Bug-Bounty-Programm
Ein Bug-Bounty-Programm ist eine Initiative, bei der Unternehmen externe Sicherheitsexpert:innen finanziell belohnen, wenn diese Schwachstellen in Software, Webanwendungen oder IT-Systemen entdecken und verantwortungsvoll melden.
Ausführliche Erklärung
Bei einem Bug-Bounty-Programm loben Organisationen Prämien für das Auffinden von Sicherheitslücken aus. Der Begriff kommt aus dem Englischen und bedeutet wörtlich "Kopfgeld für Fehler". Externe Sicherheitsforscher, auch White-Hat-Hacker genannt, testen die IT-Systeme des Unternehmens auf Schwachstellen und erhalten für verifizierte Funde eine Belohnung, deren Höhe sich nach dem Schweregrad der Lücke richtet. Im Unterschied zu klassischen Penetrationstests, die zeitlich begrenzt und von einem festen Team durchgeführt werden, arbeiten bei Bug-Bounty-Programmen kontinuierlich viele verschiedene Expert:innen mit unterschiedlichen Spezialisierungen an der Sicherheitsprüfung. Für KMU sind Bug-Bounty-Programme relevant, weil sie Zugang zu einer breiten Expertise bieten, ohne fest angestellte Sicherheitsspezialist:innen beschäftigen zu müssen. Unternehmen zahlen nur für tatsächlich gefundene Schwachstellen, was die Kosten kalkulierbar macht. Die Programme basieren in der Regel auf dem Prinzip der "Responsible Disclosure": Gefundene Lücken werden vertraulich gemeldet und erst veröffentlicht, nachdem das Unternehmen Zeit zur Behebung hatte, üblicherweise 30 bis 90 Tage. Rechtlich sind Bug-Bounty-Programme nach deutschem Recht als Auslobung gemäß Paragraph 657 BGB einzuordnen. In Österreich und Deutschland müssen die Programme klare Regeln definieren, welche Systeme getestet werden dürfen und welche Methoden zulässig sind, um strafrechtliche Risiken für Teilnehmende auszuschließen. Unternehmen sollten einen "Safe Harbor" definieren, der autorisierte Sicherheitstests von strafbaren Handlungen abgrenzt. Zu beachten ist, dass bestimmte Aktivitäten wie Datenveränderung oder DDoS-Angriffe nach österreichischem Strafgesetzbuch als Offizialdelikte gelten und von Amts wegen verfolgt werden. Die Programme können öffentlich ("Open") oder auf Einladung ("Private/Closed") betrieben werden. Während große Technologiekonzerne eigene Programme betreiben, können KMU auch spezialisierte Plattformen wie HackerOne oder Bugcrowd nutzen oder auf regionale Anbieter zurückgreifen, die auf den Mittelstand zugeschnittene Lösungen anbieten.
Praxisbeispiel
Eine oberösterreichische Handelsplattform mit 45 Mitarbeitenden startet ein sechsmonatiges Bug-Bounty-Programm für ihren Webshop. Über eine spezialisierte Plattform definiert das Unternehmen den Scope, schließt kritische Backend-Systeme aus und setzt Prämien zwischen 100 und 5.000 Euro fest. Innerhalb von drei Wochen melden 12 Sicherheitsforscher insgesamt 8 verifizierte Schwachstellen, darunter eine kritische Lücke im Zahlungssystem, die das Unternehmen umgehend behebt.