Bug Bounty
Programm, bei dem Unternehmen externe Sicherheitsforscher für das Auffinden und verantwortungsvolle Melden von Schwachstellen belohnen.
Ein Bug-Bounty-Programm lädt externe Sicherheitsforscher ein, gezielt nach Schwachstellen in Systemen, Anwendungen oder Infrastruktur zu suchen — und belohnt sie für jede verantwortungsvoll gemeldete Sicherheitslücke mit einer finanziellen Prämie. Anders als bei einem klassischen Penetrationstest, der zeitlich begrenzt und durch einen definierten Scope eingegrenzt ist, läuft ein Bug-Bounty-Programm kontinuierlich und nutzt die kollektive Expertise einer globalen Forschercommunity.
Wie Bug-Bounty-Programme funktionieren
Das Unternehmen definiert einen Scope — welche Systeme, Domains und Anwendungen getestet werden dürfen — sowie Regeln für die Teilnahme (Responsible Disclosure Policy). Sicherheitsforscher untersuchen die freigegebenen Assets eigenständig und melden gefundene Schwachstellen über eine strukturierte Plattform. Jeder Bericht wird vom Sicherheitsteam des Unternehmens bewertet, die Schwere der Schwachstelle eingestuft (typischerweise nach CVSS) und eine entsprechende Prämie ausgezahlt. Die Höhe richtet sich nach Kritikalität und Auswirkung — von niedrigen dreistelligen Beträgen für informationelle Findings bis zu fünfstelligen Summen für kritische Remote-Code-Execution-Schwachstellen.
Plattformen und Modelle
Die bekanntesten Bug-Bounty-Plattformen sind HackerOne, Bugcrowd und Intigriti (europäisch, DSGVO-konform). Sie übernehmen die Verwaltung des Programms, die Kommunikation mit Forschern und das Triage der eingereichten Berichte. Neben öffentlichen Programmen, an denen jeder teilnehmen kann, gibt es private Programme mit eingeladenen Forschern — ein sinnvoller Einstieg für Unternehmen, die den Kreis der Tester kontrollieren möchten.
| Modell | Teilnehmer | Vorteil | Geeignet für |
|---|---|---|---|
| Öffentlich | Jeder Forscher | Maximale Abdeckung | Reife Sicherheitsorganisationen |
| Privat | Eingeladene Forscher | Kontrollierter Scope | Einstieg und sensible Systeme |
| Managed | Plattform steuert Forscher | Geringer Eigenaufwand | Unternehmen ohne eigenes Security-Team |
Bug Bounty vs. Penetrationstest
Bug Bounty und Penetrationstests ergänzen sich, ersetzen einander aber nicht. Ein Penetrationstest liefert eine strukturierte, methodische Prüfung zu einem definierten Zeitpunkt mit einem formalen Bericht — oft als Compliance-Nachweis für ISO 27001 oder NIS2 erforderlich. Ein Bug-Bounty-Programm bietet kontinuierliche Prüfung durch diverse Perspektiven, findet aber typischerweise keine Architektur- oder Konfigurationsschwächen, die ein methodisches Assessment aufdeckt. In der Praxis empfehlen wir, zuerst die Grundlagen durch Penetrationstests abzusichern, bevor ein Bug-Bounty-Programm gestartet wird — andernfalls zahlt man Prämien für Schwachstellen, die ein strukturiertes Assessment günstiger gefunden hätte.
Herausforderungen
Bug-Bounty-Programme erfordern interne Prozesse zur zeitnahen Bewertung und Behebung gemeldeter Schwachstellen. Ohne ein funktionierendes Patch-Management und klare Zuständigkeiten stauen sich Berichte, Forscher verlieren das Interesse und die Sicherheitslage verbessert sich nicht. Auch Duplicate Reports — mehrere Forscher melden dieselbe Schwachstelle — und Out-of-Scope-Meldungen erzeugen Verwaltungsaufwand, der eingeplant werden muss.
Ein weiterer kritischer Faktor ist die Reaktionszeit: Erfahrene Sicherheitsforscher bewerten Programme unter anderem danach, wie schnell und professionell ein Unternehmen auf Meldungen reagiert. Programme mit langen Reaktionszeiten oder intransparenter Kommunikation ziehen weniger qualifizierte Forscher an.
Relevanz für KMUs
Bug-Bounty-Programme galten lange als Domäne großer Technologieunternehmen. Managed-Bug-Bounty-Angebote und private Programme mit kontrollierbarem Budget machen den Ansatz zunehmend auch für den Mittelstand zugänglich. Der Einstieg über ein privates Programm auf einer europäischen Plattform wie Intigriti hält den Aufwand überschaubar. Entscheidend ist die interne Bereitschaft, gemeldete Schwachstellen tatsächlich zeitnah zu beheben — ein Bug-Bounty-Programm ohne Remediation-Prozess schadet mehr als es nützt.