Interview

Bug-Bounty-Programme: „Vertraut nicht nur auf eure eigene Qualitätssicherung“

Martin Heiland, Head of Quality Assurance bei Open-Xchange (Bild: Open-Xchange)

Bei der Softwareentwicklung auf externe Tippgeber zu setzen, kann auch für kleine Unternehmen eine gute Idee sein. Open-Xchange setzt seit zwei Jahren auf diese Bug-Bounty-Strategie und erklärt im Interview, warum.

Qualitätssicherung in der Programmierung ist ein aufwendiger und teurer Prozess. Es geht dabei um Wahrscheinlichkeiten, die Risiken, dass eine Sicherheitslücke für negative Schlagzeilen sorgt – und nicht zuletzt um Kosten. Der Open-Source-Software-Anbieter Open-Xchange geht dabei einen für Mittelständler ungewöhnlichen Weg: Er setzt neben dem internen Team beim Testing und bei der Fehlersuche in Programm-Code auch auf externe Tester, die im Rahmen eines Bug-Bounty-Programms für das Finden von Sicherheitslücken fallweise entlohnt werden.

Wie das geht und welche Erfahrungen das Unternehmen mit dieser sonst eher bei Großkonzernen bekannten Strategie gemacht hat, erklärt Martin Heiland, bei Open-Xchange zuständig für die Qualitätssicherung in der Softwareentwicklung.

t3n: Was bringt euch ein externes Bug-Bounty-Programm?

Martin Heiland: Wir investieren natürlich bereits eine Menge Aufwand, um Programmfehler intern zu vermeiden und zu finden. Die gängigen funktionalen Probleme finden wir auch selbst, aber wir haben gemerkt, dass es sich gerade im Bereich Security lohnt, auf externes Know-how zu setzen. Dabei kommt es nicht nur auf die Kompetenz der einzelnen Fehlersucher an, sondern auch darauf, möglichst viele Personen mit möglichst unterschiedlichen Blickwinkeln und Kenntnissen einbinden zu können. Unser Ziel ist es, Sicherheitslücken zu finden, bevor diese in der Öffentlichkeit kursieren und Schaden anrichten können. Für unsere Kunden wäre eine kritische Sicherheitslücke ein absoluter GAU.

t3n: Nun seid ihr ja bei Weitem nicht die Einzigen, die so nach Fehlern suchen. Was ist euer Alleinstellungsmerkmal, warum unterstützen euch die Programmierer und Security-Experten?

Wenn man mal schaut, wer solche Bug-Bounty-Programme betreibt, dann sind das oftmals die großen Internetkonzerne – Namen wie Facebook, Spotify, Uber, die natürlich mit deutlich mehr Mitteln ausgestattet sind als wir. Wir sind dagegen als deutscher Mittelständler etwas anders aufgestellt und profitieren davon, wenn Teilnehmer sich bereits mit Sicherheitslücken bei anderen Unternehmen auskennen. Umgekehrt ist für den Experten bei uns vielleicht auch nicht die Luft so dünn wie bei den Facebooks und Microsofts dieser Welt, wo die Konkurrenz in den Bug-Bounty-Programmen sicherlich härter ist. Hinzu kommt, dass viele Entwickler uns als Open-Source-Company bereits Vorschusslorbeeren entgegenbringen und uns gegenüber wohlgesonnen sind – das ist das Schöne im Open-Source-Umfeld. Deshalb kam auch schon ohne das Bug-Bounty-Programm viel sicherheitsrelevantes Feedback von Experten, die direkt an uns herangetreten sind. Davon abgesehen gibt es natürlich auch Studenten und Absolventen, für die das nicht nur eine Form der Wertschätzung ist, sondern auch ein Aushängeschild in beruflicher Hinsicht.

t3n: Wie viel habt ihr da schon ausgezahlt?

Rund 80.000 US-Dollar haben wir an Bug-Bounty-Prämien in den letzten zwei Jahren ausgezahlt. Das ist kein riesiger Betrag, aber für uns auch nicht ganz wenig. Wir haben die Erfahrung gemacht, dass unsere Sicherheitslücken-Melder gar keine Lust darauf haben, ihr Wissen an Blackhat-Hacker weiterzugeben, sondern einfach nur Wertschätzung und eine faire Bezahlung ihres Aufwands erwarten. Ein Großteil der Anwender, die über das relevante Wissen verfügen, sind sich ohnehin bewusst, dass es langfristig kein tragfähiges Geschäftsmodell ist, solches Wissen im Darknet zu verkaufen.

t3n: Wie bewertet ihr Bugs und woraus berechnet sich der Gegenwert, den ihr bezahlt?

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung