Mit dieser Methode schützen sich Unternehmen erfolgreich vor Sicherheitslücken (Bug Bounty Program)

Icon For Clock 4 Min. Lesezeit

Sicherheitslücken treten immer wieder auf. Im schlimmsten Fall werden sie auf digitalen Schwarzmärkten gehandelt und verbreitet. Dies gilt es unter allen Umständen zu vermeiden. Eine sehr beliebte und bemerkenswert effektive Methode ist der Einsatz von Bug Bounty Programmen.

Einordnung zum Thema (Audio 🎧)

Wer hat sowas?

Die größte Plattform für Bug Bounties ist hackerone. Eine Auswahl bekannter Kunden von Hackerone1:

  • Paypal
  • Department of Defense (DoD, USA)
  • Lufthansa
  • Spotify
  • Amazon (AWS)2

Viele Unternehmen betreiben zusätzlich eigene Plattformen für Bug Bounty Programme:

  • Apple3
  • Facebook4
  • Google (Alphabet)5

Wie häufig gibt es Schwachstellen?

Schwachstellen und Sicherheitslücken passieren ständig. Softwareentwickler sind Menschen und Menschen machen Fehler.

Es gibt keine Software ohne Fehler. Selbst Projekte von Technologiekonzernen wie Google, Facebook, Microsoft und Amazon weisen Schwachstellen auf. Auch der Linux Kernel ist nicht fehlerfrei. Seit über 20 Jahren wird an ihm entwickelt, das Projekt umfasst weit mehr als eine Million Änderungen und fast 30 Millionen Zeilen Code. Tausende Entwickler und spezialisierte Unternehmen überprüfen den quelloffenen Code und begutachten jede Änderung. Dennoch treten immer wieder Schwachstellen auf.

Selbst der niedrigste Code von Computerprozessoren wie Intel, AMD und ARM ist nicht fehlerfrei. Die ersten größeren Schwachstellen, die öffentlich große Aufmerksamkeit erlangten, waren die Spectre-Attacken, mit denen Sicherheitsmechanismen auf CPU Ebene umgangen werden konnten.

WWer ernsthaft glaubt, dass Software vollständig fehlerfrei sein kann, sollte seine Risikoanalysen überdenken. Es gibt keine Software ohne Fehler.

Vergleich KMU und Großkonzerne

Kleine und mittlere Unternehmen haben grundsätzlich ein höheres Risiko, Sicherheitslücken zu übersehen, als Großkonzerne. Der Hauptgrund liegt darin, dass KMU keine großen dedizierten Security Teams besitzen.

Unsere Empfehlung lautet deshalb, möglichst viel quelloffene Software zu nutzen. Zu den Gründen und Vorteilen werden wir noch einen eigenen Artikel veröffentlichen.

Was ist ein White Hat Hacker?

Hacker werden häufig in drei Gruppen eingeteilt:

  • White Hat Hacker
  • Grey Hat Hacker
  • Black Hat Hacker

Ein White Hat Hacker betreibt ethisches Hacking. Er steht damit im Gegensatz zu Black Hat Hackern, die gefundene Sicherheitslücken ausnutzen und missbrauchen, ohne Rücksicht auf Moral, Schaden oder rechtliche Grenzen. Grey Hat Hacker liegen in ihrer Vorgehensweise zwischen beiden Gruppen.

Wie geht man korrekt mit einem White Hat Hacker um?

Ein White Hat Hacker möchte keinen Schaden anrichten. Er möchte Ihrem Unternehmen helfen, indem er Sie über eine gefundene Sicherheitslücke informiert. Mit ihm sollte unter keinen Umständen respektlos umgegangen werden.

Zudem sollte betont werden, dass sich der White Hat Hacker bewusst dagegen entschieden hat, die Sicherheitslücke illegal an den Höchstbietenden über Treuhandforen zu verkaufen.

Warum haben Unternehmen Bug Bounty Programme?

Bug Bounty Programme reduzieren das Risiko, dass Sicherheitslücken unkontrolliert und ohne Wissen des betroffenen Unternehmens verbreitet werden. Gemeldete Sicherheitslücken werden je nach Schweregrad unterschiedlich hoch belohnt. Die Belohnung orientiert sich dabei nicht nur am Zeitaufwand für das Finden der Schwachstelle, sondern auch am potenziellen Schaden, am geschätzten Wert auf dem Schwarzmarkt und an der Ehrlichkeit des Hackers.

Technologiekonzerne wie Tesla, Google oder Apple zahlen im Rahmen ihrer Programme teilweise Prämien in Millionenhöhe aus.

Warum ergibt das auch für kleinere Unternehmen Sinn??

Kleinere Unternehmen verfügen nicht über das Kapital, um Belohnungen in siebenstelliger Höhe zu zahlen. Das ist jedoch nicht notwendig. Entscheidend ist, dass der illegale Verkauf der Sicherheitslücke weniger attraktiv ist als das offizielle Melden an das Unternehmen.

Auch öffentliche Danksagungen können sinnvoll sein. Es muss nicht zwingend ein eigenes Leaderboard sein, wie es Google betreibt: https://bughunters.google.com/leaderboard Schon einfache Anerkennung zeigt Wertschätzung und bindet ethische Hacker.

Full Disclosure und Responsible Disclosure

Full Disclosure bezeichnet die Praxis, eine gefundene Sicherheitslücke nicht zuerst an das betroffene Unternehmen zu melden, sondern direkt zu veröffentlichen. Dies führt zu einem gefährlichen Wettrennen zwischen Unternehmen und Angreifern.

Genau dieses Risiko soll vermieden werden. Bug Bounty Programme fördern Responsible Disclosure. Dabei wird zwischen Hacker und Unternehmen vereinbart, wann Informationen veröffentlicht werden dürfen. Üblich ist eine Frist von 30 oder 90 Tagen, in der die Schwachstelle behoben und die Lösung überall ausgerollt werden kann.

Fazit

  • Sicherheitslücken entstehen in jeder Software.
  • Softwareentwickler sind Menschen und Menschen machen Fehler.
  • Ein White Hat Hacker möchte helfen, nicht schaden.
  • White Hats gehen ein Risiko ein, wenn sie eine Lücke melden.
  • Mit ihnen sollte respektvoll umgegangen werden.
  • Bug Bounty Programme sind für Unternehmen jeder Größe sinnvoll.

Weitere Inhalte zum Thema

IT Sicherheit Dienstag, 21. September 2021 Icon For Clock 3 Min. Lesezeit

Zero Trust, ein Konzept für die Zukunft?
Glossar Dienstag, 25. Januar 2022 Icon For Clock 4 Min. Lesezeit

Warum bezahlen Unternehmen für Angriffe auf ihre IT Infrastruktur? (Pentesting)
Glossar Mittwoch, 1. Dezember 2021 Icon For Clock 3 Min. Lesezeit

Hier ist ein einfacher Weg, um sich vor Spam zu schützen - und Sie kennen ihn bereits!
Glossar Donnerstag, 16. Dezember 2021 Icon For Clock 3 Min. Lesezeit

Warum keine Webseite mehr ohne modernste Kryptographie auskommt. (Verschlüsselung)