Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen

In einem Blogpost versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Anzeige

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.

Signal und Noise

Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."

Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv". Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können", sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.

"Hackerone Managed"

Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.

Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.

Auch Hackerone selbst hat ein Bounty-Programm

Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.

Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.

 Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. FIEGE Logistik Stiftung & Co. KG, Hamburg
  2. ENERCON GmbH, Aurich
  3. DZ PRIVATBANK S.A., Luxemburg
  4. E. Zoller GmbH & Co. KG Einstell- und Messgeräte, Pleidelsheim


Anzeige
Hardware-Angebote
  1. 599€ + 5,99€ Versand
  2. bei Alternate.de

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

  1. Warum sind Ports aufs PCB gelötet?

    FreierLukas | 22:18

  2. Was hat das mit dem Artikel zu tun?

    pommesmatte | 22:18

  3. Re: Die Praxis wird noch zunehmen

    Yash | 22:18

  4. Re: Autos brauchen keinen extra Ton

    mortates | 22:15

  5. Re: Bitte endlich mehr 10Gbit ports am Mainboard

    honna1612 | 22:04


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel