Meldung:

Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com

Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel