1983 rief das Technologieunternehmen Hunter & Ready die erste als Bug Bounty verstehbare Initiative ins Leben. In einer cleveren Marketingkampagne mit Wortspiel wurde jeder Person, die einen Bug im hauseigenen Betriebssystem VRTX (Versatile Real-Time Executive) findet, ein Volkswagen Käfer versprochen. Wer einen Software-Bug fand, konnte also seinen eigenen Käfer (Bug) erhalten.
Die Anzeige lautete: „Es gibt jedoch einen Haken. Da VRTX das einzige Mikroprozessor-Betriebssystem ist, das vollständig mit Silikon versiegelt ist, wird es nicht einfach sein, einen Bug zu finden.“
Hunter & Ready erhielten an diesem Tag ihre erste Lektion in Sachen Crowdsourced Security: Unterschätze niemals die Power der Gemeinschaft! Insgesamt wurden sieben Bugs in dem System gefunden. Die Hacker entschieden sich jedoch für die Geldprämie, nicht für das Auto.
Crowdsourced Security
Damit war der Startschuss für einen neuen Ansatz bei Sicherheitstests gefallen. Heute verdienen ethische Hacker und Hackerinnen auf der ganzen Welt durch Bug Bountys genug Geld, um davon leben zu können. Laut Intigritis Ethical Hacker Insights Report 2022 erwägen 66 Prozent der Befragten, sich in Vollzeit dem ethischen Hacking zu widmen.
Crowdsourced Security hat sich seit den Tagen interner Bug Bountys rasant weiterentwickelt. Die „Power der Gemeinschaft“ lässt sich heute auf verschiedene Weise nutzen. Es gibt zahlreiche Lösungen, die den unterschiedlichen Anforderungen gerecht werden.
Dabei gelten drei Schlüsselfaktoren, die hilfreich sind, um sich für die geeignete Crowdsourcing-Lösung zu entscheiden: Zeit, Budget und der Zugang zur Community.
Jede Lösung bietet Vorteile bei mindestens zwei der Schlüsselfaktoren. Werfen wir einen genaueren Blick auf die vorhandenen Möglichkeiten.
Crowdsourced Security hat sich immens weiterentwickelt und bietet mittlerweile passende Lösungen für jeden Anspruch.
Stijn Jans
Private und öffentliche Bug-Bounty-Programme
Während öffentliche Bug Bountys möglicherweise die bekannteste Lösung in Sachen Crowdsourced Security darstellen, sind sie nicht für alle Unternehmen gleich gut geeignet. Für Start-ups, die noch am Beginn ihrer Sicherheitsreise stehen, könnte ein öffentliches Bounty-Programm zum Beispiel zu viel Aufmerksamkeit erregen.
Hier kommen private Bug-Bounty-Programme zum Zuge. Die gezielte Auswahl bestimmter Sicherheitsexperten und -expertinnen bietet mehr Kontrolle. Private Programme eignen sich hervorragend, um mit ethischem Hacking zu starten oder neuere Assets zu testen.
Egal, ob man sich für eine öffentliche oder private Lösung entscheidet, Bug-Bounty-Programme sind heutzutage individuell anpassbar. Der Umfang, das Budget und die Sichtbarkeit lassen sich auf die jeweiligen Bedürfnisse abstimmen.
Zudem sind Bug Bountys sehr kosteneffizient und daher auch für kleinere Budgets eine geeignete Lösung. Während sie zwar länger als Penetrationstests brauchen, um Ergebnisse zu liefern, profitieren die Assets von der Überprüfung durch eine Vielzahl an HackerInnen innerhalb der Gemeinschaft.
Penetrationstests als Service
Generell haben sich Penetrationstests gewissermaßen als separate Lösung zu Bug Bountys etabliert. Ein Pentest ist eine zeitlich begrenzte, simulierte Attacke auf ein Asset, bei dem häufig eine bestimmte Methode verwendet wird.
Beim Bug-Bounty-Programm handelt es sich hingegen um einen kontinuierlichen Prozess, bei dem Schwachstellen über einen längeren Zeitraum hinweg gemeldet werden. Ein Pentest wird zwar schneller durchgeführt, bietet jedoch nur eine Momentaufnahme eines bestimmten Assets zu einer bestimmten Zeit.
Angelehnt an das allgegenwärtige „Software as a Service“-Modell (SaaS), liefert Pentesting as a Service (PTaaS) skalierbare und kosteneffiziente Pentests, die den administrativen Aufwand reduzieren und Schwachstellenmeldungen in einem zentralisierten Portal bieten.
Einige Bug-Bounty-Plattformen bieten mittlerweile erweiterte PTaaS-Services an, die auf den Fähigkeiten der Experten und Expertinnen innerhalb ihrer Gemeinschaft basieren – so auch Intigritis hybrides Pentesting.
Um auf die drei Schlüsselfaktoren zurückzukommen: PTaaS ist sinnvoll, wenn man schnelle Resultate braucht, aber nur ein begrenztes Budget hat. Im Gegensatz zu öffentlichen Bounty-Programmen wird nicht auf die gesamte Gemeinschaft zurückgegriffen. Da der Umfang meist geringer ist und sehr spezifische Methoden notwendig sind, bietet eine große Gemeinschaft den geeigneten Pool, um spezialisierte Hacker oder Hackerinnen zu finden, die die gewünschten Fähigkeiten mitbringen.
Live-Hacking-Events
Eine weitere Lösung sind Live-Hacking-Events. Sie eignen sich besonders für alle, die eine tiefgehende Sicherheitsüberprüfung benötigen, die schnell Ergebnisse liefern muss.
In diesem Fall treffen sich ausgewählte HackerInnen zu dem Event und arbeiten gemeinsam an Angriffsstrategien. Innerhalb dieser intensiven Testperiode können zahlreiche Schwachstellenmeldungen generiert werden. Außerdem demonstrieren Unternehmen damit, dass sie eine progressive Haltung gegenüber ihrer Sicherheit einnehmen. Da der Schwerpunkt auf der Schnelligkeit liegt und die besten HackerInnen zum Einsatz kommen, sind diese Events jedoch meist kostspieliger als die anderen Lösungen.
Crowdsourced Security hat sich immens weiterentwickelt und bietet mittlerweile passende Lösungen für jeden Anspruch. Cyberkriminelle greifen auf alle möglichen Strategien zurück, was zu stetig steigenden Bedrohungen führt.
Der Einsatz ethischer HackerInnen bietet dank zahlreicher verfügbarer Lösungen eine hervorragende Möglichkeit, diesen Bedrohungen einen Schritt voraus zu sein. Unternehmen, die gerade ihr Sicherheitsbudget für das nächste Jahr planen, seien die Worte von Espen Johansen, Security Director der Softwarefirma Visma, ans Herz gelegt: 1 Dollar Investition in ein Bug-Bounty-Programm bedeutet 10–100 Dollar Ersparnis zu einem späteren Zeitpunkt.