Hacker-Community wächst auf mehr als eine Million registrierte Nutzer

Das Umsatzwachstum stammt fast zur Hälfte von Unternehmen mit mehr als 1 Mrd. US-Dollar Umsatz. Gleichzeitig haben sich rund 70 Prozent der Kunden für mehr als nur ein Produkt oder einen Service von Hackerone entschieden, um das Risiko ihrer sich schnell größer werdenden Angriffsflächen zu reduzieren. Gleichzeitig stieg die Akzeptanz von Hackerone in Europa um fast 70 Prozent, da für die Chief Information Security Officers (CISOs) Agilität bei der Minimierung der Risiken immer wichtiger wird. Hackerone arbeitet inzwischen mit fast einem Viertel der Fortune-100-Unternehmen in den USA zusammen und bringt sie in Kontakt mit spezialisierten Hackern. Ziel ist es, die Sicherheit geschäftskritischer Umgebungen in den Bereichen Web, Mobile, Cloud, Open Source, Supply Chain und weiterer Angriffsflächen zu verbessern. Die hohe Akzeptanz der Unternehmen ist dabei ein deutliches Zeichen, dass die Strategie der Kooperation mit White-Hat-Hackern mehr und mehr im Mainstream ankommt.

Branchenübergreifende Akzeptanz

Um sich an die Geschäftsrisiken und Ressourcenbeschränkungen inmitten der COVID-19-Pandemie anzupassen, haben 36 Prozent der CISOs ihre Initiativen zur digitalen Transformation beschleunigt und dabei auch die Transformation im Bereich Cybersicherheit im Auge. Nach Angaben von Hackerone sind die Branchen, die am stärksten von dieser wichtigen Anpassung betroffen sind, dabei, ihre Sicherheit auf Basis der Zusammenarbeit mit Hackern erheblich zu verbessern. Zu diesen Branchen zählen Luftfahrt (Wachstum 129 Prozent), Finanzdienstleistungen (126 Prozent), Einzelhandel und E-Commerce (90 Prozent), Gesundheitswesen (62 Prozent) und das Gastgewerbe (61 Prozent). Da neue Produkte und Dienstleistungen immer schneller ausgeliefert werden, neue Zahlungsformen immer weitere Verbreitung finden und die Abhängigkeit von Web-Assets zunimmt, haben diese Unternehmen erkannt, wie Hacker sich an ihre größer werdenden Angriffsflächen anpassen und auf neue Angriffspunkte abzielen konnten.

CISOs auf der ganzen Welt erkennen diesen Wert der Kooperation und intensivieren ihre Hacker-basierten Sicherheitsstrategien. Die Kunden fügen neue Bereiche und Dienstleistungen zu bestehenden Programmen hinzu und führen zusätzliche Programme zur Risikominderung in jeder Phase der Softwareentwicklung ein.

Während Hackerone Response (das Programm zur Aufdeckung von Schwachstellen oder VDP, Vulnerability Disclosure Program) im Vergleich zum Vorjahr zwar ein beträchtliches Wachstum verzeichnete, ist vor allem der Anstieg der Akzeptanz von Hacker-basierten Pentests bemerkenswert: Hackerone Pentest verzeichnete ein Wachstum von 450 Prozent im Vergleich zum Vorjahr. Das unterstreicht, wie Sicherheitsverantwortliche neue Ansätze verfolgen, um Risiken zu managen und die Governance zu verbessern. Im Juni hat Hackerone sein Pentest-Angebot auf europäische Organisationen ausgeweitet, was zu dem beträchtlichen jährlichen Wachstum auf dem Kontinent beigetragen hat.

Wachstum der Hacker-Community

Mit der zunehmenden Akzeptanz von Hacker-gestützter Sicherheit für Kunden wachsen auch die Chancen für Hacker. So ist die Hacker-Community inzwischen auf über eine Million bei Hackerone registrierte Hacker angewachsen, was das exponentielle Potenzial der Community verdeutlicht. Im vergangenen Jahr meldeten Hacker mehr als 50.000 validierte Schwachstellen an Unternehmen. Die Zahl der daran beteiligten Hacker stieg allein im letzten Jahr um 63 Prozent. Viele weitere auf der Plattform Aktive hacken, betreuen und wachsen gemeinsam als Teil einer Lerngemeinschaft auf Hacker101 und durch interaktive Capture-the-Flag-Herausforderungen.

Im Mai 2020 hat Hackerone den Meilenstein von 100 Mio. US-Dollar erreicht, die an Hacker für die Meldung von Sicherheitslücken an Prämien gezahlt wurden, innerhalb von fünf Jahren soll dieser Betrag auf 1 Mrd. US- Dollar steigen. Neun Hacker haben seit 2019 mehr als 1 Mio. US-Dollar auf der Plattform verdient, und ein Hacker hat 2020 die 2 Mio US-Dollar Marke überschritten.

Phil Venables ins Board of Directors berufen

Ebenfalls heute gab Hackerone bekannt, dass Phil Venables, VP von Google und Chief Information Security Officer für Google Cloud, ins Board of Directors berufen wurde.

„Geschwindigkeit ist ein essenzieller Faktor für ein Höchstmaß an Sicherheit“, sagt Venables. „Jede Software hat Bugs. Sie zu finden und zu beheben, bevor sie ausgenutzt werden können, ist ein Ansatz, der für jeden verständlich und offensichtlich ist. Deshalb bin ich begeistert, in das Board of Directors von Hackerone berufen zu werden. Ich werde meinen Teil dazu beizutragen, dass die Zusammenarbeit mit Hackern ein Teil jeder Sicherheitsstrategie wird und ein wichtiges Zeichen für das Engagement für Sicherheit ist.“

Venables gehört zu den angesehensten Cybersecurity-Führungskräften der Welt und verfügt über mehr als drei Jahrzehnte Erfahrung in den Bereichen Cloud Services, Unternehmens- und Technologierisiken sowie Business Resilience. Vor seiner Tätigkeit bei Google leitete Venables 20 Jahre lang die Risiko- und Cybersicherheitsabteilung von Goldman Sachs und war zudem Vorstandsmitglied der Goldman Sachs Bank. Er ist Mitglied des NIST Information Security & Privacy Advisory Board und sitzt im Vorstand des Stern School of Business Volatility and Risk Institute und der Tandon School of Engineering an der New York University (NYU).

Die Trends bei Hacker-basierter Verbesserung der Sicherheit

Die Programme zur Offenlegung von Schwachstellen (VDPs), als langjährige Best-Practice-Verfahren, die bei Hackerone im Mittelpunkt stehen, wurden von Industrie- und Regulierungsbehörden zertifiziert. Diese offiziellen Stellen schreiben die Implementierung eines VDPs als Teil des Aufbaus einer effektiven Cybersicherheitsstrategie vor oder sprechen dringende Empfehlungen für diese aus. Dazu gehören die US Cybersecurity and Infrastructure Security Agency (CISA) Binding Operational Directive 20-01, das NIST SP 800-53B Update, das U.S. Office of Management and Budget Memo M-20-32 und die einstimmige Verabschiedung des Internet of Things Cybersecurity Improvement Act.

Jenseits der Regulierung sind ähnliche Trends bei den großen, börsennotierten Unternehmen der Welt zu erkennen. Basierend auf eigenen Untersuchungen fand Hackerone heraus, dass ab Juli 2020 mittlerweile 18 Prozent der Forbes Global 2000 eine bekannte Richtlinie zur Offenlegung von Schwachstellen haben. Das ist eine deutliche Steigerung im Vergleich zu 7 Prozent auf der Liste von 2017 und 6 Prozent auf der Liste von 2016. Doch noch immer hat weniger als jedes fünfte dieser Unternehmen auf der Welt einen Kanal für Externe aufgebaut, um Schwachstellen zu melden, wenn diese Sicherheitslücken entdecken. Gleichzeitig gab das US-Verteidigungsministerium seine neuesten VDP-Ergebnisse bekannt, darunter 26.617 Schwachstellen, die von 2.283 Hackern seit dem Start von „Hack the Pentagon“ im Jahr 2016 gefunden wurden. Dies ist ein Beleg für die Möglichkeit, von den Erkenntnissen der Hacker zu lernen.

„Im vergangenen Jahr, das von der Pandemie, wirtschaftlichen Sorgen und sozialen Unruhen geprägt war, ist Ethical Hacking als eine gewaltige Kraft für das Gute, zur Reduzierung von Cyber-Risiken und dem Aufbau von digitalen Vertrauen in Erscheinung getreten", erklärt Marten Mickos, CEO von Hackerone. „Als Marktführer in dieser Kategorie verzeichnete Hackerone ein enormes Geschäftswachstum, da das Unternehmen mit Tausenden von Kunden zusammenarbeitete, um deren Software sicherer und ihre Sicherheitsteams erfolgreicher zu machen. Die beste Governance- und Risikomanagement-Maßnahme, die ein Unternehmen ergreifen kann, ist, White-Hat-Hacker einzuladen, um ihre Sicherheit zu bewerten und zu verbessern. Und ich wage die Prognose, dass es bis 2025 sodann die Ausnahme sein wird, nicht mit Hackern zusammenzuarbeiten."