Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Interview

Bug-Bounty-Programme: „Vertraut nicht nur auf eure eigene Qualitätssicherung“

Martin Heiland, Head of Quality Assurance bei Open-Xchange (Bild: Open-Xchange)

Bei der Softwareentwicklung auf externe Tippgeber zu setzen, kann auch für kleine Unternehmen eine gute Idee sein. Open-Xchange setzt seit zwei Jahren auf diese Bug-Bounty-Strategie und erklärt im Interview, warum.

Qualitätssicherung in der Programmierung ist ein aufwendiger und teurer Prozess. Es geht dabei um Wahrscheinlichkeiten, die Risiken, dass eine Sicherheitslücke für negative Schlagzeilen sorgt – und nicht zuletzt um Kosten. Der Open-Source-Software-Anbieter Open-Xchange geht dabei einen für Mittelständler ungewöhnlichen Weg: Er setzt neben dem internen Team beim Testing und bei der Fehlersuche in Programm-Code auch auf externe Tester, die im Rahmen eines Bug-Bounty-Programms für das Finden von Sicherheitslücken fallweise entlohnt werden.

Wie das geht und welche Erfahrungen das Unternehmen mit dieser sonst eher bei Großkonzernen bekannten Strategie gemacht hat, erklärt Martin Heiland, bei Open-Xchange zuständig für die Qualitätssicherung in der Softwareentwicklung.

t3n: Was bringt euch ein externes Bug-Bounty-Programm?

Martin Heiland: Wir investieren natürlich bereits eine Menge Aufwand, um Programmfehler intern zu vermeiden und zu finden. Die gängigen funktionalen Probleme finden wir auch selbst, aber wir haben gemerkt, dass es sich gerade im Bereich Security lohnt, auf externes Know-how zu setzen. Dabei kommt es nicht nur auf die Kompetenz der einzelnen Fehlersucher an, sondern auch darauf, möglichst viele Personen mit möglichst unterschiedlichen Blickwinkeln und Kenntnissen einbinden zu können. Unser Ziel ist es, Sicherheitslücken zu finden, bevor diese in der Öffentlichkeit kursieren und Schaden anrichten können. Für unsere Kunden wäre eine kritische Sicherheitslücke ein absoluter GAU.

t3n: Nun seid ihr ja bei Weitem nicht die Einzigen, die so nach Fehlern suchen. Was ist euer Alleinstellungsmerkmal, warum unterstützen euch die Programmierer und Security-Experten?

Wenn man mal schaut, wer solche Bug-Bounty-Programme betreibt, dann sind das oftmals die großen Internetkonzerne – Namen wie Facebook, Spotify, Uber, die natürlich mit deutlich mehr Mitteln ausgestattet sind als wir. Wir sind dagegen als deutscher Mittelständler etwas anders aufgestellt und profitieren davon, wenn Teilnehmer sich bereits mit Sicherheitslücken bei anderen Unternehmen auskennen. Umgekehrt ist für den Experten bei uns vielleicht auch nicht die Luft so dünn wie bei den Facebooks und Microsofts dieser Welt, wo die Konkurrenz in den Bug-Bounty-Programmen sicherlich härter ist. Hinzu kommt, dass viele Entwickler uns als Open-Source-Company bereits Vorschusslorbeeren entgegenbringen und uns gegenüber wohlgesonnen sind – das ist das Schöne im Open-Source-Umfeld. Deshalb kam auch schon ohne das Bug-Bounty-Programm viel sicherheitsrelevantes Feedback von Experten, die direkt an uns herangetreten sind. Davon abgesehen gibt es natürlich auch Studenten und Absolventen, für die das nicht nur eine Form der Wertschätzung ist, sondern auch ein Aushängeschild in beruflicher Hinsicht.

t3n: Wie viel habt ihr da schon ausgezahlt?

Rund 80.000 US-Dollar haben wir an Bug-Bounty-Prämien in den letzten zwei Jahren ausgezahlt. Das ist kein riesiger Betrag, aber für uns auch nicht ganz wenig. Wir haben die Erfahrung gemacht, dass unsere Sicherheitslücken-Melder gar keine Lust darauf haben, ihr Wissen an Blackhat-Hacker weiterzugeben, sondern einfach nur Wertschätzung und eine faire Bezahlung ihres Aufwands erwarten. Ein Großteil der Anwender, die über das relevante Wissen verfügen, sind sich ohnehin bewusst, dass es langfristig kein tragfähiges Geschäftsmodell ist, solches Wissen im Darknet zu verkaufen.

t3n: Wie bewertet ihr Bugs und woraus berechnet sich der Gegenwert, den ihr bezahlt?

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.