Was macht ein erfolgreiches Bug Bounty-Programm aus?

Autor/Redakteur: Florian Riener/gg

Bug Bounty Programme bieten Unternehmen eine Vielzahl von Vorteilen. Sie können dabei qualifizierte Cybersicherheitsexperten mit dem Ziel einladen, Probleme zu identifizieren um diese zu beheben, bevor diese Sicherheitslücken ausgenutzt werden.

Erfolgreiche Bug Bounty-Programme werden von Sicherheitsteams benötigt, die:

  • Sicherheit als oberste Priorität haben und gemeldete Probleme in diesem Bereich schnell und transparent lösen wollen.
  • Diejenigen unterstützen, die Schwachstellen ausfindig machen und diese mit öffentlicher Anerkennung für ihre Beiträge honorieren.
  • Genaue Analysen belohnen und gegebenenfalls finanzielle Anreize dafür bieten.
  • Denen, die erfolgreich Schwachstellen identifiziert haben, nicht drohen und keine unangemessenen Strafmaßnahmen gegen sie ergreifen, wie beispielsweise rechtliche Schritte oder Verweise an die Strafverfolgungsbehörden.

Bevor ein Bug Bounty-Programm durchgeführt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von außerhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams müssen im Bild und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein. Die effektivsten Programme nehmen sich die Zeit, Hacker zu verstehen, Beziehungen aufzubauen und auf diese Anfragen aktiv zu reagieren.

Wie berechnet man angemessene Prämien?

Prämien sollten den Schweregrad, die Auswirkungen und die geschätzte Zeit für die gefundene Schwachstelle berücksichtigen. Darüber hinaus sollten Unternehmen für die angemessene Prämienberechnung die Konkurrenz im Blick haben – Prämien sollten wettbewerbsfähig sein. Eine Bug Bounty sollte auch klar definiert und strukturiert werden, damit die zu erzielenden Prämien nachvollziehbar sind.

Wichtig ist zudem, dass die Spezialisten ihr Geld pünktlich erhalten, denn diese Zahlungen beeinflussen die Reputation des Unternehmens bei zwei Gruppen: Hacker, mit denen derzeit gearbeitet wird und Hacker, mit denen zukünftig gearbeitet werden kann. Schnelle Zahlungen verbessern das Ansehen eines Unternehmens bei beiden Gruppen.