Warum nur einen Pen-Tester engagieren, wenn man die Intelligenz aller Internetuser nutzen kann? Mit Bug-Bounty-Programmen schreiben Unternehmen Kopfgelder auf Schwachstellen aus, um Hacker zu motivieren für sie zu arbeiten.
Bug-Bounty-Programme sollen Hacker dazu motivieren, Schwachstellen in Firmennetzwerken aufzudecken. Dafür schreiben die Unternehmen Kopfgelder aus.
(Bild: Visions-AD - stock.adobe.com)
Bis zu 40.000 Dollar bezahlt Microsoft an ethische Hacker, die Berichte zu Sicherheitsrisiken in Azure Cloud-Diensten liefern. Bis zu 100.000 Dollar sind dem Software-Giganten Berichte zu Risiken in Identitätsdiensten, wie Microsoft-Konten, Azure Active Directory oder OpenID-Standards, wert. Aufgedeckte Schwachstellen im Zusammenhang mit der Plattform Hyper-V können den Testern sogar bis zu 250.000 Dollar einbringen. Die Ausschreibungen für diese Belohnungen erfolgen im Rahmen des Bug-Bounty-Programms von Microsoft.
Was sind Bug Bounties?
Ein Bug ist ein logischer Fehler im Code einer Software, der dazu führt, dass das Programm nicht richtig funktioniert. Klar, dass Unternehmen möglichst schnell möglichst alle Bugs ausfindig machen und beseitigen wollen. Dafür setzen viele auf Bug Bounties. Bounty bedeutet auf Deutsch Kopfgeld. Also eine Belohnung für denjenigen, der einen Bug findet. Innerhalb von Bug-Bounty-Programmen schreiben Unternehmen die Kopfgelder aus. Die Idee beruht auf dem Prinzip des Crowdsourcings. Das bedeutet, dass Aufgaben an die Internetnutzer, die Crowd, ausgelagert werden. Somit können nicht nur professionelle White Hat Hacker an den öffentlichen Ausschreibungen teilnehmen, sondern die ganze Internetgemeinde. Unternehmen nutzen die Programme oft zusätzlich zu Security Audits und Penetration-Tests, um ihre Sicherheitsstrategie zu verbessern.
Was ist ein White Hat Hacker?
Ein White Hat Hacker identifiziert Security-Schwachstellen in einem System oder Netzwerk, nutzt dieses Wissen aber nicht, um Schaden anzurichten. Stattdessen stellen sie Unternehmen die Informationen bereit, damit diese die Sicherheitslücken schließen können, bevor Schaden entsteht.
Mittlerweile hat es sich etabliert, die Fähigkeiten solcher Hacker als Dienstleistung in Anspruch zu nehmen, um dadurch die Cybersicherheit des eigenen Unternehmens zu testen. Dabei durchsuchen die White Hat Hacker die Netzwerke nach Malware und versuchen in Systeme einzudringen. Auch den Mitarbeiter als potentielle Sicherheitslücke testen sie. Dafür erstellen sie zum Beispiel Phishing E-Mails und versuchen die Anwender dazu zu bringen, auf die Links zu klicken.
Innerhalb der Programme legen die Unternehmen fest, für welche potenziellen Sicherheitslücken sie die Tester bezahlen. Etablierte Plattformen sind unter anderem die von Hackerone, Yes We Hack und Bugcrowd. Wenn sich Tester beispielsweise bei Yes We Hack für eine Ausschreibung registrieren, müssen sie unterschreiben, dass sie sich zur strikten Einhaltung der Regeln des Programms verpflichten. Denn wenn sie versuchen, in die Unternehmensnetzwerke und -systeme zu gelangen, können sie sich Zugriff auf vertrauliche Daten verschaffen. Diese müssen die Anbieter der Programme schützen.
An Pen-Tests wird oftmals kritisiert, dass sie lediglich eine Momentaufnahme des Sicherheitsstatus sind. Stimmt, deswegen sollte man sie ja auch regelmäßig wiederholen. Wenn dies geschieht, was bietet dann noch ein Bug Bounty, was ein Penetration-Test nicht bietet? Während Pen-Tester meist alleine arbeiten, profitieren Unternehmen mit Bug Bounties von der Schwarmintelligenz. Denn die Wahrscheinlichkeit, dass einer der vielen Tester auf eine Sicherheitslücke stößt, ist höher, als bei nur einem Tester.
Ein weiterer Vorteil von Bug-Bounty-Programmen ist, dass die Unternehmen ganz genau festlegen können, für was sie die Tester bezahlen und für was nicht. Dafür legen sie innerhalb der Ausschreibungen konkrete Richtlinien fest. Sie bezahlen also nur für die Ergebnisse und nicht für die Testleistung selbst. Zu guter Letzt zeigt ein Unternehmen mit einem solchen Programm, dass es sich für seine IT-Strategie auch über traditionelle Sicherheitslösungen hinaus engagiert.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.