Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen

In einem Blogpost versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Anzeige

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.

Signal und Noise

Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."

Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv". Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können", sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.

"Hackerone Managed"

Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.

Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.

Auch Hackerone selbst hat ein Bounty-Programm

Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.

Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.

 Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. TenneT TSO GmbH, Lehrte
  2. Wüstenrot & Württembergische AG, Stuttgart
  3. Universität Passau, Passau
  4. Robert Bosch GmbH, Abstatt


Anzeige
Spiele-Angebote
  1. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€
  2. 19,99€

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Der Todesstern aus Sicht der Kampagne

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Äh, jo, das wars dann für mich.

    Der schwarze... | 18:37

  2. Re: Leider etwas zu spät gemerkt

    Thiesi | 18:35

  3. Re: Globale Menüleiste

    DeathMD | 18:35

  4. Re: Verkrüppelter Nautilus-Dateimanager

    DeathMD | 18:33

  5. Re: Absperrbänder

    DeathMD | 18:30


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel