Bug Bounty – Hacker auf Fehlersuche oder die Kopfgeldjäger 2.0

Wer Kopfgeldjäger hört, denkt automatisch an den Wilden Westen. Tot oder lebendig – so heisst es doch jeweils in Filmen wie «Django unchained» oder «Für ein paar Dollar mehr». Denn Kopfgeldjäger sind für uns Fiktion oder doch wenigstens ein Relikt aus längst vergangenen Zeiten. Doch das Kopfgeld-System erlebt gerade eine digitale Renaissance – und fasst nun auch in der Schweiz Fuss.

Der Reihe nach. Digitale Entwicklungen sind so mannigfaltig und schnell, dass durch die zunehmende Vernetzung die Gefahr von Sicherheitslücken stark anwächst. Eine neue App, die Umstellung auf Clouddienste, die Weiterentwicklung des Webshops – jede Schnittstelle mit dem Internet ist ein potenzielles Eintrittstor für einen Eindringling. Gerade wenn laufend neue Updates releast werden, wenn laufend weiterentwickelt und immer früher der User involviert wird.

Genau hier setzt Bug Bounty an. Anstatt auf Köpfe wird das Lösegeld auf Softwarefehler ausgeschrieben, so genannte Bugs. Kopfgeldjäger 2.0 sind die Hacker, die digitalen Tüftler, die mit ihren Fähigkeiten Lücken im Sicherheitsdispositiv der jeweiligen Schnittstelle ausmachen. Bug-Bounty-Plattformen bringen Unternehmen und Hacker zusammen, sie ermöglichen «friendly hacking», das Suchen von Softwarefehlern («Bugs») nach festgelegten Regeln. «Je böser sie sind, desto besser die Belohnung», erklärt Kopfgeldjäger Dr. King Schultz in «Django unchained» die Mechanismen seines Gewerbes.

1f2991e9-216e-4295-931d-3a1c478a147a_nathaniel-tetteh-QLBYlclmgFo-unsplash.jpeg
Photo by Nathaniel Tetteh on Unsplash

Ähnlich funktioniert das in der virtuellen Welt: Je schwerwiegender eine von einem «Friendly Hacker» entdeckte Sicherheitslücke, desto grosszügiger die Entschädigung. Tech-Giganten wie Facebook, Google oder Uber haben längst ganze Armeen von Hackern, die für sie ihre Systeme auf Schwachstellen prüfen. Das passiert mit Hilfe der bereits erwähnten Bug-Bounty-Plattformen.

Auch in der Schweiz arbeiten namhafte Grossunternehmen mit internationalen Playern zusammen, um Ihre Applikationen und Systeme mit Bug-Bounty-Programmen zu verbessern und sicherer zu machen. Für viele KMU, die sich mit ähnlichen Herausforderungen konfrontiert sehen, ist die Hürde aber zu gross. Allein die juristischen Abklärungen können zum Ablöscher werden.

In der Schweiz basierte Bug-Bounty-Plattform

Genau hier setzt Bug Bounty Hub an. Als in der Schweiz basierte Bug-Bounty-Plattform mit eigener Community bietet das Start-up aus Zürich die Möglichkeit Bug-Bounty-Programme nach Schweizer Recht aufzusetzen und klar zu definieren, mit welchen Leuten man zusammenarbeiten will. Die Ansprechpersonen für die Schweizer Unternehmen sitzen nicht in Kalifornien, Paris oder Moskau, sondern in Zürich.

«Das Interesse an Bug Bounty in der Schweiz ist gross, aber viele haben Angst sich hacken zu lassen. Geht etwas schief, könnte ja die ganze Produktion stillstehen», sagt Mitgründer und Sicherheitsexperte Rolf Wagner. Dafür hat er grösstes Verständnis. Deshalb berät man die Kunden eingehend, definiert mit ihnen klare Regeln, welche Schnittstellen geprüft werden und wie das passieren soll. Wagner sagt: «In einem ersten Schritt empfiehlt sich zum Beispiel ein privates Bug-Bounty-Programm, das nur Friendly Hacker zulässt, die dem Schweizer Recht unterstehen.»

Bug Bounty Hub bietet Schweizer KMU im Gegensatz zu internationalen Plattformen aber nicht nur Rechtssicherheit, sondern auch spezifische Kenntnisse des Schweizer Sicherheitsmarktes. Die Gründer sind ausgewiesene Fachleute und verfügen über ein grosses Netzwerk. National und international. Bug Bounty in der Schweiz war nie einfacher. Also genug gezögert, holen Sie sich die Hacker ins Boot!