"SCS in a nutshell"-Interview über Penetrationstests versus Bug-Bounty-Programme
Christian Folin vom Swiss Cyber Storm lud den freiberuflichen Bug-Bounty-Jäger Raphaël Arrouas und den IT-Sicherheitsanalysten Tobias Ospelt von der Pentagrid AG zu einem Interview über Vor- und Nachteile von Penetrationstests und Bug-Bounty-Programmen ein. Das Interview fand im Rahmen des Formats "SCS in a nutshell" statt. Während beide Ansätze valide Methoden für das Testen auf Sicherheitsproblemen sind, unterscheiden sie sich auch in vielen Aspekten.
Das Interview begann mit einem Gespräch über das Vertrauen in den Reifegrad der Sicherheit eines Bug-Bounty-Betreibers und das notwendige Vertrauen in Personen, welche Kenntnis über Schwachstellen der Organisation erlangen. Im Interview wird die Flexibilität bei der Definition von Regeln und Scopes besprochen, die Freiheit bei der Auswahl eines Scopes und über private Bug-Bounty-Programme, die ein neues Format mit zunehmender Bedeutung darstellen. Die Vor- und Nachteile der unterschiedlichen ökonomischen Varianten, bei denen ein Unternehmen nur identifizierte Schwachstellen belohnt und nicht die Arbeitszeit bezahlt, werden ebenso diskutiert wie die Sichtbarkeit und Bedeutung von Pentest- und Bug-Bounty-Ergebnissen und deren interne Verarbeitung in einem Unternehmen.
In dem Gespräch wird auch das Risiko für Sicherheitsforscher angesprochen, gegen den Schweizer Hacker-Paragraphen StGB 143 und 144 zu verstossen, da das Gesetz das Handeln in guter Absicht von Forschern und Bug-Bounty-Jägern nicht berücksichtigt.
Das ganze Interview mit weiteren Themen umfasst eine Dreiviertelstunde, ist in Englisch und ist über den Swiss Cyber Storm Youtube-Kanal verfügbar.