Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen

In einem Blogpost versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Anzeige

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.

Signal und Noise

Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."

Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv". Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können", sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.

"Hackerone Managed"

Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.

Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.

Auch Hackerone selbst hat ein Bounty-Programm

Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.

Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.

 Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Wilken Neutrasoft GmbH, Greven bei Münster/Westfalen
  3. Bosch Rexroth AG, Stuttgart-Bad Cannstatt
  4. Tecan Software Competence Center GmbH, Mainz-Kastel


Anzeige
Hardware-Angebote
  1. mit dem Gutscheincode PSUPERTECH

Folgen Sie uns
       


  1. GNSS

    ESA startet vier neue Satelliten für Galileo

  2. Fake Filmstreaming

    Verbraucherschützer warnen vor betrügerischen Angeboten

  3. New Shepard

    Touristenrakete fliegt ersten Crashtest-Dummy ins All

  4. Playerunknown's Battlegrounds angespielt

    Pubg ist auf der Xbox One gelandet

  5. Pepsi bestellt

    Tesla bekommt Großauftrag für Elektro-Lkw

  6. Apple

    iMac Pro kommt am 14. Dezember

  7. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  8. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  9. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  10. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Steuerstreit Apple zahlt 13 Milliarden Euro an Irland
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
Dynamics 365
Microsoft verteilt privaten Schlüssel an alle Kunden
  1. Sysinternals-Werkzeug Microsoft stellt Procdump für Linux vor
  2. Microsoft Kollaboratives Whiteboard als Windows-10-Preview verfügbar
  3. Microsoft-Studie Kreative Frauen interessieren sich eher für IT und Mathe

  1. Re: Touristenrakete - wie abgehoben ist das denn?

    Tantalus | 10:21

  2. Re: Ego-Shooter auf Konsole???

    Der Gulp | 10:21

  3. Re: Hätte Obama so eine Rede gehalten

    Trollversteher | 10:21

  4. Re: Autonome LKWs....

    elgooG | 10:20

  5. Und welche sind das?

    MeinSenf | 10:19


  1. 10:30

  2. 09:41

  3. 09:10

  4. 08:59

  5. 07:33

  6. 07:14

  7. 18:40

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel