Kann man von Bug‑Bounty‑Programmen leben? | WeLiveSecurity

Kann man von Bug‑Bounty‑Programmen leben?

White-Hat-Hacker melden Sicherheitslücken an die betroffenen Unternehmen und erzielen dabei teilweise Einnahmen von mehreren hunderttausend Dollar aus sogenannten Bug-Bounty-Programmen.

White-Hat-Hacker melden Sicherheitslücken an die betroffenen Unternehmen und erzielen dabei teilweise Einnahmen von mehreren hunderttausend Dollar aus sogenannten Bug-Bounty-Programmen.

Laut einem Bericht der Bug-Bounty-Plattform HackerOne verdienten Programmierer und Sicherheitsforscher im Jahr 2019 fast 40 Millionen US-Dollar durch die Aufdeckung von Sicherheitslücken. Dies entspricht fast der Summe aller jemals vorher ausgezahlten Belohnungen, sogenannte Bug Bounties.  Bug-Bounty-Programme sind meist von Software-Herstellern ausgelobte Belohnungsprogramme für die Aufdeckung und Meldung von Sicherheitslücken.

Die Popularität der Programme ist sicher ein Grund dafür, dass das sogenannte White-Hat-Hacking, also dass Hacken von Software ohne kriminelle Absicht, für viele Menschen zu einer lukrativen Karriereoption geworden ist. Die Zeiten, da sich Hacker nur in den dunklen Ecken des Internets tummeln, haben sich geändert, wie es im vierten Jahresbericht der Plattform HackerOne heißt.

Nicht weniger als 850 White-Hat-Hacker stoßen durchschnittlich pro Tag zur bereits 600.000 Menschen zählenden Community. Kein Wunder, denn bereits sieben dieser Sicherheitsforscher haben mit den von ihnen aufgedeckten Sicherheitslücken mehr als 1 Million US-Dollar an Belohnungen eingestrichen und 13 weitere haben die Marke von 500.000 US-Dollar erreicht. Und die Zahl wächst: Im Jahr 2019 haben 146 White-Hats insgesamt mehr als 100.000 US-Dollar verdient, das sind dreimal so viele Personen wie ein Jahr zuvor.

Für die meisten Mitglieder der Community ist das „ethische Hacken“ laut einer Umfrage aber nur ein Zuverdienst. Nur 22% der Befragten gaben an, dass Hacking ihr gesamtes Einkommen ausmacht. Dies zeigt sich auch darin, dass 40% der Teilnehmer angaben 20 Stunden pro Woche für die Suche nach Sicherheitslücken aufzuwenden, nur 18% beschäftigen sich in Vollzeit damit.

Trotz der Absicht von White-Hats, ihre Erkenntnisse an betroffene Unternehmen weiterzugeben, haben, laut dem Bericht, mehr als zwei Drittel von ihnen aus verschiedenen Gründen beschlossen, ihre Ergebnisse nicht zu melden. Vier von zehn Befragten gaben als Grund dafür die „bedrohlichen rechtlichen Formulierungen“ der Unternehmen an. Jeder Fünfte gab an, dass „Unternehmen keinen definierten Kanal hatten, über den sich Sicherheitslücken melden ließen“. In einigen Fällen haben Unternehmen auch nicht auf Fehlerberichte reagiert.

„Das sind Tausende von Bugs, die nicht gemeldet wurden und eine erhebliche Menge an ungenutztem Potenzial“, heißt es in dem Bericht.

Noch bleibt die technische Herausforderung für die meisten die größte Motivation zum Hacken und finanzielle Gesichtspunkte stehen an zweiter Stelle. Doch diese Reihenfolge ändert sich gerade. Was die Attraktivität bestimmter Bug-Bounty-Programme angeht, spielen die Belohnungen eine immer größere Rolle. Dabei sind teilweise Bug-Bounty-Programme der US-Regierung wegweisend, die der Ermittlung von Schwachstellen in den digitalen Programmen der US-Luftwaffe.

Doch, an wen gehen die Belohnungen? Im vergangenen Jahr haben ethische Hacker aus den USA ein Fünftel aller Belohnungen eingestrichen, an zweiter Stelle lagen die Kollegen aus Indien mit einem Anteil von 10%. Sicherheitsforscher aus Österreich und der Schweiz konnten, im Vergleich zum Vorjahr, ihren Anteil fast verzehnfachen und die White-Hats aus dem asiatisch-pazifischen Raum verdienten 250% mehr als im Vorjahr.

Bei HackerOne hat sich die Anzahl der Mitglieder im vergangenen Jahr fast verdoppelt, wobei die meisten Benutzer jünger als 35 Jahre waren. Hacker aus Indien waren mit 18% aller im letzten Jahr eingereichten Berichte am produktivsten, während White-Hats aus den USA 11% der Lücken einreichten. Bisher wurden über die Plattform mehr als 150.000 Software-Schwachstellen gemeldet.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren