Gab es früher auf des Bauers Wiesen Geld für einen Mäuseschwanz, winken heute auf den digitalen Feldern des Internets nebst einer Prämie (Bounty) auch Ruhm und Ehre, eine vielleicht bedeutende Sicherheitslücke («Bug») in einer Software gefunden zu haben. Darum geht es nämlich bei einem sogenannten «Bug-Bounty-Programm»: Sicherheitsexperten (auch «ethische Hacker» oder «White Hat Hacker» genannt) einen sicheren Rahmen für ihre Aktivitäten beim Auffinden von Fehlern in der Software zu bieten – und Prämien bei Erfolg. Es handelt sich um eine strukturierte und kooperative Vorgehensweise, um potenzielle schwere Sicherheitslücken zu entdecken und zu beheben.
Dabei werden Unternehmen und Organisationen von spezialisierten Firmen unterstützt, die weltweit Kontakte zu den Experten pflegen und die Programme verwalten. Fast alle Unternehmen, die Software entwickeln oder einsetzen, lassen ihren Code in solchen «Feldversuchen» durch Expertinnen und Experten testen, die über weitreichende Hacking-Erfahrungen verfügen und die neuesten Trends dieser dunklen Branche kennen.
Das gilt auch für Abraxas. Seit mehreren Jahren befinden sich Eigenentwicklungen – vor allem aus der VOTING Suite – in dauerhaften Bug-Bounty-Programmen. Teilweise wird dabei in Absprache mit dem Kunden der Softwarecode offengelegt. Dies erleichtert die Suche nach Bugs und das Dokumentieren der gefundenen Lücken («Findings»).
Heute werden manchmal mehrere tausend bis hunderttausend Franken bzw. Dollar an Prämien bezahlt, wobei Sicherheitsforschende ihre Teilnahme eher von einer Wirtschaftlichkeitsrechnung abhängig machen, also vom erwarteten Aufwand im Verhältnis zum möglichen Ertrag. Viele leben in Ländern mit einem geringen Nettoeinkommen.
Geschichte
Als erstes Bug-Bounty-Programm gilt jenes von 1981 für das Betriebssystem Versatile Real-Time Executive (VRTX) für industrielle Anwendungen. Als Belohnung wurde ein VW Käfer versprochen. Vierzehn Jahre später startete Netscape das erste moderne Bug-Bounty-Programm für den Netscape Navigator 2.0 Betabrowser. Sicherheitsforscher erhielten für gefundene Sicherheitslücken Prämien. Mit IDefense trat 2002 ein erster Vermittler zwischen Forschern und Softwareherstellern auf, der bis zu 400 US-Dollar pro gemeldete Schwachstelle zahlte. 2004 startete dann Mozilla das erste Programm für den Firefox-Browser und lobte 500 Dollar für kritische Schwachstellen aus. Ab 2010 nahmen die Programme in der Branche mit dem ersten von Google an Fahrt auf. Das erste staatliche lancierte das US-Pentagon im 2016. Es läuft bis heute. Das erste Regierungsprogramm in der Schweiz begann 2021 mit einem Pilotprojekt. Seit 2022 führt der Bund regelmässig Bug-Bounty-Programme durch. Abraxas stieg 2022 mit der Ergebnisermittlung aus der VOTING-Suite für die Kantone St.Gallen und Thurgau in die Bug-Jagd ein. Dabei arbeitet sie mit Bug Bounty Switzerland zusammen.
Deep Dive
Bug-Bounty-Programme sind unterschiedlich aufgebaut. Im Kern ist der Ablauf vereinfacht dargestellt wie folgt:
- Vorbereitung: Die Ziele des Programms werden festgelegt. Die Systeme, Anwendungen oder Dienste, die auf Schwachstellen getestet werden sollen, werden definiert und die entsprechende Umgebung – meist getrennt vom produktiven System – wird aufgebaut. Sie entspricht in der Regel den aktuell eingesetzten Software- und Bibliotheksversionen. Klare Richtlinien legen fest, welche Art von Schwachstellen akzeptiert wird und welche Teile des Systems vom Bug-Bounty-Programm ausgeschlossen sind («Scope»). Zudem werden das Budget für die Prämien sowie die Struktur des Prämiensystems festgelegt. Meist hängt die Höhe der Prämie von der Kritikalität der Schwachstelle (gemäss «CVSS»-Modell) ab: Je höher der Wert, desto besser die Belohnung.
- Veröffentlichung: Das Unternehmen veröffentlicht sein Programm auf einer der Bug-Bounty-Plattformen in der Schweiz oder im Ausland. Hier wird genau beschrieben, wie Sicherheitsforschende bzw. Hackerinnen und Hacker teilnehmen können. Weiter wird nach Bedarf der Softwarecode zusammen mit weiteren wichtigen Informationen auf einer der bekannten Entwicklerplattformen veröffentlicht.
- Melden von Schwachstellen: Forschende reichen ihre «Findings» mit einem ausführlichen Bericht («Report») via Bug-Bounty-Plattform beim Unternehmen ein. Sie halten sich dabei an die vorgegebenen Regeln. So müssen etwa Probleme nachvollziehbar und reproduzierbar sein. Ausserdem werden nur anerkannte, erstmalig gemeldete Sicherheitslücken im «Scope» prämiert.
- Verifizierung: Die Sicherheits- und Softwareexperten des Unternehmens prüfen die Findings und diskutieren mit den Sicherheitsforschenden Anwendungsfälle und Kritikalität. Sie bewerten die potenzielle Bedrohung. Je nach ihrem Urteil erhalten die Hackerinnen und Hacker eine höhere oder tiefere Prämie. Oder das Finding wird abgelehnt, etwa weil es sich um keine Sicherheitslücke handelt oder der Scope nicht beachtet wurde.
- Behebung und Nachbearbeitung: Die gemeldeten Schwachstellen fliessen in den Entwicklungsprozess mit ein. In der Regel haben Unternehmen 90 oder mehr Tage Zeit, die Schwachstelle zu schliessen. Erst danach dürfen Sicherheitsforschende öffentlich über die Schwachstelle reden bzw. sie selbst publizieren. Diese Vereinbarung nennt sich «Responsible Disclosure». Oft kommunizieren betroffene Unternehmen die Schwachstelle selbst, um durch Transparenz das Vertrauen in ihre Lösung zu stärken – im Wissen, dass keine Software fehlerfrei ist und dass eine behobene Schwachstelle widerstandsfähiger gegen Angriffe macht.
Wirkung
Abraxas hat mit ihren bisherigen Bug-Bounty-Programmen gute Erfahrungen gemacht. Die Entwicklungsabteilung schätzt die Zusammenarbeit mit erfahrenen Sicherheitsforschenden auf Augenhöhe und hat bereits einige wertvolle Impulse zur Optimierung der eigenen Software-Exzellenz erhalten. Das liegt auch daran, dass Abraxas stets gut vorbereitet in ein privates und später öffentliches Bug-Bounty-Programm geht – erst bei letzterem sind Hacker aus aller Welt eingeladen. Im Vorfeld finden umfangreiche Sicherheitstest in Zusammenarbeit mit Experten aus der Privatwirtschaft und den Hochschulen statt. Ausserdem wird Software für die öffentliche Verwaltung stets «by design» sicher entwickelt. Sie ist exakt auf ihren Zweck zugeschnitten und enthält sowenig Angriffsvektoren wie nur möglich.
Bug-Bounty-Programme müssen sinnvoll konzipiert und gut betreut sowie über eine bekannte Plattform betrieben werden, um die die üblichen Risiken zu minimieren. Dazu gehören unter anderem mangelhafte Berichte, ein Mangel an Zusammenarbeit mit den Sicherheitsexpertinnen und -experten sowie rechtliche Risiken, etwa wenn sich die Parteien nicht an die vorgegebenen Regeln halten oder Schwachstellen hinterrücks weiterverkauft werden, ohne sie zu melden.
Eine Software ist auch nach einem Bug-Bounty-Programm nicht fehlerfrei. Sie wurde jedoch in einer realen, von erfahrenen Hackerinnen und Hackern auf Herz und Nieren geprüften Systemumgebung resilienter gegen aktuell bekannte Angriffsmethoden gemacht. Die Wahrscheinlichkeit eines erfolgreichen Hacks ist kleiner als vor dem Bug-Bounty-Programm.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
