Tesla hat eins. GM hat eins. Und jetzt sogar das Pentagon. Doch nicht für alle Unternehmen sind offene Bug-Bounty-Programme die richtige Wahl, wie Kymberlee Price von der Sicherheitsplattform Bugcrowd im Gespräch mit Golem.de sagt.

"Viele Unternehmen haben nicht das Geld, ein eigenes IT-Security-Team aufzustellen. Oft brauchen sie aber auch nicht den einen Hacker in Vollzeit - sondern vielleicht fünf Prozent seiner Zeit", sagt Kymberlee Price im Gespräch mit Golem.de. Price ist Senior Director for Researcher Operations bei Bugcrowd. Das heißt: Sie ist verantwortlich dafür, 25.000 Sicherheitsforscher auf die richtigen Sicherheitsprogramme verschiedener Firmen zu verteilen.
"Ein Bounty-Programm ist eigentlich nichts weiter als die Verlängerung eines guten internen Umgangs mit Sicherheitslücken", sagt Price, die vor ihrer Tätigkeit für Bugcrowd für Microsoft und Blackberry gearbeitet hat. Bei Blackberry war sie für die Kommunikation mit externen Hackern und Sicherheitsforschern zuständig. Ein Bug-Bounty-Programm hatte das Unternehmen damals wie heute nicht. Das sei aber auch nicht unbedingt notwendig. "Ein Bounty-Programm ist nicht für jedes Unternehmen das Richtige." Viele potenzielle Sicherheitsbedrohungen ließen sich durch gezielte, tiefe Analysen wie Code-Audits oder Pentesting deutlich besser ausmachen.
Pentesting statt nur Bug-Bounties

Bugcrowd wurde im Jahr 2012 gegründet, das Unternehmen will mehr Firmen einen Zugang zu unabhängigen Sicherheitsforschern geben. Anders als bei Hacker One liegt der Fokus nicht auf Bug-Bounty-Programmen, sondern auf komplexeren Analysen von Hardware und Software unter bestimmten Bedingungen. Das Unternehmen hat seinen Hauptsitz in San Francisco, in einem niedrigen Backsteinhaus. Wie in einem Tech-Startup üblich, gibt es einen mit Softdrinks und Frapuchinos gut gefüllten Kühlschrank.

Wenn ein Unternehmen ein bestimmtes Programm durchführen will, stellt das Bugcrowd-Team auf Wunsch ein Team aus Hackern aus der Datenbank zusammen. Dabei wird berücksichtigt, wie aktiv die Personen in der Vergangenheit waren und ob sie erfolgreich Sicherheitslücken gefunden haben. "Forscher bekommen auf unserer Plattform Kudos-Punkte, wenn sie Berichte abliefern", erklärt Price.
Wer zu viele Duplikate liefert, wird bestraft

Wer mehr Kudos-Punkte hat, der wird auch eher in ein Programm eingeladen. Damit soll die Crowd zu einer dauerhaften und aktiven Mitarbeit bewegt werden. Diese Kudos-Punkte sind völlig unabhängig von gezahlten Bounties, auch für Duplikate können Teilnehmer diese Punkte bekommen. Wer allerdings nur Duplikate und falsche Berichte einreicht, bekommt Punkte abgezogen.

Neben den Programmen, die von Bugcrowd gemanagt werden, gibt es Unternehmen, die dies selbst tun, und nur die Plattform und den Zugang zu den rund 25.000 Hackern nutzen. Auf der Webseite gibt es zahlreiche öffentliche Programme, von großen Unternehmen wie Tesla bis hin zu dem Open-Source-Whistleblowing-Projekt Securedrop. Nicht alle Programme geben monetäre Anreize, bei vielen gibt es nur Kudos-Punkte.
Nur der erste Finder bekommt Geld

Für die Unternehmen praktisch: Nur wer eine Sicherheitslücke als erster findet, bekommt auch Geld. "Sie bezahlen nicht für den Versuch, sondern für Ergebnisse", schreibt das Unternehmen auf seiner Webseite. Die Bugs werden nach verschiedenen Kategorien eingeordnet, die dann auch die gezahlte Prämie bestimmen. Hier wurden die Kriterien vor kurzem überarbeitet, damit Teilnehmer der Programme einfacher einschätzen können, wie viel Belohnung sie erwarten können.

Sind Bug-Bounties schädlich für Pentester?

Viele Pentester seien mit dem Aufkommen von Bug-Bounty-Programmen besorgt gewesen, ob ihr Job damit nicht überflüssig werde, sagt Price. Die Sorgen hält sie jedoch für unbegründet. "Es geht nicht um ein Entweder-oder." Ein Bounty-Programm sei geeignet für viele Anwendungen wie Webseiten, Apps oder andere Software. Doch für eine tiefere Analyse der Netzwerkinfrastruktur oder noch unveröffentlichter Produkte seien gezielte Penetration-Tests deutlich sinnvoller. Außerdem könnten Pentestings in einem geschlossenen Rahmen und unter deutlich klareren Bedingungen stattfinden als bei einem öffentlichen Programm.
Ein gutes Bounty-Programm könne das Leben für IT-Consultants sogar vereinfachen, sagt Price. "Sie können sich dann auf die großen Schwachstellen konzentrieren, die wirklich ihrer Aufmerksamkeit bedürfen. Kleinere Probleme lassen sich durch das Bounty-Programm lösen."

Sehr beliebt bei den Sicherheitsforschern auf der Plattform seien derzeit Programme aus dem Bereich Internet der Dinge. Dabei würde eine ausgewählte Gruppe von Hackern Geräte per Post bekommen, um diese dann intensiv zu testen. "Viele fragen: 'Wann darf ich endlich anfangen'", sagt Price. Zum beliebtesten Programm wählten die Hacker vor einigen Wochen allerdings das des Elektroautoherstellers Tesla.
Nicht mehr nur Tech-Unternehmen

Die meisten Kunden von Bugcrowd sind klassische Tech-Unternehmen. In letzter Zeit seien aber auch viele Unternehmen aus anderen Bereichen dazugestoßen - vor allem aus der Medizintechnik, sagt Price. Auch der Autohersteller GM hat sich mittlerweile entschieden, ein eigenes Bounty-Programm aufzusetzen - beim Bugcrowd-Konkurrenten Hacker One. Auch das US-Verteidigungsministerium hat vor kurzem ein Bounty-Programm gestartet. Wer daran mitwirken will, muss allerdings über eine US-Sicherheitsfreigabe verfügen.

Die höchste bisher ausgezahlte Prämie betrug laut Price 15.000 US-Dollar. Insgesamt habe das Unternehmen rund 1,7 Millionen US-Dollar ausgeschüttet. Mit der insgesamt ausgezahlten Summe von Bug-Bounties liegt Bugcrowd recht deutlich hinter Hacker One - dort wurden nach Angaben des Unternehmens bereits mehr als 6 Millionen US-Dollar ausgeschüttet. Bugcrowd finanziert sich nicht, wie andere Unternehmen in dem Bereich, über einen von den Unternehmen bezahlten prozentualen Anteil an den Bounties, sondern erhebt Gebühren für den Betrieb der Plattform und, wenn gewünscht, das Managen der Programme.

Der Disclosure-Prozess ist oft für beide Seiten nicht ganz einfach. Hacker fühlen sich missachtet, wenn bestimmte Sicherheitslücken lange nicht geschlossen werden oder Unternehmen nicht schnell reagieren. Unternehmen hingegen sehen sich manchmal mit Forderungen oder Bug-Reports konfrontiert, die mit ihrem eigentlichen Geschäftsmodell nur wenig zu tun haben oder nicht im Threat-Model vorkommen. In solchen Fällen will Bugcrowd vermitteln: "Wenn ein Hacker sich in einem Programm danebenbenimmt, können wir ihn für alle Programme sperren", sagt Price. Das komme aber nur sehr selten vor, meist gebe es nur kleinere Missverständnisse. Es habe aber auch schon Beschwerden über Kunden gegeben, die dann durch das Bugcrowd-Team mit dem Unternehmen geklärt wurden, sagt sie.

Bugcrowd investiert viele Ressourcen in den Aufbau und die Pflege der Community. "Die Hacker sind unser größtes Kapital", sagt Price. Auch deshalb zeichnete das Unternehmen die besten Hacker vor einigen Wochen aus - um sie so an sich zu binden. "Viele Hacker haben ein Profil bei mehreren Plattformen, einige sind aber nur bei uns."

Mit den derzeit registrierten 25.000 Hackern soll aber nicht Schluss sein. Das Problem: Geeignete Kandidaten sind rar und heiß begehrt. Aus diesem Grund versucht Bugcrowd, gezielt Nachwuchs auszubilden und die Fähigkeiten der Hacker auf der Plattform zu verbessern. Dazu reisen Mitarbeiter auf Konferenzen und halten Vorträge, außerdem gibt es regelmäßig Blogposts mit Tipps für bessere Bugreports.

Das spiegelt das Ziel verschiedener Bug-Plattformen wider: möglichst genaue Berichte. Das Verhältnis zwischen Signal und Rauschen sei für die Unternehmen oft sehr hoch, sagt Price. Deshalb soll die eingesetzte Software Duplikate, bestimmte Fehlermeldungen oder bloße Feature-Anfragen von vornherein ausfiltern.