Bevor ein neues Softwareprodukt auf den Markt kommt, wird es auf Schwachstellen getestet. Jedes verantwortungsbewusste Unternehmen führt diese Tests durch, um sowohl seine Kunden als auch sich selbst vor Cyber-Bedrohungen zu schützen.
In den letzten Jahren haben sich Entwickler bei der Durchführung von Sicherheitstests zunehmend auf Crowdsourcing verlassen. Aber was genau ist Crowdsourcing-Sicherheit? Wie funktioniert es und wie unterscheidet es sich von anderen gängigen Methoden zur Risikobewertung?
So funktioniert Crowdsourcing-Sicherheit
Unternehmen jeder Größe nutzen traditionell Penetrationstests, um ihre Systeme zu sichern. Ein Pentest ist im Wesentlichen ein simulierter Cyberangriff, der Sicherheitslücken aufdeckt, genau wie ein echter Angriff. Aber anders als bei einem echten Angriff werden diese Schwachstellen, sobald sie erkannt werden, gepatcht. Dies stärkt das allgemeine Sicherheitsprofil der betreffenden Organisation. Klingt einfach, oder?
Es gibt jedoch einige Probleme beim Penetrationstest. Dies geschieht in der Regel nur jährlich, was einfach nicht ausreicht, da die gesamte Software regelmäßig aktualisiert wird. Zweitens: Da der Markt für Cybersicherheit ziemlich gesättigt ist, „finden“ Penetrationsunternehmen manchmal Schwachstellen, die eigentlich nicht existieren, um eine Gebühr für ihre Dienste zu rechtfertigen und sich von der Konkurrenz abzuheben. Es gibt auch Budgetbedenken – diese Dienste können recht teuer sein.
Crowdsourced Security arbeitet nach einem völlig anderen Modell. Dabei geht es darum, eine Gruppe von Einzelpersonen einzuladen, die Software auf Sicherheitsprobleme zu testen. Unternehmen, die Crowdsourced Security nutzen, laden eine Gruppe von Personen oder die breite Öffentlichkeit ein, ihre Produkte zu testen. Dies kann direkt oder über eine Crowdsourcing-Plattform eines Drittanbieters erfolgen.
Obwohl jeder an diesen Programmen teilnehmen kann, sind White-Hat-Hacker oder Forscher die Hauptzielgruppe. Die Entdeckung einer Sicherheitslücke ist oft mit einer erheblichen finanziellen Belohnung verbunden. Natürlich ist die Festlegung des Betrags Sache des jeweiligen Unternehmens, aber Crowdsourcing ist auf lange Sicht günstiger und effektiver als herkömmliche Penetrationstests.
Gegenüber Pentesting und anderen Formen der Risikobewertung bietet Crowdsourcing verschiedene Vorteile. Erstens: Unabhängig davon, wie gut das Unternehmen für Penetrationstests ist, das Sie beauftragen, ist die Wahrscheinlichkeit größer, dass eine große Gruppe von Menschen, die ständig nach Sicherheitslücken suchen, diese auch entdeckt. Ein weiterer offensichtlicher Vorteil von Crowdsourcing besteht darin, dass ein solches Programm unbefristet ist, d. h. es kann kontinuierlich ausgeführt werden, sodass Schwachstellen das ganze Jahr über erkannt (und behoben) werden können.
3 Arten von Crowdsourcing-Sicherheitsprogrammen
Die meisten Crowdsourcing-Sicherheitsprogramme konzentrieren sich auf das gleiche Grundkonzept der finanziellen Belohnung von Schwachstellenentdeckern, können jedoch in drei Hauptkategorien eingeteilt werden.
1. Erhalten Sie Boni, wenn Fehler entdeckt werden
Fast jeder Technologieriese – von Facebook über Apple bis Google – verfügt über ein aktives Bug-Bounty-Programm. Die Funktionsweise ist ganz einfach: Wenn Sie einen Fehler entdecken, erhalten Sie eine Belohnung. Diese Belohnungen liegen zwischen einigen Hundert und einigen Millionen Dollar, daher ist es keine Überraschung, dass einige White-Hat-Hacker ein Vollzeiteinkommen mit der Entdeckung von Software-Schwachstellen erzielen.
2. Programm zur Offenlegung von Sicherheitslücken
Programme zur Offenlegung von Sicherheitslücken sind der oben genannten Gruppe sehr ähnlich, weisen jedoch einen wesentlichen Unterschied auf: Diese Programme sind öffentlich. Mit anderen Worten: Wenn ein White-Hat-Hacker eine Sicherheitslücke in einem Softwareprodukt entdeckt, wird diese Schwachstelle öffentlich gemacht, damit jeder sie kennt. Cybersicherheitsunternehmen beteiligen sich häufig an diesen Aktivitäten: Sie entdecken Schwachstellen, schreiben Berichte darüber und geben Empfehlungen an Entwickler und Endbenutzer.
3. Malware-Crowdsourcing
Was passiert, wenn Sie eine Datei herunterladen, sich aber nicht sicher sind, ob die Ausführung sicher ist? Wie prüft man, ob es sich um Malware handelt? Ihr Antivirenprogramm erkennt die Datei möglicherweise nicht als bösartig. Sie können also zu VirusTotal oder einem ähnlichen Online-Virenscanner gehen und die Datei dort hochladen. Diese Tools synthetisieren Dutzende Antivirenprodukte, um zu überprüfen, ob die betreffende Datei schädlich ist oder nicht. Dies ist auch eine Form der Crowdsourcing-Sicherheit.
Manche Menschen glauben, dass Cyberkriminalität eine Form von Crowdsourcing-Sicherheit ist. Dieses Argument macht Sinn, denn niemand ist motivierter, Schwachstellen in einem System zu finden, als ein Bedrohungsakteur, der es für Geld und Ruhm ausnutzen möchte. Schließlich sind es Kriminelle, die die Cybersicherheitsbranche unbeabsichtigt zu Anpassungen, Innovationen und Verbesserungen zwingen.
Die Zukunft der Crowdsourcing-Sicherheit
Laut dem Analyseunternehmen Future Market Insights wird der globale Sicherheitsmarkt in den kommenden Jahren weiter wachsen. Schätzungen zufolge wird es bis 2032 sogar einen Wert von rund 243 Millionen US-Dollar haben. Dies ist nicht nur auf Initiativen des Privatsektors zurückzuführen, sondern auch darauf, dass Regierungen auf der ganzen Welt Crowdsourcing-Sicherheitsmaßnahmen eingeführt haben.
Diese Vorhersagen können sicherlich nützlich sein, wenn Sie abschätzen möchten, in welche Richtung sich die Cybersicherheitsbranche bewegt, aber es bedarf keines Ökonomen, um herauszufinden, warum Unternehmen diesen Ansatz verfolgen. Crowdsourcing aus Sicherheitsgründen. Egal wie man es betrachtet, Zahlen sind wichtig. Welchen Schaden könnte es außerdem anrichten, wenn ein Team verantwortungsbewusster und vertrauenswürdiger Personen Ihre Vermögenswerte 365 Tage im Jahr auf Schwachstellen überwacht?
Kurz gesagt: Wenn sich nichts dramatisches an der Art und Weise ändert, wie Software durch Bedrohungsakteure kompromittiert wird, ist es wahrscheinlicher, dass auf beiden Seiten Crowdsourcing-Sicherheitsprogramme auftauchen. Das sind gute Nachrichten für Entwickler, White-Hat-Hacker und Verbraucher, aber schlechte Nachrichten für Cyberkriminelle.
In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Lernen Sie effektive Methoden, moderne Sicherheitsprotokolle und Best Practices kennen.
Das Formatieren eines USB-Sticks ähnelt dem Formatieren jedes anderen Laufwerks. Hier erfahren Sie, warum und wie Sie USB formatieren sollten, um optimale Ergebnisse zu erzielen.
Wenn beim Starten eines Spiels unter Windows 10 der Fehler „Game Security Violation Detected“ angezeigt wird, sind die Lösungen einfach und effektiv. Hier erfahren Sie, wie Sie dieses Problem beheben können.
Wechseln Sie mühelos zwischen Audiogeräten unter Windows 10 mit Tastenkombinationen. Erfahren Sie, wie Sie den Audio-Umschalter effizient nutzen.
Entdecken Sie 8 einfache Möglichkeiten, MSConfig in Windows 11 zu öffnen, um zahlreiche Probleme effizient zu beheben.
Freunde und Familienmitglieder zu trollen macht Spaß mit diesen harmlosen gefälschten Viren. Hier sind vier kreative Ideen, um Ihre Freunde zum Lachen zu bringen.
Entdecken Sie die Unterschiede zwischen Virtualisierung und Emulation sowie deren Vor- und Nachteile. Erfahren Sie, wie diese Technologien in modernen IT-Umgebungen eingesetzt werden.
Device Guard ist ein wichtiges Sicherheitsfeature in Windows 10, das sicherstellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden. So aktivieren oder deaktivieren Sie es.
Erfahren Sie, wie Sie vDOS verwenden, um alte DOS-Software unter Windows 10 auszuführen. Dieser Emulator ist ideal für die Nutzung älterer Programme, bietet jedoch keine optimale Lösung für Spiele.
Wenn Sie Probleme mit USB-Geräten auf Ihrem Windows 11-Computer haben, sollten Sie die Funktion „USB Selective Suspend“ deaktivieren.
