Bug Bounty-Programm starten

Wir helfen Ihnen bei der Vorbereitung auf den Start eines eigenen Bug Bounty Programms, wir verwalten es und kümmern uns um die Kommunikation mit ethischen Hackern.

Bug Bounty-Programme sind ein bewährtes Werkzeug um andere Dienstleistungen aus dem Bereich IT-Sicherheit smart zu ergänzen. Das Definieren, Aufsetzen und Leiten eines solchen Programms ist mit vielen Herausforderungen verbunden - wir kennen sowohl die Sicht des "ethischen Hackers" als auch des verantwortlichen Programm-Managers.

Bug Bounty-Programm starten

Warum sollte ein Bug Bounty Programm Teil Ihrer IT-Sicherheitsstrategie sein?

In der heutigen Zeit stellen Cyberbedrohungen eine ständige Herausforderung für die Sicherheit Ihrer IT-Infrastruktur dar. Die Integration eines Bug Bounty Programms in Ihre IT-Sicherheitsstrategie ist nicht nur eine proaktive, sondern auch eine kostenbewusste Maßnahme. Sie erlaubt es, auf das Wissen und Erfahrung tausender echter ethischer Hacker zuzugreifen und so sehr schnell - ausgehend von einer durchdachten Policy - Sicherheitslücken zu finden, die einen echten negativen Einfluss auf Ihr Unternehmen und Geschäftsprozesse haben könnten.

Ein Bug Bounty Programm stärkt zudem Ihr Unternehmensimage, indem es zeigt, dass Sie die Sicherheit und den Schutz von Kundendaten ernst nehmen. Es hilft Ihnen auch dabei, gesetzliche Anforderungen zu erfüllen und möglichen Sanktionen vorzubeugen.

Bug Bounty Program auf einer Platform Ihrer Wahl

Beratung

Ist es wirklich das richtige Werkzeug? Vor/Nachteile?

Erstellung des Regelwerks und Auswahl geeigneter Hacker

Vorbereitung

Dienstleistungen

Behebung häufiger Probleme

Kontinuierliches Monitoring und fokussierte Penetrationstests

Triage

Kommunikation mit Hackern, Filtern von wertvollen Funden

Bug Bounty Flow

Vorgehen beim Aufsetzen eines Bug Bounty-Programms

Die Herausforderung in diesem Bereich liegt darin, das Programm so aufzusetzen, dass es Sinn macht, kein Geld verschwendet wird und Sie nicht durch zusätzliche Arbeitslast erdrückt werden. Hierzu müssen Sie verstehen, was auf Sie zukommt und was typische Probleme sind, die sowohl bei Ihnen als auch bei den ethischen Hackern für Frust sorgen können.

1: Beratung

Bug Bounty Programme sind relativ neu. Aus Kundensicht sollte verstanden werden, unter welchen Umständen so etwas Sinn macht, was dafür nötig ist und was zu erwarten ist. Im Vorfeld sollte das Program genaustens geplant werden - dies beinhaltet beispielsweise die Auswahl des Scopes, optimaler Belohnungen, der Auswahl passender ethischer Hacker aus einem Pool von tausenden Personen sowie die Erstellung eines Regelwerks, das seitens der Hacker akzeptiert wird.
Themen, wie (valide) kritische Funde in eigentlich "out of scope" Assets sind hier ebenfalls Thema - genauso, wie "Bug Bounty Hunter" wirklich arbeiten - ein Thema, das viele Betreiber unterschätzen.

2: Vorbereitung

Es macht keinen Sinn unvorbereitet ein Bug Bounty-Programm zu starten. Wir können hier ebenfalls behilflich sein. So kann relativ schnell und effizient nach typischen Schwachstellen gesucht werden oder komplexere Pentests durchgeführt werden. Regelmäßig macht es Sinn im Vorfeld selbst zu wissen, wie die komplette Angriffsoberfläche aussieht - speziell wenn ein Programm geplant ist, bei dem die ethischen Hacker das gesamte Unternehmen angreifen dürfen oder eine große Infrastruktur oder Wildcard-Domain im Scope ist.
Allgemein sollte hier das Ziel sein die Ausgabenlast im zukünftigen Bug Bounty-Programm so zu lenken, dass das Programm eine vernünftige Ergänzung zur regulären IT-Sicherheit des Unternehmens ist.

3: Triage

Nach dem Start eines Bug Bounty-Programms kann zügig mit ersten Reports gerechnet werden. Diese müssen "getriaged" werden, es muss geprüft werden, ob tatsächlich etwas relevantes gefunden wurde und wie schwerwiegend die Sicherheitslücke ist - auf der Basis wird die Belohnung ausgezahlt. Regelmäßig finden in diesem Prozess längere technische Diskussionen zwischen Hacker und Triager statt. Gerne unterstützen wir unsere Kunden auch hierbei.
In diesen Bereich fallen auch Retests von Funden sowie ein erfolgreicher Abschluss des Prozesses, der die Zufriedenheit aller zum Ziel haben sollte.

Kontaktieren Sie DSecured

Kontakt aufnehmen

Ergänzt die Bug Bounty-Beratung

Kontinuierliche Überwachung

Kontinuierliche Überwachung

Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.

Penetrationstests

Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.

Darknet Intelligence

Darknet Intelligence

Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!

Was Kunden über uns sagen