Ein Bug-Bounty-Programm auflegen – aber wie?

Das Vorgehen hilft Unternehmen dabei Probleme zu erkennen und Schwachstellen aufzudecken, ehe es andere, nicht ganz so wohlmeinende Akteure tun. Bug-Bounty-Programme sind anerkannt und werden explizit empfohlen. Viele Firmen sind interessiert, wissen aber oft nicht wie sie am besten starten sollten. HackerOne hat vier grundlegende Voraussetzungen für ein erfolgreiches Bug-Bounty-Programm zusammengestellt:

Es ist durchaus möglich ein Bug-Bounty-Programm intern zu konzipieren und durchzuführen. Das ist allerdings einigermaßen aufwendig. Über eine Bug-Bounty-Plattform ist es deutlich einfacher, den Status der Berichte nachzuverfolgen, Zahlungen zu verarbeiten und Beziehungen zu Hackern aufzubauen und zu pflegen. Unternehmen haben in den seltensten Fällen ausreichende Ressourcen um die schiere Menge der eingehenden Schwachstellenberichte zu bewältigen. Eine gängige Lösung und ein guter erster Schritt ist ein einfacher E-Mail-Alias. Wenn Sie allerdings ausreichende Anreize für Sicherheitsexperten schaffen um sich bei Ihrem Bug-Bounty-Programm zu engagieren, dann trudeln wahrscheinlich sehr schnell wesentlich mehr Vulnerability Reports ein als Sie bewältigen können. Ein extern verwaltetes Programm vereinfacht die Arbeit interner Teams. Über ein ausgelagertes Bug-Bounty-Programm greift ein Unternehmen direkt auf eine etablierte Hacker-Community zu, anstatt solche Beziehungen erst mühsam neu aufbauen zu müssen.

Wenn Sie sich entschieden haben, ein Bug-Bounty-Programm zu starten, sollte das gesamte Unternehmen informiert sein, dass Sie Schwachstellenberichte von außerhalb annehmen. Das gewährleistet, dass jeder den nachfolgenden Prozess versteht, wenn ein Bug gemeldet wird. Insbesondere die Sicherheits- und Entwicklungsteams tragen in dieser Hinsicht eine hohe Verantwortung. Das jeweilige Unternehmen muss einem klar definierten Prozess folgen, wenn Schwachstellenberichte eintreffe. Jedes Teammitglied muss seine Aufgabe kennen und wissen wie jetzt verfahren werden sollte. Das schließt ein, die Rolle der Sicherheitsexperten, der Hacker, entsprechend intern zu kommunizieren. Erläutern Sie, dass jeder durch das Programm identifizierte Bug aktiv ist. Und glücklicherweise ein ethischer Hacker die Initiative ergriffen hat, diesen zu melden.

Ein böswilliger Angreifer wäre folglich ebenso in der Lage die betreffende Schwachstelle zu finden. Das Szenario erhöht nicht selten die Motivation eine Schwachstelle tatsächlich so schnell wie möglich zu beheben.

Bevor Sie irgendetwas anderes tun, blocken Sie ausreichende Ressourcen. Bestimmen Sie ausdrücklich einen „Bug Bounty Leader“ (BBL). Diese Person ist der Kopf und verantwortliche Experte für die geplante Bug-Bounty-Initiative. Der BBL ist für den Erfolg des Programms verantwortlich, aber nicht allein. Sobald sie jemanden ausgewählt haben, braucht er oder sie ein Bug-Bounty-Team (BBT) um das laufende Programm umzusetzen. In der Regel rekrutiert sich das BBT aus Beschäftigten der IT-Sicherheit. Aber es besteht kein Grund, nicht auch andere sicherheitsaffine Mitarbeiter und Mitarbeiterinnen mit einzubeziehen.

Die angemessene Höhe der Bounties zählt ebenfalls zu den natürlichen Erfolgsfaktoren eines Programms. Schweregrad und potenzielle Auswirkungen der Schwachstellen sollten ebenso berücksichtigt werden wie der geschätzte Zeitaufwand für die Ermittlung. Um angemessene Prämien zu berechnen, dürfen und sollten Firmen sogar auf andere Unternehmen schielen. Sonst lässt sich kaum feststellen, ob die Höhe der Bounties wettbewerbsfähig ist. Bug Bounties sollten zudem klar definiert und strukturiert sein, damit Hacker Art und Umfang der Prämien verstehen, die sie potenziell erhalten. Auch die Zahlungsmoral eines Unternehmens spielt eine wichtige Rolle. Hacker müssen pünktlich bezahlt werden. Eine gute Zahlungsmoral wirkt sich auf Ihren Ruf in zwei Gruppen aus: Hacker, mit denen Sie jetzt arbeiten, und Hacker, mit denen Sie in Zukunft zusammenarbeiten. Schnelle Zahlungen verbessern die Reputation eines Unternehmens in beiden Gruppen.

http://Hackerone.com