Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Hackerone: Raus mit den Bugs

Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Eine private Armee von 20.000 Sicherheitsforschern - das verspricht Hackerone seinen Kunden, die ihr Bug-Bounty-Programm über die Plattform laufen lassen. Wir haben mit dem Startup und seinem Kunden Owncloud über technische und politische Herausforderungen des Disclosure-Prozesses gesprochen.
Von Hauke Gierow

Wohin mit dem Bug? Diese Frage stellen sich Sicherheitsforscher häufig, wenn sie Lücken gefunden haben. Denn noch immer haben nicht alle großen Softwarefirmen ein Bug-Bounty-Programm oder überhaupt einen geregelten Prozess, mit dem externe Sicherheitsforscher Lücken melden können. Viele Forscher sind außerdem frustriert, weil Unternehmen entweder gar nicht auf Meldungen reagieren und die Lücken jahrelang ungepatcht lassen oder sogar rechtliche Schritte gegen die Forscher einleiten.

Anzeige

Das kalifornische Startup Hackerone möchte das ändern. "Wir wollen den Disclosure-Prozess von Sicherheitslücken revolutionieren - mit Technologie und mit Policy-Arbeit", sagt Katie Moussouris, Chief Policy Officer von Hackerone. "Wir wollen ein sichereres Internet für alle schaffen." Die Aussage muss natürlich um den üblichen Silicon-Valley-Marketing-Sprech bereinigt werden - doch Kunden der Plattform sind sehr angetan von dem, was das Unternehmen bislang anbietet.

Hackerone stellt seit 2013 eine Plattform bereit, mit der sich Sicherheitsforscher und Unternehmen vernetzen können. Die Unternehmen müssten sich aktiv zur Kooperation mit der Plattform entscheiden, sagt Katie Moussouris im Gespräch mit Golem.de. Bevor sie auf der Plattform um Sicherheitsforscher werben dürfen, sind sie verpflichtet, den allgemeinen Geschäftsbedingungen zuzustimmen. Darin verpflichten sie sich zum Beispiel, keine Sicherheitsforscher zu verklagen, die in guter Absicht ("in good faith") handeln.

Die technischen Probleme sind weitgehend gelöst

Die technische Seite hat das Unternehmen vorläufig gelöst - die Hackerone-Plattform ermöglicht es Sicherheitsforschern, Schwachstellen direkt an die dort gelisteten Unternehmen zu schicken. Auch die weitere Kommunikation kann direkt über die Plattform abgewickelt werden. Doch das ist noch nicht genug: "Viele Politiker wissen nicht genau, was Sicherheitslücken eigentlich sind", sagt Moussouris. "Viele haben zwar schon mal den Begriff 0-Day gehört. Doch über die tatsächlichen Herausforderungen der IT-Sicherheit wissen sie nicht viel. Wir versuchen daher auch, eine bessere politische Aufmerksamkeit für die Herausforderungen der IT-Security zu schaffen.". Zahlreiche Gesetze behindern Sicherheitsforscher in ihrer Arbeit - zum Beispiel der Digital Millenium Copyright Act in den USA, der die Umgehung von Sicherheitsmaßnahmen verbietet - doch genau das ist oft nötig, um Bugs zu finden.

Auch in Deutschland befinden sich Sicherheitsforscher nach der Einführung des "Hacker-Tools"-Paragrafen häufig in einer rechtlichen Grauzone - auch wenn es bislang wenige dokumentierte Fälle gibt, in denen Hacker deshalb tatsächlich rechtliche Probleme hatten.

Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern 

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Bonn, Darmstadt, Frankfurt am Main, Göppingen
  2. Daimler AG, Fellbach
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. Automotive Safety Technologies GmbH, Gaimersheim


Anzeige
Top-Angebote
  1. (-17%) 49,99€
  2. 47,99€
  3. und For Honor oder Ghost Recon Wildlands kostenlos erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Let's Play Facebook ermöglicht Livevideos vom PC
  2. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  3. OCP Facebook rüstet das Rechenzentrum auf

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

  1. Wozu Telefonnummer und Email?

    Sharra | 02:51

  2. Re: Irgendwas mache ich wohl falsch...

    amagol | 02:45

  3. Re: Wenn ich tatsächlich 45.000 verdienen würde

    amagol | 02:39

  4. Re: Brutto/Netto gehört abgeschafft.

    amagol | 02:31

  5. Re: Vieleicht einfach mal nicht Raubkopieren...

    TC | 02:03


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel