Bug-Bounty-Programm

Ein Bug-Bounty-Programm ist eine weitere Maßnahme für die Sicherheit Ihres Unternehmens mit dem Ziel, Schwachstellen zu identifizieren, bevor diese ausgenutzt werden. Das Programm ermöglicht es Ihnen, das Know-how und den Ideenreichtum einer Gemeinschaft von Sicherheitsexperten (Community) zu nutzen. Die Community wird eingeladen, einen vorher definierten Bereich Ihres Unternehmens auf Schwachstellen zu analysieren. Der Entdecker einer Schwachstelle erhält ggf. eine Belohnung, die von der Kritikalität der gefundenen Schwachstelle abhängig ist.

news experteninterview sts

Experteninterview

Kommt ein Bug-Bounty-Programm für Sie in Frage?
Lesen Sie unser Experteninterview mit Stefan Schmer, Managing Consultant usd HeroLab

Bug-Bounty-Plattformen

Ein Anbieter von Bug-Bounty-Plattformen stellt die Expertise der angeschlossenen Community von Sicherheitsexperten zur Verfügung. Die Regeln sind klar definiert und die Schwachstellenberichte werden ausschließlich über die Plattform ausgetauscht. Bug-Bounty-Programme können auch anbieterunabhängig, ohne zentrale Bug-Bounty-Plattform realisiert werden. Dabei wird die Kommunikation und die Koordination mit der Community vom Unternehmen selbst durchgeführt.

Unsere Unterstützung 

Damit das Bug-Bounty-Programm effektiv und ohne unnötige Einschränkung durchgeführt werden kann, muss es passgenau auf die Bedürfnisse des Unternehmens zugeschnitten sein und die Organisationsstrukturen berücksichtigen. Als Full Service Provider unterstützen wir Sie unter anderem bei:

• Bestimmung des Untersuchungsumfangs
• Kommunikation mit der Community von Sicherheitsexperten
• Sichtung, Prüfung und Priorisierung eingehender Schwachstellenberichte
• Unterstützung bei der Behebung der identifizierten Schwachstellen

Unser Vorgehensmodell

Die Vorgehensweise wird individuell an Ihre Bedürfnisse und die Projektphase angepasst. Das untenstehende Vorgehen ist als exemplarisch anzusehen.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Kick-off

Während des Kick-off-Meetings besprechen wir mit Ihnen die Ausgangssituation und Ihre Zielsetzung sowie die Art der Belohnung. Gemeinsam mit Ihnen bestimmen wir das weitere Vorgehen entsprechend Ihrer Bedürfnisse, Ressourcen und den Gegebenheiten in Ihrem Unternehmen.

Konzeptausarbeitung

Wir klären mit Ihnen, inwiefern die internen Fachabteilungen eingebunden werden und welche Schnittstellen vorhanden sind. Wir bestimmen mit Ihnen zusammen den Untersuchungsumfang, die Richtlinien der Responsible Disclosure und die Handhabung eintreffender Schwachstellenberichte der Community. Außerdem definieren wir kommunikative Prozesse und Eskalationswege.

Optionale Beurteilung

Bevor das Bug-Bounty-Programm startet, überprüfen unsere Sicherheitsexperten auf Wunsch den festgelegten Untersuchungsumfang mithilfe eines Pentests oder Code Reviews.

Livegang des Programms

Gemeinsam mit unseren Sicherheitsexperten wird das Bug-Bounty-Programm gestartet. Je nach definiertem Prozess werden die eingehenden Berichte zu identifizierten Schwachstellen durch unsere Sicherheitsexperten validiert und priorisiert. Wir übernehmen die Kommunikation mit der Community und leiten gefundene Schwachstellen an die Fachabteilung weiter. Die Ausgabe der Belohnung wird durch den Verantwortlichen Ihres Unternehmens veranlasst.

Schwachstellenbehebung

Unsere Sicherheitsexperten empfehlen Maßnahmen zur Beseitigung identifizierter Schwachstellen und unterstützen Sie bei Bedarf bei der Umsetzung dieser Empfehlungen. Optional übernehmen wir für Sie die Kommunikation mit den beteiligten Fachabteilungen.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE