Bug-Bounty-Programm

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) ist eine von Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- oder Geldpreisen für die Entdecker.

Analysen hunderter Bug-Bounty-Programme – zumeist in den USA – ergaben, dass damit häufig die US-Bundesgesetze Computer Fraud and Abuse Act (ähnlich dem deutschen § 202c StGB) und das Copyright-Gesetz Digital Millennium Copyright Act (DMCA) verletzt werden. Das DMCA verbietet eine Kopierschutz-Überwindung ohne Zustimmung des Rechteinhabers. Fehlersuchende können strafrechtlich belangt werden, wenn sie nicht bereits „autorisiert“ sind, da viele Geschäftsbedingungen pauschal fordern, „alle Gesetze“ oder Nutzungsbestimmungen (EULA) einzuhalten. Diese verbieten jedoch das, was externe Fehlersuchende tun.

Beispiele für Bug-Bounty-Programme[Bearbeiten | Quelltext bearbeiten]

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

DJI[Bearbeiten | Quelltext bearbeiten]

Der Drohnenhersteller DJI versuchte, den Sicherheitsforscher Kevin Finisterre nach Meldung einer Datenschutzlücke und Auszahlung der Prämie unter Verweis auf das CFAA dauerhaft zum Schweigen zu verpflichten. Erst aufgrund heftiger Proteste änderte man die Geschäftsbedingungen und erteilte als eines von nur drei Unternehmen eine CFAA-Freigabe.[1]

Microsoft[Bearbeiten | Quelltext bearbeiten]

Microsoft organisiert Bug-Bounty-Programme angepasst für Internetdienste (Online Services Bug Bounty) getrennt von jenen für Computer-Betriebssysteme (Mitigation Bypass Bounty). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des Online Services Bug Bounty mit Prämien von 500 bis 15.000 US-Dollar dotiert.[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des Mitigation Bypass Bounty und Bounty for Defense Terms mit bis zu 100.000 US-Dollar dotiert.[3] Das Programm Hyper-V Bounty, das Microsoft am 31. Mai 2017 gestartet hat, verspricht bis zu 250.000 Dollar für erfolgreiche Angriffsszenarien.[4]

Seit Mitte Juli 2018 erhalten Sicherheitsforscher eine Belohnung von 500 bis 100.000 US-Dollar, wenn sie Lücken in Anmeldeservices von Azure- und Microsoft-Konten finden.[5]

Zerodium[Bearbeiten | Quelltext bearbeiten]

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium schrieb im September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS aus.[6] Am 2. November gab man bekannt, einen Gewinner gefunden zu haben.[7]

Bitcoin Deutschland AG[Bearbeiten | Quelltext bearbeiten]

Der in Deutschland ansässige Bitcoin-Marktplatz Bitcoin.de bietet auf seiner Internetseite eine Kontaktmöglichkeit zur Meldung von Schwachstellen, die den Marktplatz betreffen. Die Höhe der Belohnung wird nicht beziffert, hängt aber „von der Größe und Relevanz der Sicherheitslücke ab“.[8]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Amit Elazari, Daniel AJ Sokolov: US-Bug-Bountys lassen "gute" Hacker in die Falle tappen. 22. Januar 2018, abgerufen am 22. Januar 2018.
  2. Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
  3. Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
  4. Microsoft Hyper-V Bounty Program Terms. technet.microsoft.com. Abgerufen am 27. Juli 2017.
  5. Bug Bounty: Das Knacken von Azure- und Microsoft-Accounts ist bis zu 100.000 US-Dollar wert. heise.de. 19. Juli 2018. Abgerufen am 19. Juli 2018.
  6. Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
  7. Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
  8. Bug Bounty | Bitcoin.de. Abgerufen am 25. Dezember 2016.