Bug-Bounty-Programme statt Penetrationstests

In den zurückliegenden Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und gewartet wird, radikal verändert. Immer schneller aufeinander folgende IT-System-Releases führen zu einer Vielzahl neuer Angriffspunkte. Chief Information Security Officer (CISOs) stehen vor einer großen Herausforderung. Sie müssen ihre Prüfmechanismen an diese neue, dynamischere IT-Entwicklung anpassen, können dafür meist aber kein zusätzliches Personal einstellen, um Schwachstellen zu entdecken und zu beheben.

Bug-Bounty-Programme bringen mehr Agilität, Flexibilität und Effizienz in die Schwachstellenprüfung. Rayna Stamboliyska, VP Governance and Public Affairs bei YesWeHack, zeigt sechs Vorteile auf, die Bug Bounty im Gegensatz zu Pentesting bietet.

1. Effizienz dank Crowdsourcing

Bug Bounty, also ein "Kopfgeld" für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von White Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle je nach Schwere des Bugs und der Qualität des Berichts belohnt. Unternehmen profitieren dabei von der "Crowd-Power": Anstelle eines generischen Pentesters sucht eine Gemeinschaft von White Hackern mit spezifischen Kompetenzen nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Quantität, Qualität, Relevanz und Vielfältigkeit der aufgedeckten Schwachstellen.

2. Flexibilität und Skalierbarkeit

Im Gegensatz zu Pentests finden Bug-Bounty-Programme nicht in einem beschränkten Zeitraum, zum Beispiel einmal im Jahr, statt. Bug-Bounty-Programme können jederzeit gestartet, ausgesetzt oder gestoppt werden – und so über das ganze Jahr hinweg kontinuierlich, zum Beispiel nach Systemupdates oder jedem neuen Release, Feedback zu möglichen Schwachstellen geben. Hunter können sich dabei ohne Druck Zeit nehmen, um komplexe und tief eingebettete Schwachstellen aufzuspüren und einen detaillierten Bericht zu verfassen. Ein weiterer Vorteil von Bug-Bounty: Während bei einem Pentest der Testumfang im Vorhinein festgelegt wird, können Bug-Bounty-Programme jederzeit aktualisiert und verfeinert und damit auf neue Anforderungen im Unternehmen angepasst werden.

3. Automatisierung

Bug Bounty ermöglicht zudem automatisierte Prozesse. Während man bei Penetrationstests oftmals ein statisches Dokument (zum Beispiel ein PDF) als Ergebnis erhält, übermitteln Hunter bei Bug Bounty ihre Berichte auf standardisierte Weise direkt über die Plattform. Erhält der Reportmanager auf Kundenseite diese Berichte, aktualisiert und prüft er die Informationen. Das Ergebnis sind sowohl strukturierte als auch validierte Daten. Diese können dann über ein Ticketing-System direkt in die Arbeitsprozesse und den Workflow eines Unternehmens integriert werden. Aufgaben, die sonst manuell ausgeführt werden müssten, werden so automatisiert. Wertvolle Zeit wird eingespart.

4. Kosteneffizienz

Für Bug Bounty spricht auch die Kosteneffizienz. Bezahlt wird nach dem Leistungsprinzip: Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben und entdeckt haben wollen. Unternehmen zahlen also nur für Ergebnisse, die sich nach ihren Prioritäten richten – und nicht schon für die Testleistung. Darüber hinaus wird nur der Hunter belohnt, der den ersten gültigen Bericht eingereicht hat. Die Vergütung richtet sich dabei nach einem für jedes ausgeschriebene Programm vordefinierten Raster: Der Schweregrad der Schwachstelle bestimmt die Höhe des Lohns.

5. Team Empowerment

Bug-Bounty-Programme führen außerdem zu einer höheren Security Awareness und besseren Security Kompetenzen direkt in der Organisation. Über eine Plattform wie YesWeHack können IT-Entwickler eines Unternehmens direkt mit den Huntern, die eine Sicherheitslücke gefunden haben, kommunizieren und sich austauschen. Diese Interaktion schafft zum einen ein höheres Sicherheitsbewusstsein, ermöglicht zum anderen aber auch einen Transfer von Wissen und Kompetenzen zwischen Huntern und Entwicklern. So können direkt im Unternehmen Fortschritte im Bereich Security erzielt werden.

6. Vertrauen

Mit Transparenz sorgen öffentliche Bug-Bounty-Programme zudem für Vertrauen bei Kunden. Sie zeigen, dass sich ein Unternehmen für seine IT-Sicherheit engagiert – über konventionelle Sicherheitslösungen hinaus. Unternehmen können damit werben, dass sie nicht nur jährliche, halbjährliche oder periodische Sicherheitstests durchführen, sondern mit Bug Bounty kontinuierlich nach möglichen Schwachstellen suchen, um diese zu beheben.