Internet Bug Bounty
Die Internet Bug Bounty war ein seit 2012 bestehendes, von HackerOne verwaltetes Bug-Bounty-Programm, das Sicherheitsforscher für das Aufspüren von Schwachstellen in Open-Source-Software finanziell belohnte. Das Programm wurde im März 2026 aufgrund der durch KI beschleunigten Schwachstellenfindung pausiert.
Ausführliche Erklärung
Bug-Bounty-Programme sind strukturierte Initiativen, bei denen Organisationen ethische Hacker und Sicherheitsforscher dafür belohnen, Sicherheitslücken in Software aufzuspüren und verantwortungsvoll zu melden. Die Internet Bug Bounty war eines der wichtigsten Programme für Open-Source-Projekte und hatte seit ihrer Gründung über 1,5 Millionen US-Dollar an Forscher ausgeschüttet. Im Unterschied zu unternehmensinternen Programmen richtete sich die IBB speziell an weitverbreitete Open-Source-Komponenten, die das Fundament vieler digitaler Infrastrukturen bilden.
Ab dem 27. März 2026 stoppte HackerOne die Annahme neuer Schwachstellenmeldungen für die Internet Bug Bounty. Als Hauptgrund nannte das Unternehmen das veränderte Gleichgewicht zwischen Schwachstellenfindung und -behebung: KI-gestützte Werkzeuge beschleunigen die Entdeckung von Sicherheitslücken massiv, während die meist ehrenamtlich arbeitenden Entwickler von Open-Source-Projekten mit der Behebung nicht Schritt halten können. Diese Entwicklung betraf nicht nur die IBB – auch Projekte wie cURL oder Googles Open-Source-Programm mussten ihre Ansätze anpassen.
Für KMU sind Bug-Bounty-Programme grundsätzlich ein interessantes Instrument zur kontinuierlichen Sicherheitsüberprüfung. Anders als einmalige Penetrationstests bieten sie fortlaufenden Schutz durch eine globale Community von Sicherheitsexperten mit unterschiedlichen Fähigkeiten. Klassische Programme waren lange auf größere Unternehmen zugeschnitten, doch in den letzten Jahren entstanden auch KMU-taugliche Modelle, etwa durch Vulnerability Disclosure Policies oder spezialisierte Plattformen mit skalierbaren Paketen.
Praxisbeispiel
Ein österreichischer IT-Dienstleister mit 25 Mitarbeitern könnte ein Bug-Bounty-Programm für seine Webanwendung einrichten, statt ausschließlich auf interne Tests zu setzen. Über eine spezialisierte Plattform definiert das Unternehmen den Prüfungsumfang, legt Budgets fest und erhält strukturierte Meldungen von Sicherheitsforschern. So deckt es Schwachstellen auf, die bei konventionellen Audits möglicherweise unentdeckt geblieben wären – und zahlt nur für tatsächlich gefundene, validierte Sicherheitslücken.
Quellen
- Internet Bug Bounty program hits pause on payouts | InfoWorld
- AI-Led Remediation Crisis Prompts HackerOne to Pause Bug Bounties | Dark Reading
- AI is so good at finding software bugs that it's breaking bug bounty programs | Cybernews
- What Are Bug Bounties and How They Work | HackerOne
- Bug Bounty Switzerland lanciert Anwendung für KMUs | IT-Markt