Schwachstellen aufspüren, Belohnung kassieren

Belohnungen für Hacker

von - 03.04.2020
Es gibt verschiedene Ansätze, um die Anzahl an Schwachstellen in Software-Produkten zu verringern. Intensive Sicherheitsuntersuchungen oder das Ankaufen von Schwachstelleninformationen über Bug-Bounty-Programme können zur Erkennung einzelner Sicherheitslücken führen, erklärt das BSI. „Bug Bounty“ steht dabei für ein „Kopfgeld“, das für gemeldete Software-Schwachstellen gezahlt wird.
Bug-Bounty-Programme wenden das Prinzip des Crowdsourcings auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme individuell testet. Die Experten erhalten für jede entdeckte Schwachstelle eine Belohnung. Sie liefern den Unternehmen mehr oder weniger detaillierte Berichte zur jeweiligen Schwachstelle und dazu, wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücke zunutze machen.
Amy DeMartine
Amy DeMartine
VP und Research Director bei Forrester Research
www.forrester.com
Foto: Forrester Research
„Nutzen Sie die Möglichkeiten von Hackern, um die Anwendungen Ihres Unternehmens zu schützen.“
Eine Untersuchung, initiiert von der Bug-Bounty- und Penetrationstest-Plattform HackerOne, legte kürzlich offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der vergangenen Jahre durch ein solches Programm drastisch hätten gesenkt werden können. Diese Datenschutzverletzungen haben die Unternehmen kumuliert rund 307 Millionen Euro gekostet. Mit Investitionen von insgesamt lediglich gut 11.000 Euro hätten sie verhindert werden können, so die Rechnung von HackerOne. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlich gravierender Schwachstellen im Rahmen eines Bug-Bounty-Programms. Bug-Bounty-Programme gibt es für jede Art von Software, insbesondere auch für mobile Apps.
„Apps sind weiterhin die beste Angriffsmethode für Cyberkriminelle. Leider erkennen die Vorab-Scan- und Penetrationstest-Services nur bekannte Sicherheitslückenmuster oder verwenden eine begrenzte Anzahl von Angriffsmustern“, erklärt Amy DeMartine, Vice President und Research Director bei Forrester Research. „Bug-Bounty-Programme laden geprüfte Sicherheitsforscher ein, Sicherheitslücken zu entdecken. Da diese Sicherheitsforscher auf der Basis der Ergebnisse bezahlt werden, finden Bug-Bounty-Programme erfolgreich schwerwiegendere und schwerer fassbare Sicherheitslücken als andere Sicherheitstests.“

Datenschutzverletzung

Kosten/Strafe

Ausgenutzte Schwachstelle

Bug-Bounty-Marktwert

British Airways

212 Millionen Euro

JavaScript-Schwachstelle bei externem Dritten

4.634–9.300 Euro

Carphone Warehouse

463.400 Euro

Veraltete WordPress-Schnittstelle

94–9.300 Euro

TicketMaster

5,8 Millionen Euro

JavaScript-Schwachstelle bei externem Dritten

4.634–9.300 Euro

TalkTalk

89 Millionen Euro

SQL Injection

1.850–9.300 Euro

Verwandte Themen