SecOpsJan Kahmen9 min Lesezeit

Bug-Bounty-Hunting: Sicherheit erhöhen und um Fachkräfte werben

Im Rahmen von Bug-Bounty-Programmen versuchen externe Hacker, Schwachstellen und Sicherheitslücken in Unternehmen aufzuspüren.

bug-bounty.jpg

Inhaltsverzeichnis

Bug-Bounty-Programme führen Unternehmen weg von klassischen Sicherheitsprüfungen hin zu umfassenden Sicherheitskonzepten. Dieser Ansatz erhöht die Wahrscheinlichkeit, schwerwiegende Schwachstellen aufzuspüren. Zusätzliche Pentests, durchdachte Sicherheitsmechanismen und eine attraktive Belohnung (die Bug-Bounty) steigern damit die Sicherheit sensibler Unternehmensdaten.

Softwarefehler entdecken: Oft eine Herausforderung

Einen Softwarefehler in der IT zu entdecken, ist oft ein langwieriges Unterfangen. Dabei verstecken sich die so genannten Bugs in jedem System: Egal ob gekauft oder selbst programmiert. Fehler in den Frameworks oder unbenutzte Serverdienste steigern die Gefahr, einer Cyber-Attacke zum Opfer zu fallen. Gemeinsam mit einem Bug-Bounty-Hunter, oder gleich mehreren “ethischen Hackern”, ist dieses Vorhaben jedoch realisierbar. Die beste Möglichkeit, einen Bug in der IT legal aufzuspüren, sind Pentests für Webanwendungen. Hier testen Profis für IT-Sicherheit bestehende Softwaresysteme auf vorliegende Schwachstellen. Allerdings gibt es hierbei bestimmte Rahmenbedingungen einzuhalten. Analog dazu kommen auch Pentests für mobile Anwendungen immer wieder zum Einsatz, um Sicherheitslücken zu identifizieren. Dass ein Fehler im Unternehmensalltag nicht weiter auffällt, ist dabei nicht ungewöhnlich. Insbesondere moderne Anwendungen verknüpfen zahlreiche Frameworks und externe Ressourcen miteinander. Es ist daher nicht immer offensichtlich, an welcher Stelle Probleme auftreten könnten. Selbst professionellen und versierten Entwicklern ist es unmöglich, eine 100-prozentig-sichere Software zu programmieren. Das macht Bug-Bounty-Programme zu einem interessanten Ansatz für Unternehmen. Denn anstatt sich auf die Fertigkeiten einzelner Mitarbeiter zu verlassen, machen sie sich die Schwarmintelligenz zunutze.

Bug-Bounty Hunting: Was macht ein Bug-Bounty-Hunter?

Im Rahmen von Bug-Bounty-Programmen versuchen professionelle Hacker, Schwachstellen und Sicherheitslücken in Unternehmen aufzuspüren. Während Hacker im Allgemeinen mit Cyberkriminellen gleichgesetzt werden, handelt es sich hierbei um so genannte ethische Hacker. Anstatt die Schwachstellen auszunutzen, leiten sie ihre Funde an die betroffenen Firmen weiter. Anschließend können die Unternehmen diese Sicherheitslücken gezielt schließen. Im Gegenzug erhalten die Bug-Bounty-Hunter eine Prämie. Wie hoch diese ausfällt, hängt vom Unternehmen und den bisher getroffenen Sicherheitsvorkehrungen ab. Weitere wichtige Kriterien für die Prämienhöhe sind die Größe und die Relevanz der entdeckten Sicherheitslücken. Dennoch fällt die Belohnung meist hoch genug aus, um genügend Bug-Bounty-Hunter zur Teilnahme am Programm zu motivieren. Bug-Bounty-Hunter sind keine Einzelgänger, sondern gehören zum Crowdsourcing-Modell. Dieses Vorgehen bietet Unternehmen einen entscheidenden Vorteil: Experten aus unterschiedlichen Bereichen prüfen die Software auf Fehler und Lecks. Idealerweise lassen sich Probleme dadurch beheben, noch bevor Cyberkriminelle zuschlagen können.

Pentests vs. Bug-Bounty-Hunting

Bug-Bounty-Programme unterscheiden sich deutlich von klassischen Pentests. Die beiden Vorgehen schließen einander allerdings nicht aus. Idealerweise beschäftigen sich Unternehmen mit beiden Methoden, um ihre IT-Sicherheit zu erhöhen. Grundsätzlich lassen sich beide Ansätze also als komplementär betrachten:

  • Penetrationstest: Ein On-Demand-Penetration-Testing verfolgt stets einen zuvor definierten Rahmen. Es handelt sich dabei um einen gezielten Angriff auf ein bestehendes System gemäß vordefinierten Testverfahren. Zusätzlich findet der Test zu einem zuvor festgelegten Zeitpunkt statt. Während unzählige Hacker an der Bug-Bounty teilnehmen, führt ein kleines Team an Sicherheitsexperten den Pentest durch.
  • Bug-Bounty: Beim Bug-Bounty-Programm machen sich Unternehmen die Schwarmintelligenz von IT-Experten zunutze. Die teilnehmenden Bug-Bounty-Hacker verfügen über unterschiedliche Hintergründe, individuelle Herangehensweisen und verschiedene Tools. Diese umfassende Prüfung einer Software kann ein einzelner Programmierer nicht gewährleisten. Selbst in größeren Firmen nutzen die zuständigen Softwareentwickler bestimmte Softwaretools. Deshalb verspricht eine Bug-Bounty ein differenzierteres Ergebnis.

Gut zu wissen: Pentests finden turnusmäßig und zu bestimmten Zeitpunkten statt. Das kann ein Problem sein, denn zwischen den einzelnen Tests können Zwischenfälle auftreten. Anders verhält es sich bei einem „Vulnerability Disclosure Bug-Bounty Progam“. Hier befindet sich das Unternehmen praktisch während der gesamten Laufzeit in einer Krisensituation. Das führt dazu, dass Sicherheitslücken an 365 Tagen auffallen.

Bug-Bounty-Hunting: Benefits für Fachkräfte und Unternehmen?

Datenklau, Ransom-Angriff und Phishing: Tagtäglich entwerfen Cyberkriminelle neue Schadprogramme und Methoden, um Unternehmen zu schaden. Tatsächlich hat sich die Anzahl an Angriffen in den vergangenen Jahren deutlich gesteigert. Das macht eine funktionierende und sichere IT-Infrastruktur umso wichtiger. Dazu gehört der regelmäßige Schwachstellenscan ebenso wie der gezielte und geplante Angriff mittels Penetrationstests. Unternehmen, die sich effizient gegen Cyberattacken schützen möchten, schreiben zudem eine Bug-Bounty aus.

Bug-Bounty-Hunting als Karriere-Booster

Eine Big Bug-Bounty bietet einen hohen Anreiz für IT-Experten. Sie können bestehende Systeme legal angreifen und erhalten im Idealfall eine Prämie dafür. Inzwischen gilt Bug-Bounty-Hunting als erstrebenswerter Karrierepfad: Es ist ein Booster für die eigene Karriere und erlaubt es, neue und unterschiedliche Technologien auszuprobieren. Ein besonderer Anreiz für die IT-Spezialisten ist, dass das Bug-Bounty-Hunting orts- und zeitunabhängig funktioniert. Die Tätigkeit lässt sich remote durchführen. Dies ermöglicht einen modernen und flexiblen Arbeitsalltag, wie ihn nicht alle Firmen bieten können. Attraktiv ist die Big Bug-Bounty jedoch nicht nur wegen der möglichen Prämie. Security-Experten eignen sich hier neue Kenntnisse an und vertiefen bestehende Fertigkeiten. Dabei haben sie grundsätzlich die Möglichkeit, sich mit anderen Teilnehmern zusammenzutun. So lässt sich gleichzeitig Agilität in die Big Bug-Bounty bringen.

Vorteile für Unternehmen

Unternehmen, die ihre Security Incident Response verbessern oder Schwachstellen aufspüren möchten, profitieren von Bug-Bounties. Insbesondere in Zeiten des Fachkräftemangels fehlt es vielen Betrieben an den benötigten IT-Fachkräften. Zusätzlich können kleinere Firmen selten die erforderlichen Sicherheitsexperten beschäftigen. Experten wie Turing-Secure unterstützen Unternehmen dabei, die Sicherheit aufrechtzuerhalten. Wer zusätzlich eine Bug-Bounty ausschreibt, motiviert IT-Experten dazu, Schwachstellen und Sicherheitslücken aufzuspüren. Dadurch lassen sich die im Unternehmen angesiedelten Fachkenntnisse um ein hohes Maß erweitern. Schließlich ist eine interne IT-Abteilung kein Ersatz für die gezielten Hackerangriffe der Bug-Bounty-Hunter. Für Unternehmen ist es wichtig zu verstehen, dass die zunehmende Komplexität der IT-Systeme deren Sicherheit gefährden kann. Selbst wenn die Firma ausreichend Nachwuchskräfte besitzt, fehlen diesen möglicherweise das Fachwissen und die Fähigkeiten. Eine Bug-Bounty ist daher eine wertvolle Möglichkeit, um diesen Mangel auszugleichen. Ist es nicht möglich, gefundene Sicherheitslücken in Eigenregie zu schließen, helfen externe Fachkräfte weiter. Das heißt: Unternehmen, die ihre eigene IT-Sicherheit prüfen möchten, schreiben am besten eine Bug-Bounty aus. Auf das Fachwissen innerhalb der eigenen Firma verlassen sich hingegen die wenigsten Unternehmen. Zu diesem Ergebnis kam eine Umfrage für den Ethical Hacker Insights Report 2022.

Fazit

Die IT-Sicherheit wirft zahlreiche Fragen im Unternehmen auf: Wie ist es um die Sicherheit bestellt? Wie finde ich den richtigen Pentest-Anbieter? Wie lassen sich potenzielle Sicherheitslücken schließen? Insbesondere die erste Frage lässt sich mit der Ausschreibung einer Bug-Bounty beantworten. Denn Bug-Bounty-Hunter prüfen die Sicherheitsmechanismen von Firmen mit denselben Methoden, die Cyberkriminelle verwenden. Anders als die Cyberangreifer informieren die Hunter das Unternehmen über mögliche Funde. Dadurch lassen sich Informationen über Sicherheitslücken schneller sammeln und die Schwachstellen schließen. Dabei bietet das ethische Hacking Unternehmen zahlreiche Vorteile, die sich langfristig in einer gesteigerten IT-Sicherheit bemerkbar machen.

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie noch heute ein unverbindliches Gespräch mit einem unserer Produktexperten.

screenshot-dashboard.webp