Das sind Bug Bounty und Bug-Bounty-Programme (BBP)

Kopfgeldjäger kennt man ja bereits aus den USA: Private Leute jagen Kautionsflüchtlinge und nehmen diese fest. Dafür erhalten sie eine festgelegte Belohnung, das Kopfgeld. In der Informationstechnologie gibt es für diese Jäger einen eigenen Namen: Bug Bounty.

Sogenannte Bug Bounty sind Sicherheitsforscher oder -begeisterter für die IT, die Sicherheitsschwachstellen in der Software von Unternehmen suchen und melden. Das Melden kann entweder öffentlich passieren oder privat per Mail, in der dann der Weg zur Fehlerfindung detailliert beschrieben wird. Je nach Größe des Fehlers und des Unternehmens erhalten die Hacker eine finanzielle Belohnung oder Prämien.

Bug Bounty auf Bestellung oder ungefragt, auf „eigene Rechnung“

Große Unternehmen, beispielsweise Microsoft, Facebook, Bitcoin Deutschland AG und Deutsche Telekom, bieten auch direkt „Bug Bounty“-Programme, kurz BBP, an. Dies geschieht entweder privat, wobei Hacker persönlich eingeladen werden, oder öffentlich. Dabei können auch Vermittlerwebseiten benutzt werden, die über eine Gemeinschaft von Hackern verfügen und diese mit den jeweiligen Firmen verbinden.
Somit werden Bug Bounty für Crowd-Sicherheitsprozesse genutzt, die Webseiten und Programme sichern, teils auch schon vor deren Veröffentlichung. Damit ist gemeint, dass durch Crowdsourcing das weltweite Fachwissen von IT-Spezialisten genutzt wird. Dies wird von Unternehmen gefördert, um sich präventiv vor Cyberattacken zu schützen, kontinuierlich ihre Sicherheit zu erhöhen sowie frühzeitig Fehler zu erkennen und zu beheben, damit die Probleme erst gar nicht beim Endnutzer auftreten.

Die jeweiligen Unternehmen geben zu diesem Zweck an, in welchem Rahmen die Hacker auf ihre Programme zugreifen sollen. Oft muss eine Verschwiegenheitspflicht eingehalten werden. Denn das empfindliche Vertrauen der Kunden hängt stark von der Sicherheit der Programme ab, vor allem, wenn die Privatsphäre gefährdet ist. Somit kann eine bekannt gewordene Schwachstelle im System schädlich für das Geschäft sein. Doch genau diese Unterschlagung an Informationen über eine Sicherheitslücke verhindert, dass sich die Nutzer selbst schützen können.

Die wettbewerbsorientierten Crowdsourcing-Initiativen sind aber nicht nur ein innovativer Ansatz zur Nutzung internationaler Fachkräfte, sondern auch ein Schutz vor Erpressung mit gefundenen Sicherheitslücken. Ebenso sind sie eine Alternative zum Schwarzmarkt, auf dem mit jenen Lücken Handel betrieben wird.