Was sind Bug Bounty Programme? Im Rahmen von Bug Bounty Programmen werden Preise für das Entdecken von Schwachstellen ausgesetzt oder präziser, für erfolgreiche Angriffe auf ein System oder eine IT-Infrastruktur. Dabei vergibt der Ausschreibende Prämien für das Entdecken von Schwchstellen und bezahlt dem erfolgreichen Angreifer eine Prämie entsprechend der Schwere der entdeckten Schwachstellen. Soviel zur Theorie. In der letzten Zeit sind in populären Medien regelmässig Artikel über solche Bug Bounty Programme erschienen. Doch was sind sie wert und wieso sind sie nur bedingt tauglich als Massnahme im Rahmen eines IT-Sicherheitsmanagements? Gleich vorab: Nur auf Bug Bounty Programmen zu setzen, wäre der völlig falsche Weg.
Bei Sicherheitsmassnahmen gilt immer das goldene Dreieck: Prävention-Detektion-Korrektur. Bug Bounty Programme setzen nur auf den Faktor Entdeckung. Zu hoffen, man könne damit Schwachstellen entdecken und sie dann gleich beheben, ist zwar berechtigt, doch bedarf diese sowohl eines umfassenden Präventions-wie auch Korrektursystems. Man spricht hier von Informationssicherheitsmanagement. Wenn eine Firma nicht darüber verfügt, dann kann sie sich auch den Aufwand für Bug Bounty Programme sparen.
Bug Bounty Programme können theoretisch durch die Firma direkt ausgeschrieben werden. Davon wird dringend abgeraten! Denn für den Ausschreibenden ist es praktisch unmöglich zu erkennen, mit welchen Absichten Angreifer ins System eindringen. Um die Gefahr illegaler Angriffe etwas zu vermindern, gibt es Unternehmen, die solche Bug Bounty Programmen anbieten. Doch auch hier gilt grundsätzlich dasselbe wie bei der direkten Ausschreibung: Der Schlüssel zu einem vertrauenswürdigen Bug Bounty Programm liegt in der Frage, ob der Ausschreibende die Angreifer kennt, und ob er ihnen vertrauen kann. Hier liegt die Schwachstellen im System. Während in einem Unternehmen, welches Ethical Hacking als professionelle Dienstleistung anbietet, eine umfassende soziale Kontrolle der Mitarbeitenden möglich ist, ist dies bei Bug Bounty Programmen Illusion.
Als Ausschreibender bei Bug Bounty Programmen geht man ein hohes Risiko ein, in der Hoffnung, möglichst günstig zu Schwachstellen zu kommen.
Alternativ müsste man einen Penentration-Test in Auftrag geben, der allerdings wesentlich aufwendiger ist. Hier muss sich der Kunde vorbereiten und im Vorfeld überlegen, wie das Angriffsszenario aussehen soll. Zusätzlich bietet sich ihm die Möglichkeit, die internen Ressourcen vorzubereiten oder gänzlich unvorbereitet zulassen. Es handelt sich hier also um eine klassische Manöversituation, in welcher die Ausgangslage, die Durchführung wie auch die Ergebnismessung klar sind. Dies alles fehlt bei Bug Bounty Programmen. Sie setzen darauf, dass der Eindringling die gestohlene Ware wieder zurückgibt oder dass er sich bezüglich der Schwachstellen bedeckt hält.
Fazit: Bug Bounty Programme mögen für Grossunternehmen interessant sein, weil sie die Informationssicherheitsmassnahmen unterstützen. Sind jedoch auf keinen Fall mittleren oder kleinen Unternehmen zu empfehlen, die darauf als einzige Sicherheitsmassnahme setzen möchten. Das Risiko, dass der Angreifer die entdeckte Schwachstelle nutzt, bleibt bei Bug Bounty Programmen inhärent. Denn wer sagt mir, dass jemand der eine Schwachstelle entdeckt hat, diese nicht auch einem Dritten, nämlich dem Meistbietenden. anbieten wird?