Schwachstellenmanagement Mit Bug Bounty zu mehr Cybersecurity

Von Alex Hoffmann

Anbieter zum Thema

Wer seine Daten schützen will, muss bereit sein, sein Sicherheitssystem auf den Prüfstand zu stellen. Deshalb engagieren immer mehr Unternehmen ethische HackerInnen um Schwachstellen im System aufzudecken. Das auch als Bug Bounty bekannte Konzept trägt durch die gewonnene Expertise und Perspektive der externen Sicherheitsforschenden dazu bei, Sicherheitssysteme zu stärken und so Daten effektiver zu schützen.

Mit der Unterstützung ethischer Hacker haben Unternehmen die Chance, echten Angreifern im Wettlauf um die Cybersecurity schnell einen Schritt voraus zu sein – und darin liegt der große Wert von Bug Bounty-Programmen.
Mit der Unterstützung ethischer Hacker haben Unternehmen die Chance, echten Angreifern im Wettlauf um die Cybersecurity schnell einen Schritt voraus zu sein – und darin liegt der große Wert von Bug Bounty-Programmen.
(Bild: Kurhan - stock.adobe.com )

Digitale Sicherheit gewinnt in der aktuellen Zeit immer mehr an Bedeutung und wird gleichzeitig zur großen Herausforderung: Techniken von HackerInnen werden immer ausgefeilter und politische Konflikte stellen auch online eine Bedrohung dar. Für Unternehmen, Organisationen und alle Personen, die online agieren, ist es zu einer fast unlösbaren Aufgabe geworden, einen hohen Grad an Sicherheit zu erreichen. Besonders Unternehmen, die eine Sicherheitslösung für die sensiblen Daten ihrer Kundinnen und Kunden anbieten, müssen deshalb dynamische Wege gehen, um diese effektiv zu schützen.

Kollektive Intelligenz fördert digitale Sicherheit

Wer seinen Kundinnen und Kunden anbietet, ihre sensiblen Daten sicher aufzubewahren, steht in der Verantwortung zu demonstrieren, auf welche Art und Weise die Daten gesichert werden. Und muss gewährleisten, dass kontinuierlich daran gearbeitet wird, dass dies auch zukünftig der Fall sein wird. Wie Unternehmen intern garantieren, dass die Daten ihrer Kundinnen und Kunden zuverlässig sicher verwahrt werden, lässt sich einfach darstellen. Um zu beweisen, dass auch ein externes Eindringen in das System nicht so einfach möglich ist, braucht es jedoch die Aussagekraft von Tests, die durch externe Sicherheitsprofis - wie in Penetrationstest-Studios oder durch ethische HackerInnen Communities - durchgeführt werden.

Gute Beziehungen zu externen Sicherheitsforschenden erweisen sich deshalb für Unternehmen als äußerst wertvoll im Streben nach maximaler digitaler Sicherheit. Im Rahmen von Bug Bounty-Programmen gewinnen Unternehmen ethische HackerInnen für sich, um potenzielle Schwachstellen in ihrer Software aufzudecken. Sie bringen als Außenstehende eine neue Perspektive auf das System und die Bugsuche mit.

Prämien von 300 bis 1 Million US-Dollar

Das Engagement der HackerInnen wird natürlich entlohnt: Finden sie einen Bug im System und melden diesen, erhalten sie eine Prämie. Schon das Aufdecken kleinerer Sicherheitslücken ist für die Optimierung des Sicherheitssystems von großer Bedeutung und wird deshalb belohnt. Beim Bug Bounty-Programm des kanadischen Unternehmens 1Password zum Beispiel reichen die Prämien für das Aufdecken von Sicherheitslücken von 300 bis 1 Million US-Dollar.

Bislang lag die ausgezahlte Prämie bei durchschnittlich 900 US-Dollar, denn die Sicherheitslücken, die seit dem Start des Bug Bounty Programms 2017 gefunden wurden, waren alle geringfügig und stellten keine Gefahr für die Geheimhaltung sensibler Kundendaten dar. Das firmeninterne Entwicklungsteam konnte sie einfach beheben und so das Angriffsrisiko reduzieren. Wer gravierendere Bugs findet, bekommt eine höhere Prämie: Um die 1 Millionen US-Dollar sicher zu kassieren, kann man sich auch an der „Fahnen-Challenge“ beteiligen. Der spielerische Ansatz – in Verbindung mit der Rekordprämie – soll die externen Sicherheitsprofis einen besonders lukrativen Anreiz bieten.

Bei der Challenge muss, in Anlehnung an ein klassisches Fahnenraubspiel, eine sogenannte “Fahne” erobert werden. Dabei handelt es sich um eine Notiz in einer White-Box-Testumgebung, die ein auffälliges Gedicht enthält. Wer die Schritte zum Erobern der Fahne detailliert beschreiben und das Gedicht zitieren kann, gewinnt eine der höchsten Bug Bounty-Prämien, die jemals ausgeschrieben wurden. Die Entscheidung dafür kommt nicht von ungefähr: Je höher die Prämie, desto höher das Interesse der Community daran, am Bug Bounty des Unternehmens teilzunehmen und so sein Sicherheitssystem zu stärken.

So funktioniert das Bug Bounty-Programm im Detail

Die Plattform bugcrowd ist das verbindende Glied zwischen 1Password und einer ethischen HackerInnen-Community. Neben der Community liefert die Plattform auch den Rahmen für Programmregeln und Datenschutz.

Nach der Anmeldung über bugcrowd erhalten die Sicherheitsforschenden Zugriff zu einem Tresor, in dem alle Informationen und Hilfestellungen zum Testen bereitstehen. Zudem erhalten Teilnehmende Zugriff auf Dokumentationen zu kürzlich gefunden Sicherheitslücken, die Hinweise auf weitere geben könnten.

Was getestet werden soll, wird innerhalb eines Scopes definiert. Das Programm deckt alle serverseitigen APIs ab. Zudem stehen White-Box-Testumgebungen zur Verfügung, die es den Forschenden ermöglichen, das System direkter anzugreifen. Eine API-Dokumentation wird dabei nach bestem Wissen und Gewissen bereitgestellt. Ebenso ist definiert, welche gefundenen Fehler anerkannt und welche ausgeschlossen werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Bug Bounty als Teil eines ausgeklügelten Sicherheitspuzzles

Zum Secure Software Development Life Cycle bei 1Password gehören neben dem Bug Bounty-Programm auch jährlich mehr als ein Dutzend extern durchgeführte Penetrationstests, deren Ergebnisse veröffentlicht werden. Aber auch interne Maßnahmen gewährleisten die bedingungslose Sicherheit der Kundendaten. So dienen Test- und Überprüfungsprogramme der Festigung der starken Datenschutz- und Sicherheitskultur des Unternehmens. Zudem gehören zu jedem Produktentwicklungsteam auch auf Cybersecurity spezialisierte EntwicklerInnen und die Expertise der Entwicklungsteams wird im Rahmen eines Security-Ambassador-Programms kontinuierlich geschult und weiterentwickelt. Mithilfe des „Eyes of the Month“-Programms werden außerdem Mitarbeitende belohnt, die schwerwiegende Sicherheitsprobleme melden.

Wer Geheimnisse hütet, sollte selbst keine haben

Mit der Unterstützung ethischer Hacker haben Unternehmen die Chance, echten Angreifern im Wettlauf um die Cybersecurity schnell einen Schritt voraus zu sein – und darin liegt der große Wert von Bug Bounty-Programmen. Nur wer offen mit seinen Sicherheitslücken umgeht, hat die Chance, diese zu beheben und so seinen Kundinnen und Kunden eine größtmögliche Systemsicherheit zu gewährleisten. An diesem Prozess sollten nie nur interne Profis beteiligt sein, sondern es braucht für eine ganzheitliche Sicherheitslösung auch externe Sicherheitsexpertinnen und -experten. Programme wie Bug Bounty sind dabei ein willkommenes Tool, um Sicherheitslücken aufzudecken und so geheime Daten bestmöglich zu schützen.

Über den Autor: Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt. Alex hat eine Leidenschaft für menschenzentrierte Sicherheit: Er kennt 1Password sowie das Sicherheits-Ökosystem in- und auswendig und weiß, wo die Bedürfnisse der Kunden liegen. Er lebt im Schwarzwald und hat einen Magister in Marketing und Sinologie.

(ID:48443539)