Ein Bug Bounty Programm ist ein von Unternehmen oder Organisationen ausgeschriebenes Prämienprogramm, bei dem externe IT-Sicherheitsexperten für das Entdecken von Softwareschwachstellen belohnt werden. Diese Prämien können Geld- oder Sachpreise sein und dienen dazu, Sicherheitslücken in Software, Anwendungen oder Web-Diensten aufzudecken und zu beheben.
Wie funktionieren Bug Bounty Programme?
Allgemein gibt es zwei Arten von Bug Bounty Programmen: offene und geschlossene. Bei offenen Programmen kann jeder teilnehmen, während geschlossene Programme nur auf Einladung zugänglich sind. IT-Sicherheitsexperten suchen nach Schwachstellen und melden diese dem ausschreibenden Unternehmen, das dann die Prämie vergibt, wenn die Schwachstelle bestätigt wird - hierzu muss der White Hat Hacker der erste sein, der diese Sicherheitslücke meldet - außerdem muss sie gewissen Mindeststandards entsprechen. In der Regel ist die Bug Bounty-Policy transparent, so dass die Teilnehmer genau wissen, welche Schwachstellen belohnt werden.
Offene vs. geschlossene Programme
Offene Programme stehen allen Interessierten zur Verfügung. Hier sollte man bei der Suche nach geeigneten Herausforderungen anfangen. Geschlossene Programme hingegen richten sich an ausgewählte Experten und erfordern eine explizite Einladung. Meist werden in diese privaten Programme nur sehr erfahrene Sicherheitsexperten eingeladen. In der Regel ist es so, dass man mit der Teilnahme an einem privaten Programm ein gesondertes Regelwerk akzeptieren und unterschreiben muss. Dieses beinhaltet oft auch eine Verschwiegenheitserklärung, so dass nach außen hin recht wenig über private Programme sowie die dort gefundenen Sicherheitslücken bekannt wird.
Prämien bzw. Bug Bounty Belohnungen
Die Höhe der Prämien variiert je nach Art und Schwere der entdeckten Schwachstelle. Häufig sieht man, dass kritische Sicherheitslücken mit höheren Geldbeträgen belohnt werden. Je nach Programm und Scope, kann eine besonders kritische Sicherheitslücke gut und gerne einen sechsstelligen Betrag einbringen. Es gibt auch Programme, die Sachpreise oder Gutscheine anbieten - dies ist jedoch eher die Ausnahme - da diese Programme - nett ausgedrückt - nicht besonders beliebt bei Hackern sind. Programme, deren Scope Assets umfasst, die aus dem Bereich Crypto kommen, sind ebenfalls sehr beliebt, da hier die Belohnungen oft sehr hoch sind - siebenstellige Belohnungen sind hier keine Seltenheit.
Welche Vorteile bieten Bug Bounty Programme?
Bug Bounty Programme bieten Vorteile für Unternehmen, Sicherheitsexperten und Endnutzer. Daher ist es wichtig, dass Unternehmen diese Programme in ihre Sicherheitsstrategie integrieren, um Schwachstellen proaktiv zu beheben.
Vorteile für Unternehmen
-
Kosteneffizienz:
Unternehmen profitieren von einer Vielzahl externer Experten, was kostengünstiger sein kann als interne Sicherheitsüberprüfungen. -
Verbesserte Sicherheit:
Fehler und Schwachstellen können behoben werden, bevor sie für schädliche Zwecke ausgenutzt werden.
Vorteile für Teilnehmer und Nutzer
-
Finanzielle Anreize:
Sicherheitsexperten können durch ihre Entdeckungen monetäre Belohnungen erhalten. -
Sichere Produkte:
Endnutzer profitieren von stabileren und sichereren Anwendungen und Diensten.
Beispiele für Bug Bounty Programme
Vor allem in den USA haben sich Bug Bounty Programme als Instrument in der IT-Sicherheit etabliert. Unternehmen, wie Google, Facebook, Apple und Salesforce betreiben mittlerweile eigene Plattformen, auf denen Hacker Sicherheitslücken melden können. Kleinere Unternehmen nutzen oft Plattformen, wie HackerOne oder BugCrowd. In Europe haben sich Plattformen, wie Intigriti oder YesWeHack durchgesetzt. Dort kann man legal Sicherheitslücken in europäischen Unternehmen melden und dafür belohnt werden.
Was sind Vunlerability Disclosure Progamme?
Auf Plattformen, wie BugCrowd oder HackerOne gibt es so genannte VDPs. Dabei handelt es sich im Programme mit einem klaren Regelwerk, wie Sicherheitslücken gemeldet werden sollen. Diese Programme sind meist öffentlich und jeder kann daran teilnehmen. Es gibt meist keine Belohnung - außer virtuelle Punkte, die nicht wirklich viel bringen. Entsprechend toben sich an diesen Programmen eher unerfahrene Hacker aus, die sich in der Welt der IT-Sicherheit ausprobieren wollen.
Welche Problematiken treten in Zusammenhang mit Bug Bounty Programmen auf?
Oft ist die Meinung, wie kritisch eine Sicherheitslücke wirklich ist, unterschiedlich. Das ist suboptimal, wenn der Hacker meint, er habe eine schwere Lücke gemeldet, der Programmmanager aber ganz anderer Meinung ist. Hier muss oft diskutiert werden. Es gibt außerdem Programme, die sehr langsam beim Schließen von Sicherheitslücken sind - aus White Hat Hacker-Perspektive ist das nervig, denn es passiert nicht selten, dass man eine Lücke meldet um dann schnell gesagt zu bekommen, dass diese Lücke vor 2 Jahren bereits gemeldet wurde. Das ist frustrierend und führt dazu, dass Hacker sich andere Programme suchen.
Speziell im Umfeld erfahrener Hacker ist es oft so, dass man sich gut überlegt was man wirklich meldet, da man davon ausgehen muss, dass die Programmmanager oft selbst Hacker sind und an anderen Programmen teilnehmen. Man will unter Umständen nicht, dass Dritte das eigene (gewinnbringende) Wissen einfach so nutzen.
Zwar veröffentlichen diverse Plattformen jährlich Berichte und Zahlen, die besagen dass "Millionen von Hackern" weltweit auf deren Plattformen unterwegs sind, jedoch ist die Realität eine andere. Die meisten Hacker sind in der Tat sehr jung und unerfahren. Das kann schnell zu Frust bei Programmbetreibern und im Triage-Team führen, wenn man in Masse den gleichen Report zu einer Schwachstelle bekommt, die irgendein Tool identifiziert haben will. Die Anzahl wirklich aktiver Hacker liegt vermutlich in den 1000ern.
Was sind Grenzen von Bug Bounty-Programmen?
Die gesamte IT-Sicherheitsstrategie sollte nicht nur auf BBP basieren. Diese decken recht gut den Perimeter ab. Die IT-Infrastruktur und die Bedrohungsszenarien in Unternehmen sind aber viel komplexer und beziehen sich auf viele weitere Aspekte, wie die interne Sicherheit, Insider Threats, Phishing und so weiter.. Daher ist es wichtig, dass Unternehmen auch in andere Sicherheitsmaßnahmen investieren, um sich umfassend zu schützen.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.