Definition

Bug-Bounty-Programm

Was ist ein Bug-Bounty-Programm?

Ein Bug-Bounty-Programm, ist eine Crowdsourcing-Initiative, die Einzelpersonen für die Entdeckung und Meldung von Softwarefehlern belohnt. Bug-Bounty-Programme werden oft als Ergänzung zu internen Code-Audits und Penetrationstests als Teil der Schwachstellenmanagement-Strategie eines Unternehmens initiiert.

Zahlreiche Software-Hersteller und Websites betreiben entsprechende Programme. Dort erhalten Sicherheitsforscher oder White Hat Hacker Belohnungen für das Melden von Schwachstellen, die das Potenzial haben für Angriffe genutzt zu werden. Die entsprechende Meldung muss es üblicherweise dem Hersteller oder Entwickler erlauben, die Schwachstelle nachzuvollziehen und zu reproduzieren. In der Regel korreliert die Höhe der Belohnung mit der Größe des Unternehmens, der Schwierigkeit des Entdeckens und den Auswirkungen, die von der Schwachstelle ausgehen könnten.

Mozilla staffelt beispielsweise die Belohnung nach Schweregrad und Ausnutzbarkeit der Schwachstelle, beim Client-Bug-Bounty-Programm reicht die Bandbreite bis 10.000 US-Dollar. Microsoft hat zahlreiche Bug-Bounty-Programme am Start, die Prämienspanne ist groß und reicht bis 250.000 US-Dollar.

Es gibt öffentliche Bug-Bounty-Programme, die allen zugänglich. Andere Programme sind einem bestimmten, geschlossenen Benutzerkreis vorbehalten. Es kann sehr effektiv sein, mit Hilfe von ethischen Hackern Fehler in der Software aufzuspüren. Dennoch gibt es unterschiedliche Meinungen hinsichtlich offener Programme. Einige Hersteller und Organisationen bieten daher nur begrenzte, geschlossene Programme, die eine Einladung erfordern.

Darüber hinaus existiert der Ansatz, dieses Prinzip auch nur auf die eigene Organisation zu beschränken, und für ein Unternehmen ein internes Bug-Bounty-Programm aufzusetzen.

Diese Definition wurde zuletzt im August 2023 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit