{"id":13617,"date":"2018-12-04T11:48:01","date_gmt":"2018-12-04T10:48:01","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=13617"},"modified":"2018-12-19T09:37:24","modified_gmt":"2018-12-19T08:37:24","slug":"was-macht-ein-erfolgreiches-bug-bounty-programm-aus","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=13617","title":{"rendered":"Was macht ein erfolgreiches Bug Bounty-Programm aus?"},"content":{"rendered":"<p>Autor\/Redakteur: <a href=\"https:\/\/www.hackerone.com\">Laurie Mercer, L\u00f6sungsingenieur bei HackerOne<\/a>\/gg<\/p>\n<p>Bug Bounty Programme bieten Unternehmen eine Vielzahl von Vorteilen. Sie k\u00f6nnen dabei qualifizierte Cybersicherheitsexperten mit dem Ziel einladen, Probleme zu identifizieren um diese zu beheben, bevor diese Sicherheitsl\u00fccken ausgenutzt werden.<\/p>\n<p><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/DSC1374.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-13618\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/DSC1374.jpg\" alt=\"\" width=\"750\" height=\"450\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/DSC1374.jpg 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/DSC1374-300x180.jpg 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/a><\/p>\n<p><!--more--><\/p>\n<p>Erfolgreiche Bug Bounty-Programme werden von Sicherheitsteams ben\u00f6tigt, die:<\/p>\n<ul>\n<li>Sicherheit als oberste Priorit\u00e4t haben und gemeldete Probleme in diesem Bereich schnell und transparent l\u00f6sen wollen.<\/li>\n<li>Diejenigen unterst\u00fctzen, die Schwachstellen ausfindig machen und diese mit \u00f6ffentlicher Anerkennung f\u00fcr ihre Beitr\u00e4ge honorieren.<\/li>\n<li>Genaue Analysen belohnen und gegebenenfalls finanzielle Anreize daf\u00fcr bieten.<\/li>\n<li>Denen, die erfolgreich Schwachstellen identifiziert haben, nicht drohen und keine unangemessenen Strafma\u00dfnahmen gegen sie ergreifen, wie beispielsweise rechtliche Schritte oder Verweise an die Strafverfolgungsbeh\u00f6rden.<\/li>\n<\/ul>\n<p>Bevor ein Bug Bounty-Programm durchgef\u00fchrt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von au\u00dferhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams m\u00fcssen im Bild und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein. Die effektivsten Programme nehmen sich die Zeit, Hacker zu verstehen, Beziehungen aufzubauen und auf diese Anfragen aktiv zu reagieren.<\/p>\n<p><strong>Wie berechnet man angemessene Pr\u00e4mien?<\/strong><\/p>\n<p>Pr\u00e4mien sollten den Schweregrad, die Auswirkungen und die gesch\u00e4tzte Zeit f\u00fcr die gefundene Schwachstelle ber\u00fccksichtigen. Dar\u00fcber hinaus sollten Unternehmen f\u00fcr die angemessene Pr\u00e4mienberechnung die Konkurrenz im Blick haben \u2013 Pr\u00e4mien sollten wettbewerbsf\u00e4hig sein. Eine Bug Bounty sollte auch klar definiert und strukturiert werden, damit die zu erzielenden Pr\u00e4mien nachvollziehbar sind.<\/p>\n<p><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Frans-violation-of-secure-design-principles-Slack.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-13621\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Frans-violation-of-secure-design-principles-Slack.png\" alt=\"\" width=\"750\" height=\"551\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Frans-violation-of-secure-design-principles-Slack.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Frans-violation-of-secure-design-principles-Slack-300x220.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/a><\/p>\n<p>Wichtig ist zudem, dass die Spezialisten ihr Geld p\u00fcnktlich erhalten, denn diese Zahlungen beeinflussen die Reputation des Unternehmens bei zwei Gruppen: Hacker, mit denen derzeit gearbeitet wird und Hacker, mit denen zuk\u00fcnftig gearbeitet werden kann. Schnelle Zahlungen verbessern das Ansehen eines Unternehmens bei beiden Gruppen.<\/p>\n<p><!--nextpage--><\/p>\n<p><strong>Was sind die gr\u00f6\u00dften Risiken bei der Ausf\u00fchrung eines Bug Bounty-Programms und wie kann man sie umgehen?<\/strong><\/p>\n<p>Eine der gr\u00f6\u00dften Herausforderungen f\u00fcr Unternehmen, die ein Bug Bounty- Programm durchf\u00fchren, besteht darin, Falschmeldungen zu vermeiden und ausreichende Ressourcen zur Verf\u00fcgung zu stellen, um auf die Menge eingereichter Vulnerability-Reports eingehen zu k\u00f6nnen. Um dieses Problem zu vermeiden, m\u00fcssen sie vor dem Ausf\u00fchren eines Bug Bounty-Programms einen transparenten Prozess f\u00fcr Vulnerability-Reports einrichten, in dem allen internen Teammitgliedern ihre Aufgaben zugewiesen werden.<\/p>\n<p><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Anees-OAuth-bypass-Mapbox.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-13620\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Anees-OAuth-bypass-Mapbox.png\" alt=\"\" width=\"750\" height=\"534\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Anees-OAuth-bypass-Mapbox.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Anees-OAuth-bypass-Mapbox-300x214.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/a><\/p>\n<p>Eine weitere Herausforderung ist die Bef\u00fcrchtung, dass externe Spezialisten einen Bug \u00f6ffentlich machen, bevor dieser behoben wurde. Dies kann jedoch durch den Einsatz einer etablierten Bug Bounty-Plattform eines Drittanbieters vermieden werden, die eine enge Beziehung zu den Hackern hat, mit denen sie zusammenarbeiten. Zudem stellen klare Richtlinien, an die sich Hacker halten m\u00fcssen, eine weitere Sicherheit dar.<\/p>\n<p><strong>Die Unterschiede zwischen einem internen Bug Bounty-Programm und einem ausgelagerten: Vor- und Nachteile, \u00dcberlegungen? <\/strong><\/p>\n<p>Das Outsourcing eines Bug Bounty-Programms erm\u00f6glicht es Unternehmen, die Vorteile einer etablierten Community zu nutzen, anstatt sie von Grund auf neu aufzubauen. Dar\u00fcber hinaus sind selbst initiierte Programme aufgrund der internen Prozesse, die dazu entwickelt werden m\u00fcssten, schwierig zu gestalten. H\u00e4ufig wird dies versucht, indem ein E-Mail-Alias erstellt wird. Dies ist zwar ein guter erster Schritt, bei der zu erwartenden Menge an Reports wird aber ein E-Mail-Posteingang wahrscheinlich schnell \u00fcberlastet und somit ineffektiv sein.<\/p>\n<p><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Andre-SSRF-Shopify.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-13619\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Andre-SSRF-Shopify.png\" alt=\"\" width=\"750\" height=\"528\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Andre-SSRF-Shopify.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/11\/Andre-SSRF-Shopify-300x211.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/a><\/p>\n<p><strong>Woher wei\u00df ein Unternehmen, ob es f\u00fcr ein Bug Bounty-Programm gut aufgestellt ist? Welche \u00dcberlegungen sind vor Beginn des Programms zu ber\u00fccksichtigen? <\/strong><\/p>\n<p>Bevor ein Bug Bounty-Programm durchgef\u00fchrt wird, sollte ein Unternehmen zuerst folgende \u00dcberlegungen in Betracht ziehen:<\/p>\n<ul>\n<li>Finden wir die richtige Balance zwischen der Suche von Schwachstellen und deren Behebung?<\/li>\n<li>Haben wir ein effizientes und bew\u00e4hrtes Verfahren zur Behebung von Schwachstellen etabliert?<\/li>\n<li>Brauchen wir weitere Ressourcen, um L\u00fccken im Sicherheitssystem des Unternehmens identifizieren zu k\u00f6nnen?<\/li>\n<\/ul>\n<p>Wenn diese Fragen mit \u201eJa\u201c beantwortet wurden, ist es vielleicht an der Zeit, \u00fcber ein Bug Bounty-Programm nachzudenken. Als eine der f\u00fchrenden Plattformen f\u00fcr Bug Bounties und Vulnerability Disclosure und einer bestehenden Community von mehr als 200.000 Hackern, stellt HackerOne derzeit mehr als 1.000 Kunden weltweit seine Expertise bei der Auffindung und Behebung von Schwachstellen zur Seite.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autor\/Redakteur: Laurie Mercer, L\u00f6sungsingenieur bei HackerOne\/gg Bug Bounty Programme bieten Unternehmen eine Vielzahl von Vorteilen. Sie k\u00f6nnen dabei qualifizierte Cybersicherheitsexperten<\/p>\n","protected":false},"author":1,"featured_media":13618,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11872,5409,11873,11874,10369,36],"class_list":["post-13617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bounty","tag-bug","tag-bug-bounty-program","tag-hackerone","tag-praemie","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13617"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13617\/revisions"}],"predecessor-version":[{"id":13729,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13617\/revisions\/13729"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/13618"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}