{"id":1391,"date":"2023-05-30T07:55:58","date_gmt":"2023-05-30T06:55:58","guid":{"rendered":"https:\/\/wildhaber.com\/?p=1391"},"modified":"2023-05-30T08:13:51","modified_gmt":"2023-05-30T07:13:51","slug":"sind-bug-bounty-programme-sinnvoll","status":"publish","type":"post","link":"https:\/\/wildhaber.com\/index.php\/sind-bug-bounty-programme-sinnvoll\/","title":{"rendered":"Sind Bug Bounty Programme sinnvoll?"},"content":{"rendered":"

Was sind Bug Bounty Programme? Im Rahmen von Bug Bounty Programmen werden Preise\u00a0 f\u00fcr das Entdecken von Schwachstellen ausgesetzt\u00a0 oder pr\u00e4ziser, f\u00fcr erfolgreiche Angriffe auf ein System oder eine IT-Infrastruktur. Dabei vergibt der Ausschreibende Pr\u00e4mien f\u00fcr das Entdecken von Schwchstellen und bezahlt dem erfolgreichen Angreifer eine Pr\u00e4mie entsprechend der Schwere der entdeckten Schwachstellen. Soviel zur Theorie. In der letzten Zeit sind in popul\u00e4ren Medien regelm\u00e4ssig Artikel \u00fcber solche Bug Bounty Programme erschienen. Doch was sind sie wert und wieso sind sie nur bedingt tauglich als Massnahme im Rahmen eines IT-Sicherheitsmanagements? Gleich vorab: Nur auf Bug Bounty Programmen zu setzen, w\u00e4re der v\u00f6llig falsche Weg.<\/strong><\/p>\n

Bei Sicherheitsmassnahmen gilt immer das goldene Dreieck: Pr\u00e4vention-Detektion-Korrektur. Bug Bounty Programme setzen nur auf den Faktor Entdeckung. Zu hoffen, man k\u00f6nne damit Schwachstellen entdecken und sie dann gleich beheben, ist zwar berechtigt, doch bedarf diese sowohl eines umfassenden Pr\u00e4ventions-wie auch Korrektursystems. Man spricht hier von Informationssicherheitsmanagement. Wenn eine Firma nicht dar\u00fcber verf\u00fcgt, dann kann sie sich auch den Aufwand f\u00fcr Bug Bounty Programme sparen.<\/p>\n

Bug Bounty Programme k\u00f6nnen theoretisch durch die Firma direkt ausgeschrieben werden. Davon wird dringend abgeraten! Denn f\u00fcr den Ausschreibenden ist es praktisch unm\u00f6glich zu erkennen, mit welchen Absichten Angreifer ins System eindringen. Um die Gefahr illegaler Angriffe etwas zu vermindern, gibt es Unternehmen, die solche Bug Bounty Programmen anbieten. Doch auch hier gilt grunds\u00e4tzlich dasselbe wie bei der direkten Ausschreibung: Der Schl\u00fcssel zu einem vertrauensw\u00fcrdigen Bug Bounty Programm liegt in der Frage, ob der Ausschreibende die Angreifer kennt, und ob er ihnen vertrauen kann. Hier liegt die Schwachstellen im System. W\u00e4hrend in einem Unternehmen, welches Ethical Hacking\u00a0 als professionelle Dienstleistung anbietet, eine umfassende soziale Kontrolle der Mitarbeitenden m\u00f6glich ist, ist dies bei Bug Bounty Programmen Illusion.<\/p>\n

Als Ausschreibender bei Bug Bounty Programmen geht man ein hohes Risiko ein,\u00a0 in der Hoffnung, m\u00f6glichst g\u00fcnstig zu Schwachstellen zu kommen.<\/strong><\/pre>\n
Alternativ m\u00fcsste man einen Penentration-Test\u00a0 in Auftrag geben, der allerdings wesentlich aufwendiger ist.\u00a0 Hier muss sich der Kunde vorbereiten und im Vorfeld \u00fcberlegen, wie das Angriffsszenario aussehen soll.\u00a0 Zus\u00e4tzlich bietet sich ihm die M\u00f6glichkeit, die internen Ressourcen vorzubereiten oder g\u00e4nzlich unvorbereitet zulassen. Es handelt sich hier also um eine klassische Man\u00f6versituation, in welcher die Ausgangslage, die Durchf\u00fchrung wie auch die Ergebnismessung klar sind.\u00a0 Dies alles fehlt bei Bug Bounty Programmen. Sie setzen darauf, dass der Eindringling die gestohlene Ware wieder zur\u00fcckgibt oder dass er sich bez\u00fcglich der Schwachstellen bedeckt h\u00e4lt.<\/p>\n
Fazit: Bug Bounty Programme m\u00f6gen f\u00fcr Grossunternehmen interessant sein, weil sie die Informationssicherheitsmassnahmen unterst\u00fctzen. Sind jedoch auf keinen Fall mittleren oder kleinen Unternehmen zu empfehlen, die darauf als einzige Sicherheitsmassnahme setzen m\u00f6chten. Das Risiko, dass der Angreifer die entdeckte Schwachstelle nutzt, bleibt\u00a0 bei Bug Bounty Programmen inh\u00e4rent. Denn wer sagt mir, dass jemand der eine Schwachstelle entdeckt hat, diese nicht auch einem Dritten, n\u00e4mlich\u00a0 dem Meistbietenden. anbieten wird?<\/pre>\n","protected":false},"excerpt":{"rendered":"
Was sind Bug Bounty Programme? Im Rahmen von Bug Bounty Programmen werden Preise\u00a0 f\u00fcr das Entdecken von Schwachstellen ausgesetzt\u00a0 oder … Continue reading >Sind Bug Bounty Programme sinnvoll?<\/span><\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1392,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70,3],"tags":[71],"class_list":["post-1391","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking","category-informationssicherheit","tag-bug-bounty"],"_links":{"self":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/1391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/comments?post=1391"}],"version-history":[{"count":3,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/1391\/revisions"}],"predecessor-version":[{"id":1396,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/1391\/revisions\/1396"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media\/1392"}],"wp:attachment":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media?parent=1391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/categories?post=1391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/tags?post=1391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}