Als systemkritisches Unternehmen geht die EBL neue Wege in der Informationssicherheit: Mit einem sogenannten Bug-Bounty-Programm lädt die Energie- und Wärmeversorgerin Hacker aus aller Welt dazu ein, Systemschwächen zu melden, bevor diese von Kriminellen ausgenutzt werden können.

Peter Sennhauser

«Es ist ein bisschen vergleichbar mit dem Hochwasserschutz», sagt Andreas Willen, Verantwortlicher für die Informationssicherheit (Ciso) der Elektra Baselland. «Wir müssen uns gegen ein theoretisches Maximalereignis wappnen.» So, wie im Vergleich kleine Dorfbächlein aufgrund des «Jahrhunderthochwassers» mit massiven Verbauungen gesichert werden, müssen Ciso in ihrer Risikoabschätzung das grösstmögliche Ausmass eines Angriffs einberechnen. «Unsere Annahme ist ein Ereignis mit einem Schadenpotenzial von einem Jahresgewinn binnen der nächsten drei bis vier Jahre», so Willen.

Von den Bundesbehörden als Unternehmen der kritischen Infrastruktur eingestuft, muss die EBL, die gegen 50 000 Haushalte mit Strom versorgt und bei Wärme und Alternativenergien eine wesentlich Rolle spielt, besonders wachsam sein. «Wenn uns jemand sozusagen digital den Stecker zieht, wird es schlagartig dunkel im Baselbiet», macht Willen die Tragweite deutlich. Also müssen die weitverzweigten Informationssysteme des Unternehmens von der Website über die Verwaltungsnetzwerke bis zu den hochsensiblen Steuerungsanlagen für Energieflüsse gegen Angriffe von innen und aussen abgesichert sein.

Öffentliche «Käferjagd»
Wie aber findet man Schwachstellen und Schlupflöcher, durch die fachkundige Hacker eindringen und Daten stehlen, verschlüsseln oder gar die Steuerung manipulieren könnten? Als Antwort auf diese Frage hat Willen die Geschäftsleitung im Jahr 2024 erstmals von der Ausschreibung einer «Bug bounty» überzeugen können: Diese «Käferjagd» ist nichts anderes als ein öffentlicher Wettbewerb, an dem sich Hacker aus aller Welt beteiligen können.

IT-Experten und Sicherheitsforscher können sich bei einer spezialisierten Plattform registrieren und dann gezielt nach Schwachstellen in den öffentlich zugänglichen EBL-Systemen suchen. Finden sie eine Sicherheitslücke, melden sie diese – und erhalten je nach Schweregrad eine Prämie zwischen 100 und 5000 Franken. Der Veranstalter der «Preisjagd» erlässt dazu vorher genaue Regeln, wie weit die sogenannten «ethischen Hacker» gehen und was sie dazu an Hilfsmitteln benutzen dürfen.

Der Vorteil dieser Methode gegenüber einem Auftrag an ein renommiertes Sicherheitsunternehmen mit festem Vertrag: «Erstens bezahlen wir tatsächlich nur für gefundene Schwachstellen – es ist also ein erfolgsbasiertes Prämiensystem. Zweitens werden mein Team und ich nicht nur von zwei, drei Experten über einen bestimmten Zeitraum getestet, sondern von Dutzenden oder Hunderten von erfahrenen und gewieften Hackern aus aller Welt während eines ganzen Jahres.»

Aber ist es nicht ein Risiko, all diese Unbekannten explizit zum «Angriff» einzuladen? «Im Gegenteil: Indem wir diesen Leuten einen Anreiz geben, uns die gefundenen Schlupflöcher gegen eine angemessene Entschädigung zu melden, verhindern wir effizient, dass sie von kriminellen Banden entdeckt oder an diese verkauft werden», sagt Willen. Verbrecherische Hackergruppen suchten sich ihre Opfer ohnehin anhand der öffentlich einsehbaren Geschäftsberichte nach Gewinn und Erpressbarkeit aus. Eine öffentliche «Bug bounty» sei für sie eher ein Zeichen, dass ein Unternehmen aktiv für seine Sicherheit sorgt.

Dass die EBL für ihr erstes Programm ein Budget von 10 000 Franken bereitstellt, mag auf den ersten Blick bescheiden wirken. Andere Unternehmen wie die Post, Swisscom oder Ringier bieten auf einschlägigen Plattformen im Internet teilweise deutlich höhere Summen. «Wir wollen mit diesem Pilotprojekt zunächst Erfahrungen sammeln», sagt Willen. «Diese Massnahme ist Teil einer langfristigen Strategie, um unsere IT-Sicherheit gezielt weiterzuentwickeln. Bewährt sich das Konzept, wird es fester Bestandteil unsere Sicherheitsmassnahmen.»

Kodex der «Ethischen Hacker»
Trotzdem musste Willen die Skepsis des Managements gegenüber dem neuen Ansatz zerstreuen. «Es ist mein Job, solche Ideen zu erklären», sagt Willen. «Verständlicherweise gab es Bedenken, dass irgendwelche Hacker dann die Prämien kassieren und unsere Information dennoch weiterverkaufen.» Zum einen aber müssen die Teilnehmer ihre Identität bei den Ausschreibungen auf Plattformen wie Compass-Security, wo die EBL ihre Bounty ausgeschrieben hat, offenlegen. Wer einmal gegen die Regeln einer Ausschreibung verstosse, werde nirgends mehr zu einer «Bug bounty» zugelassen, so Willen. Zum anderen hätten diese Hacker, die ihre Kenntnisse nicht für illegale Ziele einsetzen, einen strengen Kodex und klare Regeln, an die sie sich halten.

Sicherheitschefs wie Willen haben mit einer schnell wachsenden Zahl an Herausforderungen zu kämpfen, und neue Einbruchswerkzeuge wie die Künstliche Intelligenz machen den Job ebenso schnell schwieriger, wie sie auf der anderen Seite neue Abwehrmechanismen bieten.

Das Bug-Bounty-Programm ist nur ein Teil eines umfassenden Sicherheitskonzepts. Die EBL betreibt auch klassische Sicherheitstests, überwacht ihre Systeme rund um die Uhr und schult ihre Mitarbeitenden regelmässig. Die ersten Erfahrungen mit der Käferjagd seien aber vielversprechend: «Wir sehen von den Zugriffen her, dass das Angebot akzeptiert worden ist. Es gibt verstärkt Versuche aus aller Welt, auf unsere Systeme zuzugreifen», berichtet Willen.

Er will nach einem Jahr Bilanz ziehen. Bis dahin heisse es: Je mehr Schwachstellen gefunden werden, desto besser – solange sie gemeldet und nicht ausgenutzt werden.