zurück zur Übersicht

Bug Bounties – Kopfgeld für Sicherheitslücken

bug_sDie Jagd nach Bug Bounties ist eröffnet: Wer in Produkten von Google, Facebook, Tesla und Co. Sicherheitslücken findet kann damit gutes Geld verdienen. Dabei muss man nicht unbedingt mit dem Gesetz in Konflikt kommen. Es gibt andere Wege als diese Sicherheitslücken meistbietend über dunkle Kanäle an potentielle Angreifer zu verkaufen. Man kann gefundene Schwachstellen auch an das betroffene Unternehmen melden und dafür teils fünfstellige Summen kassieren. Diese Unternehmen können so das Know-how einer Vielzahl äußerst kompetenter Security-Researcher, deren Einsatz im Rahmen eines klassischen Pentests äußerst kostenintensiv wäre, nutzen.

Das Prinzip ist so einfach wie effektiv: Auf Bugs wird ein Kopfgeld ausgesetzt. Die Einsparung ergibt sich aus dem Umstand, dass Unternehmen nur für tatsächlich relevante Sicherheitslücken die Belohnung, das sog. „Bounty“ auszahlen – je kritischer die Lücke, desto höher fällt das Bounty aus.

Transparenz notwendig

Der Fokus eines solchen Bug-Bounty-Programms kann dabei sehr breit (z.B. alle über das Internet erreichbaren Systeme eines Unternehmens) oder sehr schmal (z.B. Fokus auf gewisse Subdomains oder spezielle Services) sein. Zur Bewertung von eingereichten Sicherheitslücken wird üblicherweise eine Kategorisierung erarbeitet, die auch öffentlich verfügbar sein sollte. Ein Beispiel ist weiter unten dargestellt.

Bug-Bounty-Programme können dabei nicht nur für Großkonzerne interessant sein – auch KMUs können davon profitieren. Unternehmen wie Synack und Hackerone bieten etablierte Bug-Bounty-Plattformen an, über die deren Kunden ihre eigene Jagd planen, aufsetzen, verwalten und bewerben können.

Fairness first

Sollte sich ein Unternehmen dafür entscheiden, ein Bug-Bounty-Programm zu starten, gilt es, einige essentielle Punkte zu beachten. Ganz wichtig ist Fairness gegenüber jenen die Bugs melden. In der Vergangenheit versuchten Unternehmen oft die Kategorisierung der Bugs möglichst unpräzise zu halten – so hatten sie beispielsweise die Möglichkeit, eigentlich kritische Fehler als „medium“ zu kategorisieren und somit deutlich weniger Bug Bounties zu zahlen. Derartiges Verhalten spricht sich in dieser Community jedoch sehr schnell herum und kompetente Bug-Hunter werden das Programm von da an meiden.

Bug Bounties: für das finden von Sicherheitslücken werden teilweise hohe Prämien bezahlt.

Gute Vorarbeit reduziert die Kosten

Bevor ein Bug Bounties Programm gestartet wird, sollte die Umgebung jedoch mit Hilfe eines Vulnerability-Scanners gescannt und die bereits erkannten Probleme behoben werden. Viele einfach zu findende Lücken werden dann nicht mehr während des eigentlichen Bug Bounty Programms gefunden. Das spart Zeit und vor allem Geld. Sollten bekannte Fehler nicht vor dem Start des Programms behoben werden können, sollten diese als „Known Issues“ deklariert werden. Selbiges gilt für „Intended Functionality“, also Features welche gewollt sind, aber unter Umständen als Sicherheitslücke interpretiert werden könnten. Je spezifischer die Angaben, desto eindeutiger werden die gemeldeten Bugs sein und desto größer ist auch der Mehrwert für den Initiator des Bug-Bounty-Programms.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer