Thought Leadership
HackerOne, eine Plattform für Bug-Bounties und Cybersecurity, gab heute die Ergebnisse des Hacker-Powered Security Reports 2018 bekannt. Der Bericht zeigt, dass Organisationen 27.000 Sicherheitslücken behoben und Hacker 11,7 Millionen US-Dollar in den letzten 12 Monaten erwirtschaftet haben.
Dieser Bericht basiert auf über 72.000 behobenen Sicherheitslücken, über 1.000 Kundenprogrammen und mehr als 31 Millionen US-Dollar Prämien für Hacker aus über 100 Ländern. Dieser Jahresreport ist eine Benchmark-Studie zu Bug Bounties und Vulnerability Disclosure, der auf dem größten verfügbaren Datensatz für entdeckte Schwachstellen oder Sicherheitslücken basiert.
Durch Hacker werden immer öfter kritische Schwachstellen entdeckt als je zuvor. Die Gesamtzahl der hochkritischen oder kritischen Schwachstellen stieg im Jahr 2017 um 22 Prozent. Darüber hinaus wurden 24 Prozent der behobenen Schwachstellen branchenübergreifend als kritisch bis hochkritisch eingestuft. Infolgedessen steigen die Prämien für Bug-Reports mit besonders hohem Schweregrad. Die höchste Prämie für einen einzelnen Report betrug im vergangenen Jahr 75.000 US-Dollar. Die größten Anbieter wie Google, Microsoft und Intel bieten 250.000 Dollar Prämien für kritische Sicherheitslücken. Inzwischen treten dabei Falschmeldungen immer seltener auf: über 80 Prozent der eingereichten und qualifizierten Reports sind zutreffend.
„Crowdsourced Security Testing setzt sich immer stärker durch, und es wird erwartet, dass dies von Kunden immer schneller und auf breiter Basis akzeptiert wird”, berichtet Gartner. Besonders Regierungen sind dabei weltweit führend. Im Regierungssektor gab es eine 125-prozentige Steigerung gegenüber dem Vorjahr. Neue Aufträge kamen u.a. von der Europäischen Kommission und dem Verteidigungsministerium von Singapur, die damit wie das US-Verteidigungsministerium mit HackerOne aktiv sind. Offizielle Ausschreibungen wie Hack the Department of Homeland Security Act, Hack Your State Department Act, Prevent Election Voting Act und das Department of Justice Vulnerability Disclosure Framework zeigen, wie weitgehend der öffentliche Sektor bereits auf Hacker-Powered Security Programme zurückgreift.
Aber auch Branchen jenseits des Technologiemarktes setzen immer stärker auf Hacker-Powered Security Lösungen. Der Konsumgüter-Bereich, Finanzdienstleistungen und Versicherungen, Behörden und Telekommunikation machen heute 43 Prozent der Bug-Bounty-Programme aus. Die Automotive-Programme stiegen im vergangenen Jahr um 50 Prozent und die Telekommunikationsprogramme um 71 Prozent. Unternehmen aller Branchen verzeichneten im Jahresvergleich einen Anstieg der VDP-Einführung um 54 Prozent. Dennoch sind viele große Unternehmen nach wie vor mit Hinblick auf eine effektive Identifizierung, Kommunikation, Behebung und Offenlegung von Schwachstellen weitestgehend unvorbereitet. 93 Prozent der Forbes Global 2000-Liste von 2017 haben keine Richtlinien dafür, wie sie mit kritischen Bug Reports von Drittanbietern umgehen oder darauf reagieren können.
„Die Weltwirtschaft öffnet sich der hoch qualifizierten und kreativen Hacker-Community, um Cyber-Risiken zu reduzieren”, sagt Marten Mickos, CEO von HackerOne. „Ein Modell, das einst nur den größten und technologisch fortschrittlichsten Unternehmen vorbehalten war, wird heute von Organisationen jeder Größe und Branche überall auf der Welt eingesetzt. Hacker-Powered Security erhält damit einen großen Stellenwert, durch die das Internet insgesamt sicherer wird.”
Der aussagekräftigste Report über das von Hackern betriebene Sicherheits-Ökosystem
Der Hacker-Powered Security Report 2018 greift auf Daten von über 1.000 Bug Bounty- und Vulnerability Disclosure-Programmen auf der ganzen Welt zurück. Der Report enthält eine Analyse von nahezu 72.000 behobenen Schwachstellen sowie Einblicke aus der HackerOne-Community mit über 200.000 registrierten Hackern. HackerOne analysierte dazu auch VDP-Daten aus dem Forbes Global 2000, um den Umgang mit Hacker-Powered Security besser zu verstehen.
Weitere Informationen:
Der vollständige Bericht ist hier abrufbar.
www.hackerone.com
