Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen

In einem Blogpost versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Anzeige

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.

Signal und Noise

Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."

Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv". Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können", sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.

"Hackerone Managed"

Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.

Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.

Auch Hackerone selbst hat ein Bounty-Programm

Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.

Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.

 Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. Formel D GmbH, München
  2. Robert Bosch GmbH, Abstatt
  3. Universität Passau, Passau
  4. Diehl AKO Stiftung & Co. KG, Wangen im Allgäu


Anzeige
Top-Angebote
  1. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  2. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)
  3. Boomster 279,99€, Consono 35 MK3 5.1-Set 333,00€, Move BT 119,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  2. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  3. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  4. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  5. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen

  6. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  7. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  8. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  9. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  10. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Störung

    maverick1977 | 02:21

  2. Re: So langsam frage ich mich

    maverick1977 | 02:16

  3. Re: Welcher physikalische Effekt soll das sein ?

    johnsonmonsen | 01:53

  4. Re: Naja...

    Spawn182 | 01:31

  5. asus kapiert es nicht

    Unix_Linux | 01:28


  1. 18:02

  2. 16:46

  3. 16:39

  4. 16:14

  5. 15:40

  6. 15:04

  7. 15:00

  8. 14:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel