Bug-Bounty-Programme – Ideenreichtum einer ganzen Community nutzen

usd AG News, Security Analysis & Pentests

Viele Unternehmen stehen im Bereich der IT-Sicherheit vor immer neuen Herausforderungen und Problemen. Dazu gehört auch, dass Unternehmen Schwachstellenmeldungen von sicherheitsbewussten Kunden oder Hackern*1 erhalten, teilweise über ungeeignete Kommunikationskanäle. Stefan Schmer, Managing Consultant Security Analysis & Pentests der usd AG, stellt im Experteninterview mit Shirin Freydank, usd Corporate Communication, einen Baustein für mehr Sicherheit vor, der das Sicherheitsbewusstsein und die Expertise einer ganzen Gemeinschaft nutzt: das Bug-Bounty-Programm.

Freydank: Frei übersetzt bedeutet „Bug Bounty“: Kopfgeld für Fehler. Was ist denn ein Bug-Bounty-Programm?

Schmer: Im Grunde ist ein Bug-Bounty-Programm ein weiteres Instrument zur Verbesserung der Sicherheit eines Unternehmens. Es ist eine Form der Kooperation zwischen Hackern und Unternehmen. Dabei nutzen die Unternehmen die Expertise einer Vielzahl von Hackern, um einen gewissen Teil Ihrer Unternehmensinfrastruktur oder ihrer Produkte gezielt auf Schwachstellen untersuchen zu lassen. Bei einer erfolgreichen Zusammenarbeit, also nach der Meldung einer validen Schwachstelle durch einen Hacker, erhält dieser dafür eine Belohnung. Die Art der Belohnung wird dabei vom Unternehmen festgelegt. Sie kann sich von Reputationspunkten über Sachleistungen, wie z. B. T-Shirts oder Gutscheine, bis hin zu Geldbeträgen erstrecken.

Welche Ziele werden mit dem Bug-Bounty-Programm verfolgt?

Schmer: Das primäre Ziel eines Bug-Bounty-Programms ist die Identifizierung und Behebung von Schwachstellen, bevor diese ausgenutzt werden. Das Thema Bug Bounty ist noch nicht jedem Unternehmen bekannt, gewinnt aber immer mehr an Bedeutung. Der wichtigste Teil eines solchen Programms ist dabei die konstruktive Zusammenarbeit mit den Hackern. Bug-Bounty-Plattformen bieten hierfür eine geeignete Basis. Die Plattformen stellen die ihr angeschlossene Gemeinschaft von Hackern dem Unternehmen zur Verfügung, was für die Durchführung eines Bug-Bounty-Programms essentiell ist. Die Plattformen bieten dem Unternehmen ein zentrales Forum, um die Hacker über das Bug-Bounty-Programm zu informieren, mit ihnen zu kommunizieren und möglichen Zahlungsverkehr abzuwickeln. Das Unternehmen hat dadurch die Möglichkeit, gezielt den Informationsfluss zu den Hackern zu steuern und wichtige Unternehmensbereiche für die Analyse in den Vordergrund zu stellen.

Wie kommt es zur Zusammenarbeit zwischen Unternehmen und Hackern und wie kann die Qualifikation der Hacker beurteilt werden?

Schmer: Unternehmen haben die Möglichkeit, Hacker gezielt einzuladen, um an ihrem Bug-Bounty-Programm teilzunehmen. Dies ist auch die Stärke von Bug-Bounty-Plattformen, da diese meist ein Rankingsystem besitzen, wodurch die Expertise der Hacker gewissermaßen messbar gemacht werden kann. Für jede valide Schwachstelle, die ein Hacker meldet, erhält er sogenannte Reputationspunkte. Diese verbessern den Punktewert im globalen Rankingsystem. Je mehr Schwachstellen der Hacker also sammelt, desto höher steigt er in der Rangliste. Hacker mit sehr vielen Reputationspunkten sind natürlich sehr beliebt bei Unternehmen, da diese Punkte ein Stück weit die Expertise des Hackers repräsentieren. Es gibt für Unternehmen auch die Möglichkeit, das Bug-Bounty-Programm eigenständig zu managen. Unternehmen verzichten dabei auf die Plattformen der Anbieter und organisieren sich selbst die Gemeinschaft, geeignete Kommunikationskanäle und alles, was sonst durch die Plattform geleistet wird.

Wer darf bei dem Programm mitmachen?

Schmer: Jedes Unternehmen legt für das eigene Programm die Spielregeln *2 fest. Diese geben vor, welche Unternehmensbereiche für die Hackercommunity freigegeben sind und welche Besonderheiten die Hacker beachten müssen. Diese Spielregeln sind die zentrale Grundlage, auf die sich die Zusammenarbeit zwischen Hackern und Unternehmen stützt. Jeder Hacker schaut sich daher erst die Spielregeln an, wenn er sich über das Bug-Bounty-Programm eines Unternehmens informiert. Ein Teil dieser Spielregeln umfasst nämlich auch Einschränkungen bei der Teilnahme. Jedes Unternehmen definiert die Teilnahmebedingungen anders. Ein Beispiel wäre hier ein vorgegebenes Mindestalter für teilnehmende Hacker. Bei amerikanischen Unternehmen kann es beispielsweise außerdem dazu kommen, dass sie Hacker aus verschiedenen Ländern von dem Programm ausschließen. Dies hängt mit den von den USA gegen die jeweiligen Länder verhängten Sanktionen zusammen.

Wo besteht der Unterschied zu den „klassischen“ Sicherheitsmaßnahmen wie Sicherheitsanalysen?

Schmer: Im Grunde führen auch bei einem Bug-Bounty-Programm die Hacker einen Pentest/Sicherheitsanalyse auf die gewählten Systeme des Unternehmens durch. Der Vorteil für das Unternehmen besteht ganz klar darin, dass diese Unternehmen auf die Expertise einer ganzen Community von Hackern zugreifen können. Getreu dem Motto: 4 Augen sehen mehr als 2. Zusätzlich sind die Systeme, solange sie durch die Spielregeln als Ziele freigegeben sind, immer im Visier der Hacker, was im besten Fall dazu führen kann, dass die Systeme sehr oft und von einer Vielzahl an Experten untersucht werden. Die Hacker erhalten darüber hinaus keine speziellen Berechtigungen auf dem System oder Hintergrundinformationen, die für eine Sicherheitsanalyse hilfreich wären. Die Bedingungen entsprechen also einem sehr realen Szenario, in dem ein Angreifer von außen ohne Kenntnisse des Systems versucht, es zu übernehmen. Diese Umstände bringen auch eine Reihe von Problemen bzw. Herausforderungen mit sich.

Welche Herausforderungen müssen bei der Einführung und dem Einsatz eines Bug-Bounty-Programms gelöst werden?

Schmer: Zunächst ist es für ein Unternehmen sehr intransparent, wie viele Hacker an den Systemen „arbeiten“ und welche Absichten diese Hacker verfolgen. Bei einer klassischen Sicherheitsanalyse beauftragt das Unternehmen einen Pentester für einen gewissen Zeitraum. Das Unternehmen weiß genau, dass der Pentester während des gesamten Pentests versucht, Sicherheitslücken zu finden und diese später an das Unternehmen meldet. Dies ist bei einem Bug-Bounty-Programm nur schwer nachvollziehbar. Das Unternehmen muss darüber hinaus Anreize setzen, um (gute) Hacker für das eigene Bug-Bounty-Programm zu begeistern. Ein Hacker wird sehr genau hinschauen, für welches Bug-Bounty-Programm und für welchen Gegenwert er seine Expertise einsetzt. Dies bedeutet: Setzt ein Unternehmen die falschen Anreize, werden sich relativ wenige Hacker an den Systemen ausprobieren. Aber auch die Kommunikation ist ein wichtiger Aspekt und muss berücksichtigt werden.

Was ist bei der Kommunikation zwischen Hackern und Unternehmen im Programm zu berücksichtigen?

Schmer: Hacker werden oft als Subkultur betrachtet, die im Umgang nicht ganz einfach sei. Ganz so drastisch sehe ich den Punkt nicht. Allerdings haben wir die Erfahrung gemacht, dass die Anforderungen der Hacker an ein Unternehmen, das ein Bug-Bounty-Programm betreibt, sehr hoch sind. Sie erwarten schnelle professionelle Reaktionen sowie die schnelle Behebung von Schwachstellen. Die meist asynchrone Kommunikation erschwert oft den Kommunikationsfluss und auftretende Schwierigkeiten erfordern daher zusätzliche zeitliche Ressourcen. Dieses Problem wäre bei klassischen Sicherheitsmaßnahmen durch ein persönliches Gespräch oder ein Telefonat meist aus der Welt geschafft. Auch bei den Kosten gibt es Unterschiede. Bei den klassischen Sicherheitsanalysen werden die Pentester in der Regel nach Zeit bezahlt. Bei einem Bug-Bounty-Programm hingegen werden die Hacker auf Basis der gefundenen Schwachstellen belohnt. Die Anzahl der Schwachstellen, die eine finanzielle Belohnung bedeuten, lassen sich im Vorfeld nur schwer kalkulieren.

Wie ist ein Bug-Bounty-Programm in die IT-Sicherheitsstrategie einzuordnen?

Schmer: Ein Bug-Bounty-Programm ersetzt aus meiner Sicht keine allgemeine IT-Sicherheitsstrategie und deren Maßnahmen, wie zum Beispiel einen Pentest. Das Programm stellt hierzu aber eine gute Ergänzung dar. Eine Kombination aus den klassischen Sicherheitsanalysen und einem Bug-Bounty-Programm kann die Sicherheit der Unternehmensinfrastruktur langfristig wesentlich verbessern. Mit einem guten Konzept zur Umsetzung und Weiterentwicklung des Bug-Bounty-Programms können dazu finanzielle Risiken minimiert werden.

Welche Vorteile bestehen bei der Durchführung eines Bug-Bounty-Programms?

Schmer: Es steht für die Suche nach Schwachstellen eine große Anzahl an Hackern zur Verfügung. Dadurch ergibt sich eine enorme Fachexpertise, die zielgerichtet eingesetzt werden kann. Mit dem richtigen Konzept kann das Sicherheitsniveau der IT-Infrastruktur stark verbessert werden. Durch ein Bug-Bounty-Programm kann eine kontinuierliche Analyse der Systeme erfolgen. Der Grundgedanke ist, dass immer wieder Hacker probieren, neue Schwachstellen in den Systemen zu finden. Es kommt dabei immer wieder zu einer Prüfung der Systeme. Das Unternehmen gibt nur dann eine Belohnung an den Entdecker aus, wenn die Schwachstelle validiert wurde. Darüber hinaus legen die Unternehmen in ihren Spielregeln meist fest, dass ein Hacker nur eine Belohnung erhält, wenn die Schwachstelle zuvor von noch keinem anderen gemeldet wurde. Es gibt noch einen Nebeneffekt, den ich als Pentester sehr positiv sehe: Schwachstellen werden von Unternehmen schneller gefixt, wenn sie durch einen Hacker gemeldet wurden.

Wie unterstützen unsere Sicherheitsexperten bei der Durchführung eines Bug-Bounty-Programms?

Schmer: Ein Bug-Bounty-Programm bedeutet viel Aufwand auf der Seite des Unternehmens. Wir haben bereits alle Bereiche eines Bug-Bounty-Programms durchlaufen und Unternehmen erfolgreich begleitet. Dadurch konnten wir uns umfassende Expertise aufbauen. Dies beginnt bei der Erfassung der Kundenwünsche und der Ableitung von Bedingungen an das Bug-Bounty-Programm. Von der initialen Konzeptionierung, der Definition von Spielregeln bis hin zum Regelbetrieb mit der Durchführung der Vorfilterung und Bewertung der eingehenden Schwachstellenberichte. Auch darüber hinaus stehen wir an der Seite unserer Kunden, um gemeinsam mit ihnen die Prozesse zu schärfen und weitere Bereiche zu optimieren. Um einen Bereich explizit hervorzuheben: Die Kommunikation mit den Hackern kann sehr aufwendig sein. Dazu zählt auch die Vorfilterung und Bewertung der Schwachstellen. Wir kennen die Probleme und Herausforderungen, die bei Bug-Bounty-Programmen entstehen können. Dies ist ein enormer Wissensvorsprung, den wir gerne mit unseren Kunden teilen!

Lesen Sie hier, wie die usd AG Sie als Full Service Provider bei Bug-Bounty-Programmen unterstützt.


*1 Der verwendete Begriff „Hacker“ bezieht sich in unserem Interview auf Sicherheitsforscher und White-Hat-Hacker.
*2 Spielregeln= Neutrale Bezeichnung, je nach Hersteller werden andere Namen verwendet. Security Policy oder Program Details.