Bug Bounty: Prämien für Lückensucher rechnen sich Bug Bounty: Prämien für Lückensucher rechnen sich - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.07.2013 Frank Ziemann*

Bug Bounty: Prämien für Lückensucher rechnen sich

Wissenschaftler haben die Bug-Bounty-Programme bei Google und Mozilla auf ihre Effizienz untersucht. Sie haben dabei heraus gefunden, dass es in der Tat kostengünstiger ist, Prämien an externe Sicherheitsforscher zu zahlen als selbst nach Schwachstellen zu suchen.

Externe-Experten sind billiger als eigene.

Externe-Experten sind billiger als eigene.

© h-komm - Fotolia.com

Immer mehr Software-Hersteller folgen dem Beispiel Googles und führen ein Prämiensystem ein, das unabhängige Sicherheitsforscher für das Melden neuer Sicherheitslücken in ihren Programmen belohnt. Erst kürzlich hat auch Microsoft ein solches so genanntes Bug-Bounty-Programm angekündigt. Wissenschaftler der Universität Kalifornien in Berkeley haben nun untersucht, ob sich solche Belohnungssysteme rechnen.

Matthew Finifter, Devdatta Akhawe und David Wagner haben sich die schon länger bestehenden Prämienprogramme der Browser-Hersteller Google und Mozilla vorgenommen, die als Testfälle dienen. Google hat in drei Jahren etwa 500 Prämien mit einer Gesamtsumme um 580.000 Dollar für gemeldete Schwachstellen in Chrome ausgeschüttet. Mozilla hat 570.000 Dollar für Firefox-Lücken ausgegeben, verteilt auf 190 Einzelprämien.

Verglichen mit den Kosten, die eine Festanstellung mehrerer Sicherheitsfachleute für die Fehlersuche verursacht, ist dies sehr gut angelegtes Geld. Ein angestellter Fachmann kostet ein Unternehmen zumindest 100.000 Dollar Gehalt und weitere 50.000 Dollar für Nebenkosten pro Jahr. Das heißt, für die in drei Jahren ausgezahlten Prämien hätten Google oder Mozilla lediglich ein bis zwei Entwickler bezahlen können, um nach Sicherheitslücken im Browser zu suchen. Tatsächlich sind im Rahmen der Bug-Bounty-Programme mehr Lücken gemeldet worden, als der jeweils beste der bei Google oder Mozilla angestellten Entwickler gefunden hat.

Während Mozilla feste Beträge für gemeldete Firefox-Lücken zahlt, ist Googles Prämienprogramm flexibler. Die weitaus meisten Prämien (84 Prozent), die Google ausgezahlt hat, betrugen lediglich 500 bis 1.000 Dollar. Doch die Chance, eine erheblich höhere Summe zu erhalten, macht das Suchen nach Chrome-Lücken offenbar attraktiver als die Schwachstellensuche in Firefox. Das führt dazu, dass sich mehr Personen an der Fehlersuche in Chrome beteiligen als bei Firefox. Die Berkeley-Forscher empfehlen Mozilla deshalb auf das Google-Modell zu wechseln.

Trotz der zum Teil hohen Summen, die Google und Mozilla für eine gemeldete Schwachstelle zahlen, kann ein freier Sicherheitsexperte davon kaum leben. Die meisten Lückenfinder haben lediglich einmal eine Prämie erhalten, nur wenige mehrmals. Lediglich drei der 82 Teilnehmer an Googles Prämienprogramm haben insgesamt mehr als 80.000 Dollar erhalten, weitere fünf mehr als 20.000 Dollar. Bei Mozilla hat nur ein Teilnehmer über 80.000 Dollar eingesammelt sowie ebenfalls weitere fünf mehr als 20.000 Dollar.

Ein weiterer Vorteil solcher Prämienprogramme ist, dass gefundene Sicherheitslücken mit geringerer Wahrscheinlichkeit auf dem Schwarzmarkt an Online-Kriminelle verkauft werden. Software-Hersteller können Termine für Sicherheits-Updates planen und müssen seltener ad hoc auf Angriffe mit 0-Day-Exploits reagieren.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: