zurück zur Übersicht

Bug Bounties – Kopfgeld für Sicherheitslücken

bug_sDie Jagd nach Bug Bounties ist eröffnet: Wer in Produkten von Google, Facebook, Tesla und Co. Sicherheitslücken findet kann damit gutes Geld verdienen. Dabei muss man nicht unbedingt mit dem Gesetz in Konflikt kommen. Es gibt andere Wege als diese Sicherheitslücken meistbietend über dunkle Kanäle an potentielle Angreifer zu verkaufen. Man kann gefundene Schwachstellen auch an das betroffene Unternehmen melden und dafür teils fünfstellige Summen kassieren. Diese Unternehmen können so das Know-how einer Vielzahl äußerst kompetenter Security-Researcher, deren Einsatz im Rahmen eines klassischen Pentests äußerst kostenintensiv wäre, nutzen.

Das Prinzip ist so einfach wie effektiv: Auf Bugs wird ein Kopfgeld ausgesetzt. Die Einsparung ergibt sich aus dem Umstand, dass Unternehmen nur für tatsächlich relevante Sicherheitslücken die Belohnung, das sog. „Bounty“ auszahlen – je kritischer die Lücke, desto höher fällt das Bounty aus.

Transparenz notwendig

Der Fokus eines solchen Bug-Bounty-Programms kann dabei sehr breit (z.B. alle über das Internet erreichbaren Systeme eines Unternehmens) oder sehr schmal (z.B. Fokus auf gewisse Subdomains oder spezielle Services) sein. Zur Bewertung von eingereichten Sicherheitslücken wird üblicherweise eine Kategorisierung erarbeitet, die auch öffentlich verfügbar sein sollte. Ein Beispiel ist weiter unten dargestellt.

Bug-Bounty-Programme können dabei nicht nur für Großkonzerne interessant sein – auch KMUs können davon profitieren. Unternehmen wie Bugcrowd und Hackerone bieten etablierte Bug-Bounty-Plattformen an, über die deren Kunden ihre eigene Jagd planen, aufsetzen, verwalten und bewerben können.

Fairness first

Sollte sich ein Unternehmen dafür entscheiden, ein Bug-Bounty-Programm zu starten, gilt es, einige essentielle Punkte zu beachten. Ganz wichtig ist Fairness gegenüber jenen die Bugs melden. In der Vergangenheit versuchten Unternehmen oft die Kategorisierung der Bugs möglichst unpräzise zu halten – so hatten sie beispielsweise die Möglichkeit, eigentlich kritische Fehler als „medium“ zu kategorisieren und somit deutlich weniger Bug Bounties zu zahlen. Derartiges Verhalten spricht sich in dieser Community jedoch sehr schnell herum und kompetente Bug-Hunter werden das Programm von da an meiden.

Bug Bounties: für das finden von Sicherheitslücken werden teilweise hohe Prämien bezahlt.

Gute Vorarbeit reduziert die Kosten

Bevor ein Bug Bounties Programm gestartet wird, sollte die Umgebung jedoch mit Hilfe eines Vulnerability-Scanners gescannt und die bereits erkannten Probleme behoben werden. Viele einfach zu findende Lücken werden dann nicht mehr während des eigentlichen Bug Bounty Programms gefunden. Das spart Zeit und vor allem Geld. Sollten bekannte Fehler nicht vor dem Start des Programms behoben werden können, sollten diese als „Known Issues“ deklariert werden. Selbiges gilt für „Intended Functionality“, also Features welche gewollt sind, aber unter Umständen als Sicherheitslücke interpretiert werden könnten. Je spezifischer die Angaben, desto eindeutiger werden die gemeldeten Bugs sein und desto größer ist auch der Mehrwert für den Initiator des Bug-Bounty-Programms.

Schreibe einen Kommentar