Bug-Bounty-Programme in der Cyber Security

Wer eine Plattform betreibt, bemüht sich mit allen Mitteln darum, potenzielle Sicherheitslücken zu schließen. Das gilt auch für Unternehmen, die ihre sensiblen Daten schützen möchten. Deshalb gibt es bereits seit Längerem die sogenannten Bug-Bounty-Programme und Vulnerability Assessments. Mit ihnen kannst Du Menschen dazu motivieren, Schwachstellen in Deiner Software zu finden. Durch einen fairen Umgang und eine passende Entlohnung animierst Du sie dazu, die Lücken Deinem Unternehmen zu melden. Andernfalls besteht die Möglichkeit, dass sie von anderen ausgenutzt oder verkauft werden.

Bug Bounty: Auf der Suche nach Sicherheitslücken

Sicherheitslücken und Softwarefehler stellen ein ernsthaftes Problem für Unternehmen dar. Deshalb rangiert das sogenannte Kopfgeld („bounty“) oft zwischen 1.000 und 200.000 US-Dollar. Findest Du hingegen eine kleine Sicherheitslücke oder ein Informationsleck, wird auch das bezahlt, wenn auch nicht so hoch. Aber warum sind Unternehmen überhaupt bereit dazu, für solch ein Bug-Bounty-Programm zu bezahlen? Lässt eine Firma die Anwendung regelmäßig auf Schwachstellen hin prüfen, kann es die betroffenen Lücken schließen. Dabei sind die Bug -Bounty-Programme fest abgesteckt. So stellt das Unternehmen sicher, dass die gewünschten Bereiche geprüft werden. Die Ausgaben für die White Hats sind deutlich geringer, als wenn sensible Daten gestohlen oder das System dauerhaft ausgetrickst wird. Wenn Du selbst an einem Bug-Bounty-Programm teilnehmen möchtest, wirst Du auf HackerOne und Bugcrowd fündig. Beide Plattformen sind seit Langem etabliert und bieten eine starke Community. Dabei ist wichtig: Bevor das Produkt an ein Programm übergeben wird, lohnt es sich, ein Vulnerability Assessment zu veranlassen. Dabei werden mögliche Schwachstellen aufgedeckt, ohne dass Daten gestohlen werden.

Was ist ein Bug-Bounty-Programm?

Bug Bounty ist grundsätzlich eine Untergruppe von VDPs (Vulnerability Disclosure Programs). Sie bieten Sicherheitsforschern eine finanzielle Belohnung dafür an, ein Programm auf seine Verletzbarkeit hin zu prüfen. Dahinter steht ein Pay-for-Results-Modell. Das bedeutet, eine größere Gruppe an Personen begibt sich unabhängig voneinander auf die Suche nach Schwachstellen. Die daraus resultierenden Berichte werden über Crowdsourcing gesammelt. Eine solche Bug Bounty kann privat oder öffentlich sein. Ist sie öffentlich, kannst Du jederzeit daran teilnehmen. Ist sie hingegen privat, benötigst Du eine Einladung aus der jeweiligen Community. Der entscheidende Vorteil für Unternehmen ist, dass sie nur dann eine Prämie bezahlen, wenn ein gültiges Ergebnis geliefert wird. Gleichzeitig skalieren die Programme effektiv in großen Bereichen. Unternehmen, die unter Personalmangel leiden, haben so trotz allem die Möglichkeit, ein sicheres Ergebnis zu bieten.

Der Unterschied zwischen Bug Bounty und Penetration Test

Einer der offensichtlichsten Unterschiede zwischen einem Penetration Test und Bug Bounty ist der Größenumfang. Während für einen PenTest ein IT-Experte engagiert wird, setzt Du bei einem Bug Bounty auf eine große und aktive Community. Diese sucht nach Sicherheitslücken in einem geringen, fest definierten Rahmen. Ein weiterer Unterschied ist die Art der Durchführung. PenTests werden oftmals professionell von einem Experten-Team durchgeführt. Bug Bounty Hunter arbeiten meist allein. Dabei kommt die Schwarmintelligenz zum Tragen. Denn innerhalb der Community findest Du individuelle Tester, die jeweils unterschiedliche und teils selbstentwickelte Programme einsetzen. Dadurch stellst du also sicher, dass Deine Anwendung aus den verschiedensten Blickwinkeln getestet wird. Die Wahrscheinlichkeit, eine Schwachstelle zu entdecken, steigt damit enorm an.

Mehr Sicherheit mit Bug Bounty

Mit einem Bug-Bounty-Programm werden Deine Anwendungen sicherer und sparen letztlich Kosten ein. Aber wann rentiert es sich eigentlich, ein Kopfgeld auf die Bugs auszusetzen? Die Bug Bounty lohnt sich in folgenden Situationen:

• Wenn Sicherheit Deine oberste Priorität ist und Du Probleme schnell wie auch transparent lösen möchtest.
• Wenn Du denen, die Dir dabei helfen, Schwachstellen zu finden, öffentliche Anerkennung zollen möchtest. Schließlich honorierst Du in diesem Fall ihre Beiträge.
• Wenn Du einen finanziellen Anreiz dafür bieten möchtest, Deine Systeme genau zu analysieren.

Besonders wichtig: Identifiziert jemand eine Schwachstelle in Deinem System und informiert Dich darüber? Dann solltest Du weder drohen noch eine unangemessene Strafmaßnahme ergreifen. Denn eine Meldung im Rahmen der Bug Bounty trägt dazu bei, dass Du die Sicherheit Deiner Anwendung verbessern kannst.

Wann kannst du mit einem Bug-Bounty-Programm anfangen?

Allerdings solltest Du nicht einfach mit einem Bug-Bounty-Programm starten. Bevor es losgehen kann, musst Du das gesamte Unternehmen darüber in Kenntnis setzen. Nur dann werden die Vulnerability-Reports von außerhalb von dem zuständigen Personenkreis akzeptiert werden. Gleichzeitig stellst Du so sicher, dass die anderen Mitarbeiter die Vorgänge nachvollziehen können, sobald die ersten Bugs gemeldet werden. Besonders wichtig ist es, dass Du Dein IT-Security-Team darüber informierst. Das Team muss über die Maßnahmen im Bilde sein und sich seiner Aufgaben und der daraus resultierenden Verantwortung bewusst sein. Soll Deine Bug Bounty effektiv sein? Dann ist es wichtig, die Hacker zu verstehen, eine Beziehung zu ihnen aufzubauen und aktiv auf die Anfragen zu reagieren.

Mit Bug Bounty Sicherheitslücken schließen

Beinahe täglich müssen sich kleine und spezialisierte Teams gegen Cyberkriminelle verteidigen. Der akute Fachkräftemangel macht es dabei nicht einfacher, die dringend benötigten Mitarbeiter zu finden. Deshalb entscheiden sich viele Unternehmen dafür, mithilfe von Bug Bounty die eigenen Sicherheitsvorkehrungen zu verbessern.

Was macht ein erfolgreiches Bug-Bounty-Programm aus?

Ein erfolgreiches Bug-Bounty-Programm zeichnet sich durch unterschiedliche Aspekte aus. Besonders wichtig dabei ist, dass Du das gesamte Unternehmen auf Deiner Seite hast. Deshalb ist es notwendig, die Mitarbeiter über das geplante Vorgehen zu informieren. Außerdem ist es wichtig, dass Du die Prämien gerecht verteilst. Dadurch zeigst Du denen, die nach Lücken in deinem System suchen, den notwendigen Respekt. Deshalb müssen Deine Prämien wettbewerbsfähig sein und klar definiert wie auch strukturiert sein. Das ermuntert die Kopfgeldjäger weiter nach Deinen Bugs zu suchen.

Was sind die Risiken?

Die größte Herausforderung liegt darin, Falschmeldungen zu vermeiden. Außerdem benötigst Du ausreichend Ressourcen, sowohl in finanzieller als auch in personeller Hinsicht. Schließlich möchten die Bounty Hunter entlohnt und die Vulnerability-Reports gelesen werden. Das ist nur dann möglich, wenn Du einen transparenten Prozess schaffst. Diese Richtlinien definieren, wie die Reports einzureichen sind und wer sich darum kümmern muss.

So umgehst du die Risiken

Möchtest Du Probleme mit der Bug Bounty von vorneherein vermeiden, dann setzt Du am besten auf eine etablierte Plattform. Diese wird von einem Drittanbieter bereitgestellt und ermöglicht Dir eine enge Beziehung zu den Hackern. Außerdem bietet sie klare Richtlinien, an die sich die Community halten muss, damit die Hacker selbst keine Sicherheitslücke darstellen. Folgende Überlegungen solltest du anstellen, bevor du dich daran machst, ein Bug Bounty Programm für deine Software freizugeben:

• Wie sieht die Balance zwischen der Suche der Softwarefehler und ihrer Behebung aus?
• Gibt es in Deinem Unternehmen ein bewährtes und effizientes Verfahren, um Sicherheitslücken zu beheben?
• Benötigst Du weitere Ressourcen, um Lücken in Deinem IT-System identifizieren zu können?

Treffen diese Punkte zu, dann ist es sinnvoll, diesen Prozess über eine Bug Bounty auszulagern. Die große Community an Hackern bietet ein hohes Maß an Flexibilität und trägt dazu bei, die eigene Software aus neuen Blickwinkeln zu betrachten.