Was ist Crowdsourced Ethical Hacking?
Klassischerweise beauftragen Unternehmen spezialisierte IT-Dienstleister mit der Durchführung von Penetrationstests von Web Anwendungen und Netzwerken. Diese Dienstleister funktionieren wie Arztpraxen. Man vereinbart einen Termin und einige Wochen später kümmern sich die zugeteilten Experten um das Projekt. Seit einigen Jahren besteht für Unternehmen jedoch die Möglichkeit neue Wege zu gehen und bei der Durchführung von Penetrationstest auf Schwarmintelligenz zu setzen. Sogenannte Crowdsourced Penetration Testing Plattformen machen es möglich. Sie pflegen ein globales Netzwerk aus Pentestern, die auf Abruf bereitstehen und rund um die Uhr nach Schwachstellen suchen können. Die Pentester erhalten erfolgsabhängig Prämien für verifizierte Schwachstellen, ähnlich wie bei sog. Bug Bounty Programmen. Crowdsourced Ethical Hacking ist eine Ausprägung der Gig Economy bei der zwischen Auftraggeber und Auftragnehmer die Plattform als Vermittler auftritt und die Dienstleistungsabwicklung begleitet.
Welche Vorteile bietet Crowdsourced Ethical Hacking?
Crowdsourced Penetration Testing Plattformen werben mit jeder Menge Vorteilen gegenüber klassischem Pentesting, darunter:
Zugriff auf vielfältige Skills
In Zeiten des Fachkräftemangels ist es sehr schwer geeignete Pentester zu finden. Über Crowdsourced Ethical Hacking Plattformen haben Unternehmen Zugriff auf einen globalen Pool aus Ethical Hackern mit vielfältigen Fähigkeiten, die gemeinsam in der Lage sind mit den rasanten Entwicklungen im Bereich der Cyberkriminalität mitzuhalten.
Überlegene Technologie
Crowdsourced Ethical Hacking Plattformen sind oftmals mehr als ein reiner Vermittler und werfen Technologie in die Wagschale, die ein einzelner Pentester bzw. kleiner Dienstleister nicht anbieten kann. Diese Technologien zielen darauf ab die Arbeit der Ethical Hackern auf der Plattform möglichst einfach zu gestalten und können gewisse Teile des Penetration Testing automatisieren.
Kontinuierliches Testen und schnelle Einsatzbereitschaft
Crowdsourced Pentesting erlaubt es Auftraggebern Anwendungen und Systeme permanent testen zu lassen. Dieser kontinuierliche Ansatz passt sehr gut zu der Art und Weise, wie man heute moderne Software entwickelt. Außerdem ist die Vorlaufzeit sehr gering. Normalerweise kann man in wenigen Tagen bereits mit seinem Projekt starten.
Bessere Anreize
Die Ethical Hacker auf den Plattformen werden erfolgsabhängig für gefundene und verifizierte Schwachstellen bezahlt. Als Auftraggeber zahlt man daher, abgesehen von den Grundgebühren der Plattform, für die Ergebnisse der Testaktivitäten und nicht für aufgewendete Zeit.
Welche Nachteile bringt Crowdsourced Ethical Hacking mit sich?
Vertrauen in den Auswahlprozess der Plattform notwendig
Pentesting bedeutet zwangläufig, einem Außenstehenden sensible Informationen offen zu legen. Zu anonymen Pentestern aus der „Crowd“ hat man keine persönliche Beziehung, weshalb man in den Screeningprozess des Anbieters vertrauen muss. Selbstverständlich versichern alle großen Plattformen einen rigorosen Auswahl- und Überwachungsprozess durchzuführen und ihre Hacker-Community aktiv zu pflegen. Nichtsdestotrotz bleibt das Ungute Gefühl, das sich Akteure mit bösen Absichten auf den Plattformen bewegen könnten.
Begrenzer Einsatzbereich
In den letzten Jahren hat sich auf dem Crowdsourced Ethical Hacking Markt zwar einiges getan, dennoch eignen sich die Plattformen in erster Linie für Pentests von Webanwendungen und Perimeter-Assets. Interne Penetrationstests sind für die Anbieter praktisch schwerer umzusetzen. Aufgrund der zunehmenden Vernetzung und der immer steigenden Eintrittspunkte, werden jedoch gerade interne Pentest immer wichtiger.
Schwankende Kosten
Kosten sind bei den meisten Anbietern sehr variabel und damit schwer vorhersehbar. Bei manchen Anbietern gibt es eine monatliche Flatrate, allerdings stellt diese dann eine hohe Eintrittsbarriere dar. Egal wie das Vergütungsmodell gestaltet ist, für den Auftraggeber kann es empfindlich teuer werden. Daher ist Crowdsourced Pentesting am besten für große Unternehmen geeignet, die bereits sehr viel Erfahrung mit Pentesting haben.
Fragwürdige Vergütungsmodelle
Nur ein kleiner Teil der Hacker auf den Plattformen verdient über Prämien ein signifikantes Einkommen. Es besteht ein hohes Risiko, dass Aufwand und Verdienst nicht im richtigen Verhältnis stehen, z.B. weil man eine Schwachstelle nicht als Erster entdeckt und damit leer ausgeht. Zunehmend gehen die Plattformen glücklicherweise dazu über, auch für ausgeführte Tätigkeiten zu bezahlen.
Ein Blick Hinter die Kulissen
Die vorstehenden Kritikpunkte sind bei Weitem nicht die Einzigen. In einem investigativen Artikel von J.M. Porup können Sie einen tiefen Einblick in die Probleme der Branche werfen. Den Artikel finden Sie hier.
Bekannte Anbieter auf Markt
Im Folgenden möchte ich kurz drei bekannte Player auf dem Crowdsourced Ethical Hacking Markt vorstellen:
HackerOne
HackerOne vereint die größte Hacker-Community, hat die meisten Kunden und bisher die meisten Prämien ausgezahlt. Die Plattform bietet einige Crowdsourced Security Leistungen, darunter auch Penetration Testing. Die Plattform listet hierfür folgende Product Capabilities:
- Web- and Mobile Applications
- External Network
- Internetfacing Infrastructure
Hier geht es zu einer Übersicht.
Bugcrowd
Bugcrowd ist die Nummer zwei im Markt und sehr ähnlich zu HackerOne. Im Bereich Penetration Testing Services bietet Bugcrowd Folgendes:
- Web App Pentests
- Network Pentests
- API Pentests
- IoT Pentests
Viele Hacker sind sowohl bei Bugcrowd als auch bei HackerOne angemeldet.
Synack
Synack unterscheidet sich deutlich von den anderen Plattformen. Einerseits ist der Auswahlprozess der Hacker deutlich anspruchsvoller, des Weiteren setzt die Plattform auf ein anderes Preis- und Vergütungsmodell. Insgesamt führt das dazu, dass die Einstiegshürde für Kunden und Ethical Hacker höher ist. Interessant ist zudem, dass Synack sehr viel daran liegt die Pentester durch Technologie zu unterstützen, etwa durch KI-gestütztes Scannen durch die Plattform selbst.
Fazit
Crowdsourced Ethical Hacking ist ein wirklich spannendes Phänomen und insbesondere Global Player scheinen dem Konzept nicht abgeneigt zu sein. Im Bereich Web Application Pentesting bieten die Plattformen eine interessante Alternative zum klassischen Penetration Testing. Allerdings gibt es in der Branche wie gezeigt einige negative Aspekte, von denen man aus dem Lager der Plattformanbieter erstaunlich wenig hört. Im Bereich Network Penetration Testing sehe ich langfristig keine Notwendigkeit auf Crowdsourced Ethical Hacking zu setzen. In diesem Bereich wird der Automatisierungsgrad über Softwarelösungen immer weiter nach oben geschraubt und damit letztlich der Bedarf an manuellen Tätigkeiten, die durch Menschen ausgeführt werden müssen, immer geringer. In diesem Bereich würde ich daher stattdessen auf Breach and Attack Simulation und Automated Penetration Testing Tools setzen.
