Bug-Bounty-Programme: „Vertraut nicht nur auf eure eigene Qualitätssicherung“

Qualitätssicherung in der Programmierung ist ein aufwendiger und teurer Prozess. Es geht dabei um Wahrscheinlichkeiten, die Risiken, dass eine Sicherheitslücke für negative Schlagzeilen sorgt – und nicht zuletzt um Kosten. Der Open-Source-Software-Anbieter Open-Xchange geht dabei einen für Mittelständler ungewöhnlichen Weg: Er setzt neben dem internen Team beim Testing und bei der Fehlersuche in Programm-Code auch auf externe Tester, die im Rahmen eines Bug-Bounty-Programms für das Finden von Sicherheitslücken fallweise entlohnt werden.
Wie das geht und welche Erfahrungen das Unternehmen mit dieser sonst eher bei Großkonzernen bekannten Strategie gemacht hat, erklärt Martin Heiland, bei Open-Xchange zuständig für die Qualitätssicherung in der Softwareentwicklung.
t3n: Was bringt euch ein externes Bug-Bounty-Programm?
Martin Heiland: Wir investieren natürlich bereits eine Menge Aufwand, um Programmfehler intern zu vermeiden und zu finden. Die gängigen funktionalen Probleme finden wir auch selbst, aber wir haben gemerkt, dass es sich gerade im Bereich Security lohnt, auf externes Know-how zu setzen. Dabei kommt es nicht nur auf die Kompetenz der einzelnen Fehlersucher an, sondern auch darauf, möglichst viele Personen mit möglichst unterschiedlichen Blickwinkeln und Kenntnissen einbinden zu können. Unser Ziel ist es, Sicherheitslücken zu finden, bevor diese in der Öffentlichkeit kursieren und Schaden anrichten können. Für unsere Kunden wäre eine kritische Sicherheitslücke ein absoluter GAU.
t3n: Nun seid ihr ja bei Weitem nicht die Einzigen, die so nach Fehlern suchen. Was ist euer Alleinstellungsmerkmal, warum unterstützen euch die Programmierer und Security-Experten?
Wenn man mal schaut, wer solche Bug-Bounty-Programme betreibt, dann sind das oftmals die großen Internetkonzerne – Namen wie Facebook, Spotify, Uber, die natürlich mit deutlich mehr Mitteln ausgestattet sind als wir. Wir sind dagegen als deutscher Mittelständler etwas anders aufgestellt und profitieren davon, wenn Teilnehmer sich bereits mit Sicherheitslücken bei anderen Unternehmen auskennen. Umgekehrt ist für den Experten bei uns vielleicht auch nicht die Luft so dünn wie bei den Facebooks und Microsofts dieser Welt, wo die Konkurrenz in den Bug-Bounty-Programmen sicherlich härter ist. Hinzu kommt, dass viele Entwickler uns als Open-Source-Company bereits Vorschusslorbeeren entgegenbringen und uns gegenüber wohlgesonnen sind – das ist das Schöne im Open-Source-Umfeld. Deshalb kam auch schon ohne das Bug-Bounty-Programm viel sicherheitsrelevantes Feedback von Experten, die direkt an uns herangetreten sind. Davon abgesehen gibt es natürlich auch Studenten und Absolventen, für die das nicht nur eine Form der Wertschätzung ist, sondern auch ein Aushängeschild in beruflicher Hinsicht.
t3n: Wie viel habt ihr da schon ausgezahlt?
Rund 80.000 US-Dollar haben wir an Bug-Bounty-Prämien in den letzten zwei Jahren ausgezahlt. Das ist kein riesiger Betrag, aber für uns auch nicht ganz wenig. Wir haben die Erfahrung gemacht, dass unsere Sicherheitslücken-Melder gar keine Lust darauf haben, ihr Wissen an Blackhat-Hacker weiterzugeben, sondern einfach nur Wertschätzung und eine faire Bezahlung ihres Aufwands erwarten. Ein Großteil der Anwender, die über das relevante Wissen verfügen, sind sich ohnehin bewusst, dass es langfristig kein tragfähiges Geschäftsmodell ist, solches Wissen im Darknet zu verkaufen.
t3n: Wie bewertet ihr Bugs und woraus berechnet sich der Gegenwert, den ihr bezahlt?
Martin Heiland: Wir nutzen CVSS als Standard, um eine objektive Bewertung zu erreichen, die sich daran orientiert, wie gravierend Sicherheitslücken sind. Die Skala reicht von null bis zehn, wobei zehn die Sicherheitsprobleme von höchster Tragweite sind. Die Reports, die wir bekommen, bewerten wir auf der Basis ihres Risikos, also Eintrittswahrscheinlichkeit und Schwere der potenziellen Auswirkung. Auf Basis dieser Bewertung errechnen wir die tatsächliche Vergütung, die exponentiell mit der Bewertung steigt. Ziel ist es dabei, zu einem fairen Gegenwert zu kommen, der dem Aufwand für den Tester und dem Wert für uns gerecht wird. Ein Problem mit einer CVSS-Bewertung von zehn bringt eine mittlere vierstellige Summe, während wir für weniger gravierende Probleme einen dreistelligen Betrag zahlen. Der Schnitt liegt bei rund 600 Euro.
Das ist in manchen Fällen dann aber auch Zweitverwertung für den Tester. Denn unter Umständen findet er auch bei uns eine Sicherheitslücke, die er bei einem anderen Hersteller bereits entdeckt hat. Die kann er dann bei uns auch ausprobieren und sich mit überschaubarem Aufwand vergüten lassen. Darüber hinaus wenden wir eine Methode an, um Leute zu ermitteln, die relativ viel auf Verdacht und solche, die Substanzielles berichten und versuchen natürlich, die wertvollen Tippgeber zu ermuntern, mehr für uns zu machen.
t3n: Eure Bug-Bounty-Programme laufen jetzt seit zwei Jahren, ihr habt also schon einige Erfahrungen gesammelt. Welche Tipps kannst du anderen kleineren Unternehmen und Startups geben, wenn sie auch mit dem Gedanken spielen, ein solches Reward-Programm aufzusetzen? Gab’s auch Dinge, die ihr unterschätzt habt?
Es ist extrem hilfreich, ein solches Thema von der Tabuschiene wegzubekommen. Jeder weiß, dass es Programmfehler gibt, aber kaum ein Unternehmen spricht gerne darüber. Eigene Offenheit und offensive Herangehensweise ist hier der vernünftige Weg. „Security by Obscurity“ funktioniert in der heutigen Welt extrem schlecht.
Was wir etwas unterschätzt haben, ist der Arbeitsaufwand, der mit einem Bug-Bounty-Programm verbunden ist: Insbesondere rund um die einschlägigen IT-Security-Konferenzen gegen Ende des Jahres bekommen die Software-Tester offenbar Lust, nach Sicherheitslücken zu suchen. Gerade im ersten Jahr weiß man nicht genau, in welchem Umfang hier Input kommen wird. Das betrifft weniger die Frage des auszuzahlenden Geldes, sondern den damit verbundenen Aufwand. Wir wollen da ja auch nicht einfach nur den Azubi dransetzen, der die gemeldeten Lücken bearbeitet. Das funktioniert fachlich und organisatorisch nicht gut und da verschafft man sich eher einen schlechten Ruf in der Branche. Teilnehmer des Programms honorieren respektvollen Umgang, unkomplizierte Bearbeitung und schnelle Lösungswege. Auch wenn wir hier mit Unbekannten zusammenarbeiten, hatten wir noch nie die Situation, dass eine gefundene Lücke für uns unerwartet veröffentlicht wurde. Und damit sind wir noch bei einem weiteren Punkt: Vertraut nicht nur auf eure eigenen Ressourcen in der Qualitätssicherung, sondern profitiert davon, dass andere Leute mit einer anderen Perspektive auf eure Software schauen können und Fehler finden, die ihr so nicht findet. Ein professionelles Bug-Bounty-Programm ist absolut hilfreich, um bei administrativen Aufgaben zu entlasten und sofort eine große Reichweite zu erhalten – wir setzen dabei auf die Plattform Hacker One.
t3n: Rechnet sich das eigentlich im Vergleich zu anderen Strategien der Fehlersuche oder ist es eher als Ergänzung zu verstehen?
Was sind die Alternativen? Die Leute schauen sich unsere und andere Software doch sowieso in Bezug auf Sicherheitslücken an, unabhängig davon ob der Quellcode verfügbar ist oder nicht. Wenn man das weder aktiv begleitet noch Möglichkeiten bietet, es zu melden, kann das eine ungesunde Dynamik entwickeln. Sobald eine Sicherheitslücke ausgenutzt und in der Öffentlichkeit diskutiert wird, ist der Imageschaden schnell höher als die Kosten für die Suche und rechtzeitige Behebung. Für uns gehört das Bug-Bounty-Programm ebenso wie professionelle Penetration-Tests, Code-Reviews und Security-Audits zu einer umfassenden Sicherheitsstrategie, wobei das Bug-Bounty-Programm durch seine Diversität und ständige Aktivität sicher die meisten Sicherheitslücken ans Licht bringt. Wichtig ist für uns aber auch, aus den Fehlern zu lernen, sie nur einmal zu machen und Mitarbeiter weiter zu bilden. Deswegen gehören da auch Schulungsmaßnahmen dazu.