Gina Sanders - stock.adobe.com

Penetrationstests und Bug-Bounty-Programme im Vergleich

Pentests und Bug-Bounty-Programme sind zwei etablierte Methoden, das eigene System zu überprüfen, auf Schwachstellen hin zu scannen und dabei die eigene Resilienz zu stärken.

Es steht viel auf dem Spiel, wenn Bedrohungsakteure die IT eines Unternehmens infiltrieren: Erpressungsversuche mit Ransomware, das Abgreifen wertvoller Betriebsgeheimnisse oder das Ausspionieren sensibler Unternehmensdaten oder Kundeninfos. Entscheidend ist, sich bestmöglich gegen solche Angriffe zu wappnen und es den Kriminellen so schwer wie möglich zu machen, ins eigene System zu gelangen. Dazu muss man jedoch die gleichen Techniken wie die Angreifer anwenden – Techniken, die nur Menschen ausführen können.

Pentests: Gewappnet für den Worst Case?

Bei Penetrationstests (kurz: Pentests) versetzt sich eine kleine Gruppe qualifizierter Prüfer in die Rolle böswilliger Akteure und versucht, im Laufe einiger Wochen in die Systeme des Unternehmens einzudringen, oft nach einer bestimmten Methodik gegen genau definierte Ziele. Bezahlt wird die Tätigkeit nach dem geleisteten Aufwand. Jedes Unternehmen sollte Penetrationstests durchführen, wobei es unter Anwendern im Allgemeinen zwei Lager gibt: Die erste Gruppe umfasst Unternehmen, die nach realer Sicherheit streben. Sie führen häufig Pentests durch und testen, oft in Verbindung mit Major Releases, immer wieder dieselben Systeme. Diese Organisationen konzentrieren sich sowohl auf die Qualität der Vorgehensweise als auch der Tester, die oft für jeden Auftrag wechseln. Eine Lösung, die eine Vielfalt von Testern bietet und Tests innerhalb von Tagen statt Monaten durchführen kann, ist für den Erfolg entscheidend. Die zweite Gruppe besteht aus Unternehmen, die Pentests durchführen, weil sie Compliance-Anforderungen für Kunden oder Investoren, wie zum Beispiel PCI-DSS, SOC 2, oder ISO 27001, erfüllen müssen. In der Regel testen diese weniger häufig und sind flexibler bei der Wahl des Leistungsumfangs.

Vor- und Nachteile von Penetrationstests im Überblick:

Vorteile:

  •  Durch eine gründliche Abdeckung und Dokumentation gehen Penetrationstests sehr stark in die Tiefe eines IT-Systems.
  • Verschiedene Testoptionen innerhalb und außerhalb des Netzwerkes beschränken sich nicht auf eine bloße Schwachstellensuche. Auch physische Tests sind im Rahmen der Möglichkeiten.
  • Pentests bieten die Möglichkeit interne Systeme und unfertige Anwendungen zu testen und Compliance Anforderungen zu erfüllen.

Nachteile:

  • Bei einem Penetrationstest wird nur eine kleine Gruppe qualifizierter Prüfer eingesetzt. Das Risiko, eine Schwachstelle zu übersehen, steigt dadurch.

  • Penetrationstests sind zeitlich begrenzt und hängen vom Umfang eines Projektes ab. Sie gleichen mehr einer Momentaufnahme und können keine dauerhafte Sicherheit garantieren.
  • Pentests sind in ihren Abläufen weniger flexibel und dadurch weniger für individuelle Anforderungen von Unternehmen geeignet.

Bei Penetrationstests fallen die Kosten im Voraus an. Sie liegen beispielsweise zwischen 4.000 und 100.000 Euro und hängen vom Umfang des Auftrags ab. Bei umfangreichen Netzwerken mit mehr Anwendungen und mehr Komplexität kann man davon ausgehen, dass die Kosten in diesem Bereich höher liegen.

Bug Bounty: Was ist die Achillesferse?

Ein Bug-Bounty-Programm unterscheidet sich stark vom Pentesting: Hier sind ethische Hacker dazu eingeladen, Schwachstellen zu finden, und sie erhalten eine Belohnung, falls ihnen dies gelingt. Im Gegensatz zum Pentesting ist dies ein Modell, bei dem die Hacker für Ergebnisse bezahlt werden. Bug-Bounty-Programme laufen in der Regel kontinuierlich und in großem Umfang. Die Community ethischer Hacker verfügt über einen umfangreichen Erfahrungsschatz und eine große Bandbreite an Fähigkeiten. Sie nähern sich ihrem Ziel mit demselben Maß an Neugierde und Einfallsreichtum, wie es echte Angreifer tun würden und finden somit auch Schwachstellen, die in untypischeren Angriffsszenarien ausgenutzt werden könnten.

Es gilt, die Achillesferse eines IT-Systems zu finden, das, was man gerne als „neuartige und schwer fassbare“ Schwachstellen bezeichnet und die von Entwicklern, automatischen Tools und Penetrationstestern übersehen werden.

Hat ein Hacker eine Schwachstelle ausfindig gemacht, sendet er einen Bericht mit Beschreibung und einer detaillierten Einschätzung der potenziellen Risiken an das Unternehmen. In der Regel vereinbaren beide Parteien – Unternehmen und Hacker – eine Frist für die Behebung der Schwachstelle, zum Beispiel sechs Monate. Wichtig hierbei ist, dass die Sicherheitslücke niemals ohne die Erlaubnis des Unternehmens oder des ursprünglichen Finders veröffentlicht werden sollte, insbesondere dann nicht, wenn das Unternehmen noch nicht die Möglichkeit hatte, die Sicherheitslücke zu beheben. Bug-Bounty-Programme sind flexibel in ihrer Laufzeit, was sie zu den wenigen von Menschen durchgeführten Testaktivitäten macht, die wirklich mit der modernen Entwicklungsgeschwindigkeit Schritt halten können.

Vor- und Nachteile von Bug-Bounty-Programmen im Überblick:

Vorteile:

  • Flexible Zeit- und Preisgestaltung, die an unterschiedliche Budgets und Möglichkeiten eines Unternehmens individuell anpassbar sind. Die Kopfgelder werden nur gezahlt, wenn eine bislang unentdeckte Schwachstelle gefunden wird.
  • Durch die Spezialisierung auf das ausschließliche Finden von Schwachstellen können Bug-Bounty-Programme im Laufe der Zeit eine hohe Anzahl an Sicherheitslücken aufdecken.
  • Die Hacker sind durch eine globale Community in einem positiven Konkurrenzkampf untereinander und bieten eine enorme Fülle an Erfahrungen und Expertiise.

Nachteile:

  • Die Hacker finden lediglich Schwachstellen, testen das System jedoch nicht darüber hinaus.
  • Trotz der großen Expertise der Hacker-Community müssen Schwachstellen nach ihrem Aufdecken validiert und auf ihre Richtigkeit hin überprüft werden.
  • Zum Nachweis von Compliance können Bug-Bounty-Programme nicht verwendet werden.

Die Bezahlung der Hacker ist abhängig von den gefundenen Sicherheitslücken. Nur bei einer erfolgreichen Meldung bekommen diese ein Kopfgeld auch ausbezahlt, das zwischen einigen Hundert und ein paar Tausend Euro betragen kann. Daher können auch kleinere Unternehmen oft von budgetfreundlichen Bug-Bounty-Programmen profitieren. Dennoch müssen sie wettbewerbsfähige Preise ansetzen, um die nötigen Anreize für die Hacker-Community zu schaffen.

Wer die Wahl hat, nutzt beides

Müssen sich Unternehmen nun zwischen diesen beiden Optionen entscheiden, wenn sie eine möglichst gute und vollständige Abdeckung ihrer IT-Sicherheit wünschen? Zwar garantieren Pentests die Abdeckung und lassen sich leichter zu einem frühen Zeitpunkt im Softwareentwicklungszyklus implementieren. Sie lassen aber häufig Schwachstellen außerhalb der vorgeschriebenen Methodik außer Acht und können bei großen Unternehmen nicht ohne weiteres skaliert werden. Bug-Bounty-Programme hingegen liefern im Allgemeinen aussagekräftigere Ergebnisse, da sie kontinuierlich laufen, bieten jedoch keine Garantie für das Testen.

Chris Dickens, HackerOne

„Die beiden Testarten ergänzen sich gegenseitig und gleichen ihre Nachteile aus. Mit einem Pentest untersucht man neue Anwendungen und wichtige Funktionsaktualisierungen. Mit Bug-Bounty-Programmen findet man die neuartigen und schwer fassbaren Bugs kontinuierlich.“

Chris Dickens, HackerOne

Somit lautet die Antwort auf die Frage, welche Methode Unternehmen für den bestmöglichen Schutz ihres eigenen Systems verwenden sollten: Beide! Die beiden Testarten ergänzen sich gegenseitig und gleichen ihre Nachteile aus. Mit einem Pentest untersucht man neue Anwendungen und wichtige Funktionsaktualisierungen, um Vertrauen in neue Lösungen zu schaffen und gleichzeitig die Compliance einzuhalten. Mit Bug-Bounty-Programmen findet man die neuartigen und schwer fassbaren Bugs kontinuierlich und in großem Umfang. Dies bietet echte Sicherheit und Schutz vor externen Angriffen.

Über den Autor:
Chris Dickens ist Senior Solutions Engineer bei HackerOne.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen