Prämien für gefundene Sicherheitslücken

YesWeHack nimmt Deutschland ins Visier

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Die Bug-Bounty-Plattform mit französischen Wurzeln baut derzeit ein deutschsprachiges Team auf. Kunden ermöglicht YesWeHack die Zusammenarbeit mit über 10.000 ethischen Hackern aus 120 Ländern.
Das Team von YesWeHack mit CEO und Gründer Guillaume Vassault-Houlière (vorne in der Mitte) und dem ersten deutschen Mitarbeiter (Playmobil-Pirat links).
Das Team von YesWeHack mit CEO und Gründer Guillaume Vassault-Houlière (vorne in der Mitte) und dem ersten deutschen Mitarbeiter (Playmobil-Pirat links).
Foto: YesWeHack

YesWeHack rekrutiert derzeit ein deutschsprachiges Team, um Kunden in der DACH-Region künftig besser betreuen zu können. Als Bug-Bounty-Plattform will das Unternehmen Sicherheitsexperten und sogenannte "ethische Hacker" einerseits und Firmen andererseits zusammenbringen. Kunden ermöglicht YesWeHack die Zusammenarbeit mit über 10.000 ethischen Hackern aus 120 Ländern. Die können sie direkt oder über öffentliche Prämienprogramme für die Suche nach Sicherheitslücken motivieren. Die Experten werden für jede von ihnen entdeckte Schwachstelle belohnt. Die Höhe der Belohnung richtet sich nach dem Schweregrad der Schwachstelle und dem Umfang des Berichts darüber.

Derartige Prämienprogramme für aufgefundene Sicherheitslücken gibt es auch von einzelnen Herstellern, etwa Apple, HP, Microsoft und Google, die für besonders schwere und gut dokumentierte Sicherheitslücken durchaus Beträge zwischen 100.000 und 1 Millionen Dollar ausloben. Andere verweigern sich dieser Entwicklung. Zum Beispiel Adobe bedankt sich lediglich bei Entdeckern von Schwachstellen und hat nach der Übernahme von Magento sogar das dort erfolgreich laufende Bug-Bounty-Programm deutlich zurückgefahren.

Auch interessant: So viel verdienen Security-Experten als Schwachstellenjäger

Bedenklich ist das, weil ehrliche Entdecker von Sicherheitslücken schon jetzt für ihre Mühen nur spärlich entlohnt werden, verglichen mit dem, was sie verdienen könnten, wenn sie ihr Wissen an Kriminelle oder in der Grauzone agierende Firmen verkaufen, die diese Lücken an Behörden oder Geheimdienste weiterverkaufen.

Vorteile von Bug-Bounty-Plattformen

Vorteile von Bug-Bounty-Plattformen sind, dass Experten darüber an Programmen mehrerer Firmen teilnehmen können, dass ein Rahmen vorgegeben ist, in dem sich die Abwicklung des Geschäfts bewegt und auch die Entlohnung besser strukturiert ist, als bei den Einzelprogrammen der Firmen. Aus Sicht vieler Firmen lohnen sich Bug-Bounty-Plattformen aber auch deshalb, weil entsprechende Experten erst darüber auf sie aufmerksam werden und sich dann Spezialisten mit ihren Angeboten beschäftigen, die sie sonst nie oder nur schwer erreicht hätten. Neben dem sich als europäische Plattform positionierenden YesWeHack sind in dem Markt legal vor allem die beiden in den USA entstandenen Plattformen Bug Crowd und Hacker One aktiv.

Lesetipp: Was ein System Engineer für Cybersecurity macht

YesWeHack wurde 2013 von Cybersicherheitsexperten in Frankreich gegründet und hieß zunächts "Bounty Factory". Hinter der Plattform standen der Tech-Blogger Korben und Guillaume Vassault-Houlière von der Suchmaschine Qwant. Vassault-Houlière ist nun CEO des Unternehmens, Qwant einer der Kunden. Daneben nutzen auch der Musik-Streaming-Dienst Deezer, die Video-Plattform Dailymotion, der Mitfahrdienst Blablacar und der Internet und Cloud Service Provider OVH die Möglichkeiten von YesWeHack - alles allerdings französische Unternehmen.

Mit der Expansion sollen nun auch Unternehmen aus dem deutschsprachigen Raum verstärkt angesprochen werden. "Gerade in dynamisch wachsenden Unternehmen ist die Situation nach jedem IT-System-Update anders - ständig entstehen neue Angriffspunkte", teilt YesWeHack mit.

So arbeitet YesWeHack

Dazu sei die kontinuierliche und agile Bug-Bounty-Methode zielführender. Die ist in vier Schritte gegliedert. Zunächst definieren Kunden Kriterien und Regeln des Programmes. Dann wird es als privates oder öffentliches Programm unter den bei YesWeHack registrierten Experten bekannt gemacht. Nach der Qualifizierung der eingehenden Berichte, der Validierung der Schwachstellen und der Belohnung der als "Hunter" bezeichneten Experten beheben die Kunden beheben die Schwachstellen. Abschließend fordern sie die Hunter auf zu prüfen, ob die Schwachstelle erfolgreich geschlossen wurde.

Lesetipp: Die dümmsten Hacker der IT-Geschichte

YesWeHack greift selbst zu keiner Zeit auf die Schwachstellenberichte zu. Die Plattform wird auf einer souveränen Cloud gehostet, die nach ISO 27001, CSA STAR, SOC I / II Typ 2 sowie PCI DSS zertifiziert und DSGVO-konform ist. Auch die YesWeHack-Plattform selbst wird über ein Bug-Bounty-Programm permanent geprüft.