Interview

Bug-Bounty-Programme: „Vertraut nicht nur auf eure eigene Qualitätssicherung“

Seite 2 / 2

Martin Heiland: Wir nutzen CVSS als Standard, um eine objektive Bewertung zu erreichen, die sich daran orientiert, wie gravierend Sicherheitslücken sind. Die Skala reicht von null bis zehn, wobei zehn die Sicherheitsprobleme von höchster Tragweite sind. Die Reports, die wir bekommen, bewerten wir auf der Basis ihres Risikos, also Eintrittswahrscheinlichkeit und Schwere der potenziellen Auswirkung. Auf Basis dieser Bewertung errechnen wir die tatsächliche Vergütung, die exponentiell mit der Bewertung steigt. Ziel ist es dabei, zu einem fairen Gegenwert zu kommen, der dem Aufwand für den Tester und dem Wert für uns gerecht wird. Ein Problem mit einer CVSS-Bewertung von zehn bringt eine mittlere vierstellige Summe, während wir für weniger gravierende Probleme einen dreistelligen Betrag zahlen. Der Schnitt liegt bei rund 600 Euro.

Das ist in manchen Fällen dann aber auch Zweitverwertung für den Tester. Denn unter Umständen findet er auch bei uns eine Sicherheitslücke, die er bei einem anderen Hersteller bereits entdeckt hat. Die kann er dann bei uns auch ausprobieren und sich mit überschaubarem Aufwand vergüten lassen. Darüber hinaus wenden wir eine Methode an, um Leute zu ermitteln, die relativ viel auf Verdacht und solche, die Substanzielles berichten und versuchen natürlich, die wertvollen Tippgeber zu ermuntern, mehr für uns zu machen.

t3n: Eure Bug-Bounty-Programme laufen jetzt seit zwei Jahren, ihr habt also schon einige Erfahrungen gesammelt. Welche Tipps kannst du anderen kleineren Unternehmen und Startups geben, wenn sie auch mit dem Gedanken spielen, ein solches Reward-Programm aufzusetzen? Gab’s auch Dinge, die ihr unterschätzt habt?

Es ist extrem hilfreich, ein solches Thema von der Tabuschiene wegzubekommen. Jeder weiß, dass es Programmfehler gibt, aber kaum ein Unternehmen spricht gerne darüber. Eigene Offenheit und offensive Herangehensweise ist hier der vernünftige Weg. „Security by Obscurity“ funktioniert in der heutigen Welt extrem schlecht.

Was wir etwas unterschätzt haben, ist der Arbeitsaufwand, der mit einem Bug-Bounty-Programm verbunden ist: Insbesondere rund um die einschlägigen IT-Security-Konferenzen gegen Ende des Jahres bekommen die Software-Tester offenbar Lust, nach Sicherheitslücken zu suchen. Gerade im ersten Jahr weiß man nicht genau, in welchem Umfang hier Input kommen wird. Das betrifft weniger die Frage des auszuzahlenden Geldes, sondern den damit verbundenen Aufwand. Wir wollen da ja auch nicht einfach nur den Azubi dransetzen, der die gemeldeten Lücken bearbeitet. Das funktioniert fachlich und organisatorisch nicht gut und da verschafft man sich eher einen schlechten Ruf in der Branche. Teilnehmer des Programms honorieren respektvollen Umgang, unkomplizierte Bearbeitung und schnelle Lösungswege. Auch wenn wir hier mit Unbekannten zusammenarbeiten, hatten wir noch nie die Situation, dass eine gefundene Lücke für uns unerwartet veröffentlicht wurde. Und damit sind wir noch bei einem weiteren Punkt: Vertraut nicht nur auf eure eigenen Ressourcen in der Qualitätssicherung, sondern profitiert davon, dass andere Leute mit einer anderen Perspektive auf eure Software schauen können und Fehler finden, die ihr so nicht findet. Ein professionelles Bug-Bounty-Programm ist absolut hilfreich, um bei administrativen Aufgaben zu entlasten und sofort eine große Reichweite zu erhalten – wir setzen dabei auf die Plattform Hacker One.

t3n: Rechnet sich das eigentlich im Vergleich zu anderen Strategien der Fehlersuche oder ist es eher als Ergänzung zu verstehen?

Was sind die Alternativen? Die Leute schauen sich unsere und andere Software doch sowieso in Bezug auf Sicherheitslücken an, unabhängig davon ob der Quellcode verfügbar ist oder nicht. Wenn man das weder aktiv begleitet noch Möglichkeiten bietet, es zu melden, kann das eine ungesunde Dynamik entwickeln. Sobald eine Sicherheitslücke ausgenutzt und in der Öffentlichkeit diskutiert wird, ist der Imageschaden schnell höher als die Kosten für die Suche und rechtzeitige Behebung. Für uns gehört das Bug-Bounty-Programm ebenso wie professionelle Penetration-Tests, Code-Reviews und Security-Audits zu einer umfassenden Sicherheitsstrategie, wobei das Bug-Bounty-Programm durch seine Diversität und ständige Aktivität sicher die meisten Sicherheitslücken ans Licht bringt. Wichtig ist für uns aber auch, aus den Fehlern zu lernen, sie nur einmal zu machen und Mitarbeiter weiter zu bilden. Deswegen gehören da auch Schulungsmaßnahmen dazu.

Das könnte dich auch interessieren:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung