Bug-Bounty-Programme

Mehr Security-Ressourcen durch Bug Bounties

| Autor / Redakteur: Laurie Mercer / Peter Schmitz

77 Prozent der Bug-Bounty-Programme decken die erste Schwachstelle innerhalb der ersten 24 Stunden auf.
77 Prozent der Bug-Bounty-Programme decken die erste Schwachstelle innerhalb der ersten 24 Stunden auf. (Bild: Pixabay / CC0)

Cyberangriffe werden immer häufiger und Sicherheitslücken wirken sich zunehmend auch auf die Geschäftsmodelle von Unternehmen aus. Da so viele kritische Daten online gespeichert werden, war die Bedeutung der Sicherung digitaler Ressourcen noch nie so groß wie heute. Bug-Bounty-Programme sind eine Möglichkeit, Schwachstellen zu entdecken, bevor sie von Kriminellen gefunden werden.

Die Zahl potenzieller Cyberkrimineller wird immer weitaus größer sein, als die durchschnittliche Zahl der Analysten in einem Sicherheitsteam. Zudem ändern sich die angewandten Tricks und Techniken täglich. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben. Ein kürzlich veröffentlichter Bericht von CyberEdge zeigt, dass 80 Prozent der Unternehmen heute unter einem weltweiten Mangel an qualifiziertem IT-Sicherheitspersonal leiden.

Dabei müssen sich die kleinen und spezialisierten Sicherheitsteams heute täglich gegen ein Heer verschiedenster Cyberkrimineller verteidigen. Vor dem Hintergrund, dass jeder einzelne Angriff unterbunden werden muss, sind die Aussichten denkbar schlecht. Cyberkriminelle hingegen müssen nur einen Treffer landen. Dies wirft die Frage auf, was Unternehmen tun können, um Schwachstellen zu beseitigen, bevor sie von Kriminellen entdeckt werden? Der akute Fachkräftemangel macht es Unternehmen dabei nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren.

Viele der größten Unternehmen erkennen heute, dass nur wenige „Aufpasser“ nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Online-Systemen zu entdecken brauchen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.

Diese Unternehmen führen Bug-Bounty-Programme durch, zu denen sie erfahrene Hacker einladen. Die Hacker werden auf die Schwachstellen in den Systemen angesetzt, damit diese behoben werden können, bevor sie kompromittiert werden. Anstatt dass eine Person oder ein kleines Team ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsteams so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.

Welche Überlegungen im Vorfeld berücksichtigt werden müssen

Bevor ein Bug-Bounty-Programm durchgeführt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von außerhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams müssen im Bild sein und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein. Zudem müssen folgende Überlegungen in Betracht gezogen werden:

  • Finden wir die richtige Balance zwischen der Suche von Schwachstellen und deren Behebung?
  • Haben wir ein effizientes und bewährtes Verfahren zur Behebung von Schwachstellen etabliert?
  • Brauchen wir weitere Ressourcen, um Lücken im Sicherheitssystem des Unternehmens identifizieren zu können?

Vorteile von Bug-Bounty-Programmen

Bug-Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem sind die Bug-Bounty-Programme sehr intelligent: Durch die Nutzung der Hacker Community können Unternehmen von deren umfassender Expertise auf der ganzen Welt profitieren. Uneingeschränkt nach Standort und Anzahl.

Der einzige limitierende Faktor bei der Durchführung eines Bug-Bounty-Programms ist die Geschwindigkeit, mit der gefundene Schwachstellen behoben werden können. Engagierte IT-Sicherheitsteams werden dabei nicht nur die Zeit bis zur Behebung sorgfältig überwachen, sondern auch alle nützlichen Erkenntnisse, die sie aus der Bug Bounty gewinnen, in ihre anderen Sicherheitslösungen einfließen lassen. So können beispielsweise statische und dynamische Analyseregeln festgelegt werden, um ähnliche Schwachstellen in verschiedenen Code Bases zu finden.

Bug-Bounty-Programme starten daher oft im kleinen Rahmen mit nur einigen ausgesuchten Hacker-Einladungen. Auf diese Weise können Unternehmen sich behutsam darauf einstellen, mit der Hacker-Community an der Behebung von Schwachstellen zu arbeiten. Wenn dann Schwachstellen entdeckt und gemeldet worden sind, können diese Probleme direkt und sicher behoben werden. Bei der Arbeit mit Hackern ist dabei vor allem wichtig, transparent und reaktionsschnell zu kommunizieren.

Kostenkalkulation

Bug-Bounty-Programme können auf der Kostenseite eine große Bandbreite erreichen; - je nachdem, wie konkurrenzfähig die Prämien dafür sein müssen und welchen Umfang die Technologien haben, die Hacker dafür unter die Lupe nehmen müssen. Entsprechend reicht auch die Größe der Unternehmen, die Bug-Bounty-Programme von HackerOne einsetzen: Von kleinen Start-ups über Non-Profit-Organisationen bis hin zu großen Konzernen. Die Kosten richten sich dabei nach den speziellen Sicherheitsbedürfnissen. Einige der hochdotiertesten Bug-Bounty-Programme zahlen Hackern über eine Million US Dollar an Prämien pro Jahr, gleichzeitig gibt es aber auch viele Programme, die überhaupt keine Bounty-Awards anbieten und trotzdem sehr erfolgreich sind.

Fazit

Das Risiko durch fehlende Security-Ressourcen ist eine echte Bedrohung, die durch das Ausführen von Bug-Bounty-Programmen minimiert werden kann. Zudem sorgen diese Programme für mehr Kapazitäten und mehr Analysefähigkeiten und bieten so eine Möglichkeit, Schwachstellen und Sicherheitsprobleme noch vor den Cyberkriminellen aufzudecken. Kurz gesagt, Unternehmen wie HackerOne helfen Sicherheitsteams, weniger Zeit für die Suche nach Bugs und mehr Zeit für deren Behebung aufzuwenden.

Über die Autorin: Laurie Mercer ist Security Engineer bei HackerOne.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45479622 / Security-Testing)