Bug-Bounty-Programm

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) ist eine von wahlweise Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- und/oder Geldpreisen für die Entdecker.

Analysen hunderter Bug-Bounty-Programme - zumeist in den USA - ergaben, dass damit häufig die US-Bundesgesetze "Computer Fraud and Abuse Act" (CFAA) und das Copyright-Gesetz DMCA verletzt werden. Das DMCA verbietet eine Kopierschutz-Überwindung ohne Zustimmung des Rechteinhabers. Fehlersuchende können strafrechtlich belangt werden, wenn sie nicht bereits "autorisiert" sind, da viele Geschäftsbedingungen pauschal fordern, "alle Gesetze einzuhalten" oder dass Nutzungsbestimmungen (EULA) einzuhalten seien. Diese verbieten jedoch das, was externe Fehlersuchende tun.

Beispiele für Bug-Bounty-Programme[Bearbeiten | Quelltext bearbeiten]

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

DJI[Bearbeiten | Quelltext bearbeiten]

Der Drohnenhersteller DJI versuchte, den Sicherheitsforscher Kevin Finisterre nach der Meldung einer Datenschutzlücke und der Auszahlung dauerhaft zum Schweigen zu verpflichten unter Verweis auf das US-Bundesgesetz "Computer Fraud and Abuse Act" (CFAA). Erst aufgrund heftiger Proteste änderte man die Geschäftsbedingungen und erteilte als eines von nur drei Unternehmen eine CFAA-Freigabe.[1]

Microsoft[Bearbeiten | Quelltext bearbeiten]

Microsoft organisiert Bug-Bounty-Programme angepasst für Internetdienste („Online Services Bug Bounty“) getrennt von jenen für Computer-Betriebssysteme („Mitigation Bypass Bounty“). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des „Online Services Bug Bounty“ mit Prämien von 500 bis 15.000 US-Dollar dotiert.[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des „Mitigation Bypass Bounty und Bounty for Defense Terms“ mit bis zu 100.000 US-Dollar dotiert.[3] Das Hyper-V Bounty Programm, das Microsoft am 31. Mai 2017 gestartet hat, verspricht bis zu 250.000 Dollar für erfolgreiche Angriffsszenarien.[4]

Zerodium[Bearbeiten | Quelltext bearbeiten]

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium schrieb im September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS aus.[5] Am 2. November gab man bekannt, einen Gewinner gefunden zu haben.[6]

Bitcoin Deutschland AG[Bearbeiten | Quelltext bearbeiten]

Der in Deutschland ansässige Bitcoin-Marktplatz Bitcoin.de bietet auf seiner Internetseite eine Kontaktmöglichkeit zur Meldung von Schwachstellen, die den Marktplatz betreffen. Die Höhe der Belohnung wird nicht beziffert, hängt aber „von der Größe und Relevanz der Sicherheitslücke ab“.[7]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Amit Elazari, Daniel AJ Sokolov: US-Bug-Bountys lassen "gute" Hacker in die Falle tappen. 22. Januar 2018, abgerufen am 22. Januar 2018.
  2. Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
  3. Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
  4. Microsoft Hyper-V Bounty Program Terms. technet.microsoft.com. Abgerufen am 27. Juli 2017.
  5. Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
  6. Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
  7. Bug Bounty | Bitcoin.de. Abgerufen am 25. Dezember 2016.