Kommt und hackt uns!


Ohne Softwareentwicklung kommt quasi kein Unternehmen mehr aus. Selbst in angestammten Branchen wie dem Maschinenbau spielen digitale Abläufe seit Jahren eine große Rolle. Gleichzeitig wird Software wird komplexer: Kunden verlangen nach zusätzlichen Funktionen und Anpassungen, zwischendurch bessern Patches und Updates erkannte Fehler aus. Doch wie kann ein kleineres oder mittelständisches Unternehmen mit einer überschaubar großen Entwicklungsabteilung dafür sorgen, dass der programmierte Code möglichst frei ist von Fehlern?

Nur wenige Unternehmen können es sich leisten, die immer neuen Releases eingehenden Sicherheitsprüfungen zu unterziehen. Seit einigen Jahren setzen daher Firmen wie Microsoft, Google oder Apple auf die Mithilfe von externen Entwicklern und rufen per Bug Bounty-Programm dazu auf, gezielt nach Sicherheitslücken und anderen Bugs in ihren Programmen zu suchen. Die Arbeit dieser Freiwilligen wird auch belohnt, je nach Schwere des erkannten Fehlers werden bis zu sechsstellige Summen ausbezahlt. Gleichzeitig gehen natürlich weiterhin interne Teams auf die Pirsch nach Schwachstellen. Der Vorteil der Prämienprogramme: Sie setzen auf die Weisheit der Vielen, anstatt sich (ausschließlich) auf wenige Spezialisten zu verlassen. Sie sind aber auch erfolgreich, da Außenstehende Produkte oft einen anderen Blickwinkel auf die Dinge haben als interne Mitarbeiter.

Für KMU sind eigene Bug Bountys meist zu aufwändig. Daher übernehmen spezialisierte Firmen wie HackerOne oder Bugcrowd diesen Job. Sie stellen den Kontakt her zwischen den Unternehmen und der weltweiten Bug-Hunter-Community. HackerOne kassiert pro gefundenem Fehler 20 Prozent der ausgeschütteten Prämie, Bugcrowd hingegen bietet unter anderem Programme für die längerfristige Begleitung einer Software-Entwicklung an. Laut eigenen Angaben hat HackerOne bisher rund 6 Millionen US-Dollar Prämien an seine freien Mitarbeiter weitergeleitet, Bugcrowd kommt auf etwa 1,7 Millionen US-Dollar.

Wer hackt denn da?

Die letztgenannte Firma hat zudem kürzlich unter dem Titel Inside the Mind of a Hacker einen Bericht vorgestellt, der einige Zahlen zu den bei ihr angemeldeten Entwicklern nennt. Demnach kommen ihre aktuell etwa 38.000 „guten Hacker“ aus 112 Ländern. 95 Prozent von ihnen erklärten, dass sie mittlere bis sehr gute Kenntnisse im Testen von Web-Applikationen besäßen, dahinter folgten APIs und Webservices sowie Erfahrungen mit Code-Reviews. 15 Prozent bezeichneten sich als reine Bug-Hunter, die keinen anderen Beruf ausübten. Die Mehrheit jedoch betreibt die Fehlersuche lediglich als Nebenberuf oder Hobby. In der übrigen Zeit verdienen sie ihr Geld als Software-Entwickler, Penetration-Tester oder Sicherheitsexperte.

Das deckt sich weitgehend mit den Erkenntnissen aus dem 2016 Bug Bounty Hacker Report von HackerOne, der 617 Hacker befragte. So gaben 72 Prozent an, vor allem wegen der Prämien auf Fehlersuche zu gehen. 70 Prozent stimmten allerdings auch der Aussage zu, dass ihnen das Hacken Spaß mache, 66 Prozent suchen nach einer Herausforderung. Für 17 Prozent bildeten die Bug-Bounty-Programme das einzige Einkommen, wobei das durchschnittliche HackerOne-Mitglied rund 20.000 US-Dollar im Jahr verdiente. Das traf etwa für die Hälfte der Befragten zu. Lediglich einige Spitzenverdiener gaben Einkommen von bis zu 350.000 US-Dollar an. Beide Untersuchungen ergaben zudem, dass der durchschnittliche Bug-Hunter zwischen 20 und 35 Jahre alt und männlichen Geschlechts ist – lediglich zwei Prozent der Befragten waren weiblich.

Die Software-Unternehmen als Veranstalter von Bug-Prämienprogrammen sind nur der Anfang. Mittlerweile haben auch Unternehmen wie Western Union, General Motors, Tesla oder Airbnb Bug-Bounty-Programme gestartet. Denn auch sie entwickeln eigene Software, besitzen jedoch oft nicht die Ressourcen, um sie kontinuierlich auf Fehler zu testen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content