:quality(80)/p7i.vogel.de/wcms/e1/c9/e1c9482085b498975667ad6fe5d11bb4/0111241131.jpeg "Dr. Melanie Langermeier ist CEO von Qbilon und verantwortlich für Produktstrategie und Kundenbetreuung. (Bild: Qbilon)")
:quality(80)/p7i.vogel.de/wcms/0f/ba/0fba6e530f6d74217cae02ae2bd60c29/0112005733.jpeg "Simon England wird Chief Growth Officer der Infinigate Gruppe (Bild: Nuvias )")
:quality(80)/p7i.vogel.de/wcms/da/56/da567d30b084908f018f26cd4bd86089/0111962198.jpeg "Zum Lenovo Channel Kickoff 2023 sind über 400 Partner in die Stuttgarter Wagenhalle gekommen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/1a/a4/1aa4f619ba3e47dad512ebfe70d314e9/0111726934.jpeg "Die Multicloud bietet Flexibilität, Redundanz und die beste Nutzung von Fachkenntnissen und Ressourcen durch die Auswahl und Kombination verschiedener Cloud-Anbieter. (Bild: MuhammadHafiz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/cd/7dcda71ca96906049a9a4cf25e6d0923/0100520746.jpeg "Schwache Konjunktur-Aussichten und eine andauernde Inflation sorgen für schlechtere Verkaufszahlen von Smartphones. (Bild: Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/68/8a68f2163e49b0b3b0b255b94ff9e471/0111866540.jpeg "Für den Verkauf von Desktop-PCs und Mobile-Computern sehen die Prognosen für das laufende Jahr gut aus. (Bild: SKatzenberger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/0e/5d0ef1c66af7fb2a28824b6a948cca9e/0111321611.jpeg "Cloud-Analysen gewinnen angesichts stetig steigender Datenmengen an Bedeutung; sie liefern das Material, mit dem moderne Knowledge Worker in Unternehmen heute arbeiten. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fda9b8b3585d1bb04f8bc73cc81f/0111651548.jpeg "Die Unigrid Foundation will 10.000 europäische Rechenzentren mittels der Blockchain vernetzen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e5/bd/e5bd1b6532d0e25591b37a11cee8a8ce/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/a9/31/a931360f5c232bd3b62b807b78127517/0112005829.jpeg "Auf der Computex 2023 hat MSI ein ganzes Lineup neuer Produkte vorgestellt. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/66/a1/66a1858d7e20e173a5fee5c6bf45cd69/0112027921.jpeg "Kurz vor Präsentation der VR-Brille von Apple hat Meta mit Quest 3 die neueste Generation seiner Datenbrille vorgestellt. (Bild: Meta)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2733a59a1f6a4de8b972c427800cd/0111887820.jpeg "Sicherheit durch AI-gesteuerte Konten-Lockdown: Vectra AI stellt CDR for AWS vor. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/10/751084ece225159fce582751b678860e/0111649534.jpeg "(Bild: ARROW)")
:quality(80)/p7i.vogel.de/wcms/22/1c/221c5c6fbbb8447e2ad11981a645b6d0/0111649999.jpeg "(Bild: ALSO)")
:quality(80)/p7i.vogel.de/wcms/58/60/58608be66bae2377bdebaff647a6fbc3/0111649973.jpeg "(Bild: Adin - stock.adobe.com)")
Bug-Bounty-Programme Kopfgeldjagd auf Sicherheitslücken
Warum nur einen Pen-Tester engagieren, wenn man die Intelligenz aller Internetuser nutzen kann? Mit Bug-Bounty-Programmen schreiben Unternehmen Kopfgelder auf Schwachstellen aus, um Hacker zu motivieren für sie zu arbeiten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/28200/28280/65.jpg "ArrowWorm_200x80.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c1/61c1a771901f9/pfe-logo-rgb-ai.jpeg "pfe-logo-rgb-ai (peoplefone)"){kind=logo}
Bis zu 40.000 Dollar bezahlt Microsoft an ethische Hacker, die Berichte zu Sicherheitsrisiken in Azure Cloud-Diensten liefern. Bis zu 100.000 Dollar sind dem Software-Giganten Berichte zu Risiken in Identitätsdiensten, wie Microsoft-Konten, Azure Active Directory oder OpenID-Standards, wert. Aufgedeckte Schwachstellen im Zusammenhang mit der Plattform Hyper-V können den Testern sogar bis zu 250.000 Dollar einbringen. Die Ausschreibungen für diese Belohnungen erfolgen im Rahmen des Bug-Bounty-Programms von Microsoft.
Was sind Bug Bounties?
Ein Bug ist ein logischer Fehler im Code einer Software, der dazu führt, dass das Programm nicht richtig funktioniert. Klar, dass Unternehmen möglichst schnell möglichst alle Bugs ausfindig machen und beseitigen wollen. Dafür setzen viele auf Bug Bounties. Bounty bedeutet auf Deutsch Kopfgeld. Also eine Belohnung für denjenigen, der einen Bug findet. Innerhalb von Bug-Bounty-Programmen schreiben Unternehmen die Kopfgelder aus. Die Idee beruht auf dem Prinzip des Crowdsourcings. Das bedeutet, dass Aufgaben an die Internetnutzer, die Crowd, ausgelagert werden. Somit können nicht nur professionelle White Hat Hacker an den öffentlichen Ausschreibungen teilnehmen, sondern die ganze Internetgemeinde. Unternehmen nutzen die Programme oft zusätzlich zu Security Audits und Penetration-Tests, um ihre Sicherheitsstrategie zu verbessern.
Innerhalb der Programme legen die Unternehmen fest, für welche potenziellen Sicherheitslücken sie die Tester bezahlen. Etablierte Plattformen sind unter anderem die von Hackerone, Yes We Hack und Bugcrowd. Wenn sich Tester beispielsweise bei Yes We Hack für eine Ausschreibung registrieren, müssen sie unterschreiben, dass sie sich zur strikten Einhaltung der Regeln des Programms verpflichten. Denn wenn sie versuchen, in die Unternehmensnetzwerke und -systeme zu gelangen, können sie sich Zugriff auf vertrauliche Daten verschaffen. Diese müssen die Anbieter der Programme schützen.
Hackerone führt zudem eine Liste über alle aktiven Bug-Bounty-Programme. Auch Yes We Hack führt eine Bug-Bounty-Liste.
:quality(80)/images.vogel.de/vogelonline/bdb/1816600/1816603/original.jpg "Der IT-BUSINESS Podcast informiert schnell und unterhaltsam über die spannendsten Themen der Schlüsselbranche der Digitalisierung. (mpix-foto_AdobeStock -(M) Carin Boehm)")
Hören, was die ITK-Branche bewegt – Folge 40
IT-BUSINESS Podcast: Aus der Sicht des Angreifers
Bug Bounty versus Pen-Test
An Pen-Tests wird oftmals kritisiert, dass sie lediglich eine Momentaufnahme des Sicherheitsstatus sind. Stimmt, deswegen sollte man sie ja auch regelmäßig wiederholen. Wenn dies geschieht, was bietet dann noch ein Bug Bounty, was ein Penetration-Test nicht bietet? Während Pen-Tester meist alleine arbeiten, profitieren Unternehmen mit Bug Bounties von der Schwarmintelligenz. Denn die Wahrscheinlichkeit, dass einer der vielen Tester auf eine Sicherheitslücke stößt, ist höher, als bei nur einem Tester.
Ein weiterer Vorteil von Bug-Bounty-Programmen ist, dass die Unternehmen ganz genau festlegen können, für was sie die Tester bezahlen und für was nicht. Dafür legen sie innerhalb der Ausschreibungen konkrete Richtlinien fest. Sie bezahlen also nur für die Ergebnisse und nicht für die Testleistung selbst. Zu guter Letzt zeigt ein Unternehmen mit einem solchen Programm, dass es sich für seine IT-Strategie auch über traditionelle Sicherheitslösungen hinaus engagiert.
(ID:47377425)
:quality(80)/images.vogel.de/vogelonline/bdb/1931200/1931238/original.jpg "Viele, viele bunte Smartphones: Samsung verkauft die Galaxy-S22-Serie nicht nur in vier offiziellen Farben, sondern auch noch in vier exklusiven Farben im eigenen Online-Shop. (Samsung)")
:quality(80)/images.vogel.de/vogelonline/bdb/1938000/1938079/original.jpg "Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen. (yingyaipumi - stock.adobe.com)")