Schwachstellen aufspüren, Belohnung kassieren
Belohnungen für Hacker
von Oliver Schonschek - 03.04.2020
Es gibt verschiedene Ansätze, um die Anzahl an Schwachstellen in Software-Produkten zu verringern. Intensive Sicherheitsuntersuchungen oder das Ankaufen von Schwachstelleninformationen über Bug-Bounty-Programme können zur Erkennung einzelner Sicherheitslücken führen, erklärt das BSI. „Bug Bounty“ steht dabei für ein „Kopfgeld“, das für gemeldete Software-Schwachstellen gezahlt wird.
Bug-Bounty-Programme wenden das Prinzip des Crowdsourcings auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme individuell testet. Die Experten erhalten für jede entdeckte Schwachstelle eine Belohnung. Sie liefern den Unternehmen mehr oder weniger detaillierte Berichte zur jeweiligen Schwachstelle und dazu, wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücke zunutze machen.
Eine Untersuchung, initiiert von der Bug-Bounty- und Penetrationstest-Plattform HackerOne, legte kürzlich offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der vergangenen Jahre durch ein solches Programm drastisch hätten gesenkt werden können. Diese Datenschutzverletzungen haben die Unternehmen kumuliert rund 307 Millionen Euro gekostet. Mit Investitionen von insgesamt lediglich gut 11.000 Euro hätten sie verhindert werden können, so die Rechnung von HackerOne. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlich gravierender Schwachstellen im Rahmen eines Bug-Bounty-Programms. Bug-Bounty-Programme gibt es für jede Art von Software, insbesondere auch für mobile Apps.
„Apps sind weiterhin die beste Angriffsmethode für Cyberkriminelle. Leider erkennen die Vorab-Scan- und Penetrationstest-Services nur bekannte Sicherheitslückenmuster oder verwenden eine begrenzte Anzahl von Angriffsmustern“, erklärt Amy DeMartine, Vice President und Research Director bei Forrester Research. „Bug-Bounty-Programme laden geprüfte Sicherheitsforscher ein, Sicherheitslücken zu entdecken. Da diese Sicherheitsforscher auf der Basis der Ergebnisse bezahlt werden, finden Bug-Bounty-Programme erfolgreich schwerwiegendere und schwerer fassbare Sicherheitslücken als andere Sicherheitstests.“
Datenschutzverletzung |
Kosten/Strafe |
Ausgenutzte Schwachstelle |
Bug-Bounty-Marktwert |
British Airways |
212 Millionen Euro |
JavaScript-Schwachstelle bei externem Dritten |
4.634–9.300 Euro |
Carphone Warehouse |
463.400 Euro |
Veraltete WordPress-Schnittstelle |
94–9.300 Euro |
TicketMaster |
5,8 Millionen Euro |
JavaScript-Schwachstelle bei externem Dritten |
4.634–9.300 Euro |
TalkTalk |
89 Millionen Euro |
SQL Injection |
1.850–9.300 Euro |