Bug Bounty – Wundermittel oder Marketinggag?
Was kann Bug Bounty? Und wo sind seine Grenzen? Ist es ein Allheilmittel oder einfach ein neuer IT-Modebegriff? Der Versuch einer Annäherung an einen neuen Sicherheitsansatz.
Eines vorneweg: Die digitale Welt dreht immer schneller. Der Druck auf die Entwickler wächst. Agile Teams, neue Releases alle paar Wochen, Anpassungen, Änderungen, Verbesserungen. Daran werden sie gemessen. Wie sicher ihre Produkte sind, ist meist sekundär, bis es zum Knall kommt. Wie beim Hack von Facebook, wo die Daten von 500 Millionen Usern publik wurden.
In solchen Fällen ist die Aufmerksamkeit aller beim Thema Sicherheit. Auch der Geschäftsleitungen. Da wird einem bewusst, was man zuvor verpasst hat. Mit Bug Bounty ist das alles zu verhindern, sagen jene, die darin das Mittel schlechthin sehen. Friendly Hacker hätten den Bug finden können. Facebook hätte die Belohnung für die gefundene Schwachstelle bezahlt und den Datenleak hätte es nie gegeben.
Bug Bounty ist kein Allheilmittel
Viele Experten sehen Bug Bounty etwas differenzierter, als weiteres Puzzleteil für sichere digitale Services. «Es gibt viele Phasen im Lebenszyklus von digitalen Services, da ist es sinnvoller gesamtheitliche Analysen durchzuführen, als einfach nur auf Bug Bounty zu setzen. Bug Bounty ist ein Blackbox-Ansatz», sagt etwa IT-Security-Experte Rolf Wagner. Es sei als würde da jemand von Aussen an einer Maschine rütteln, ohne die Mechanik anzuschauen. Man kann so Fehler finden. Aber von einer umfassenden Analyse und einem entsprechenden Verständnis der Sicherheitsmechanismen kann keine Rede sein.
Mit spezifischer Ausbildung der Entwickler können viele Fehler vermieden werden. Die enge Involvierung von IT-Sicherheitsexperten bei der Konzeption neuer Applikationen ist ebenfalls zentral. Ist die Software entwickelt, wird sie einem Sicherheitscheck unterzogen. Ein Sicherheitsaudit durch Experten, die Struktur und Code anschauen und damit die die Applikation auf ihre Standhaftigkeit testen.
Die richtige Mischung macht es aus
«Man macht bei einem Auto ja auch zahlreiche Tests, bevor man es auf den Markt bringt», veranschaulicht Software-Experte Marcel Eyer. Würde man IT-Security auf Bug Bounty reduzieren, wäre das, als würde man den Elchtest erst machen, wenn man 100'000 Autos verkauft hat. Testet man zuvor, kostet das zwar. Aber die Kosten einer Rückrufaktion und der damit verbundene Imageschaden wären noch viel grösser. «Mit einem sauberen Sicherheitsaudit bemerkt man schon vor Inbetriebnahme eines neuen Webservices, ob es grundlegende Schwachstellen gibt oder nicht», sagt Eyer.
Natürlich können Fehler auch so unbemerkt bleiben. Sie können sich aber auch fortlaufend neu einschleichen. Denn Software wird laufend weiterentwickelt. Stets im Zentrum: der User, sein Erlebnis im virtuellen Raum. Und mit jedem Update können sich Fehler einschleichen. In dieser Phase kann es sehr sinnvoll sein, auf die Unterstützung von Friendly Hackern zu setzen.
Bug Bounty als Statement gegen innen und aussen
Aber das Unternehmen muss bereit sein dafür. Gefundene Bugs müssen analysiert, korrigiert und entlöhnt werden. Dafür müssen die Unternehmensstrukturen geschaffen sein. Ist dies der Fall, kann Bug Bounty seine Macht entwickeln. Denn es ist nicht nur ein Statement gegen aussen («Hei ihr Hacker, kommt und fordert uns ein bisschen.»), sondern auch gegen innen («Hei ihr Entwickler, wir lassen die Hacker auf euch los.»). Das führt dazu, dass das heute oft stiefmütterlich behandelte Thema Sicherheit innerhalb der Unternehmen mehr Gewicht bekommt.
Mögliches Resultat: ein Kulturwandel, bei dem es nicht um immer mehr und immer schneller geht, sondern auch die Qualität der Applikation, also deren Sicherheit im Zentrum steht.