Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen

In einem Blogpost versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Anzeige

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.

Signal und Noise

Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."

Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv". Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können", sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.

"Hackerone Managed"

Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.

Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.

Auch Hackerone selbst hat ein Bounty-Programm

Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.

Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.

 Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, Stuttgart
  2. TAMPOPRINT® AG, Korntal-Münchingen
  3. Apex Tool Holding Germany GmbH & Co. KG, Besigheim
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. (u. a. Dark Souls III für 24,99€, Darkosuls II: Scholar of the First Sin für 8,99€, Bioshock...
  2. 283,88€ + 5,00€ Versand (USK 18)
  3. 288,88€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  2. Autonomes Fahren

    Der Truck lernt beim Fahren

  3. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  4. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  5. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  6. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  7. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  8. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft

  9. V8 Turbofan

    Neuer Javascript-Compiler für Chrome kommt im März

  10. Motion Control

    Kamerafahrten für die perfekte Illusion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Re: First World Problems

    Icestorm | 07:46

  2. Re: Delays wegen Handgepäck, slightly OT

    Icestorm | 07:38

  3. Re: Bei 70cm dürfte der Sitz nur max. 2cm verbrauchen

    NaruHina | 07:33

  4. Re: Klasse, wie "open" dieses Open Source doch ist.

    Lasse Bierstrom | 07:28

  5. Re: Die Nachrichtendienste spionieren

    AlexanderSchäfer | 07:21


  1. 18:02

  2. 17:43

  3. 16:49

  4. 16:21

  5. 16:02

  6. 15:00

  7. 14:41

  8. 14:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel