Der Bug-Bounty-Markt wird immer attraktiver

Die Entwicklung der Auszahlungen in Bug-Bounty-Programm (Grafik: State of Bug Bounty Report 2017).
Ein Vergleich, wer wieviel zahlt pro Lücke und wohin die Prämien neuerdings fliessen.
 
Mit Bug-Bounty-Programmen können sich Tech-Firmen, aber auch andere, über Lücken in ihren Informatikprodukten aufklären lassen, die von Angreifern ausgenutzt werden könnten. Wenn sie Leute bezahlen, um die Fehler in Software oder Hardware zu finden, können sie die Lücken nicht nur schneller zu schliessen, sondern sie können die Entdecker auch davon abhalten, ihr Wissen über die Schwachstellen an Kriminelle und Spione zu verkaufen.
 
Aber welche IT-Firma zahlt einem Security-Forscher eigentlich wieviel pro gefundene Lücke? Die höchsten Kopfgelder variieren stark, je nach Firma und je nachdem, ob man einen funktionierenden Exploit vorweist oder nicht.
 
Dies zeigt der Vergleich von Bug-Bounty-Programmen, den 'CRN.com' gemacht hat.
 
Am wenigsten unter den verglichenen Firmen zahlt AVG (Minimal 50 Dollar, maximal 1000). Im hinteren Mittelfeld liegt Cisco Meraki (100 bis 2500 Dollar). Bei Qualcomm kann ein Securityforscher zwischen 200 und 15'000 Dollar einstreichen, wenn er beispielsweise eine Snapdragon-Lücke findet.
 
Die Spanne an "Kopfgeldern" ist bei Microsoft recht konsistent zwischen 500 und 15'000 Dollar, ob Cloud, Microsoft .NET Core, ASP.NET Core, Microsoft Office oder Edge. Bei Windows Defender geht die Maximalsumme dann auf 30'000 Dollar hoch.
 
Google zahlt besser. Für Google-eigene Services wie Google oder YouTube bis zu 31'337 Dollar, bis 100'000 für Chrome-Lücken und 200'000 bei Android. Total hat der Konzern 2017 laut 'Google Watchblog' 2,9 Millionen Dollar ausbezahlt.
 
Intel hat sein Bug-Bounty-Programm nach Meltdown und Spectre ausgeweitet, nun gibt’s zwischen 500 und 250'000 Dollar. Das ist Rang zwei.
 
Spitzenreiter unter den verglichenen Programmen ist das Microsoft Hyper-V Bounty Program mit einer Prämienspanne von 5000 bis 250'000 Dollar für Schwachstellen, die Remotecodeausführung ermöglichen sowie für Denial-of-Service-Schwachstellen.
 
Die Trends im Bug-Bounty-Markt
Insgesamt nimmt nicht nur die Anzahl von Attacken auf IT-Systeme und die Umsätze mit Security-Produkten zu, sondern auch die Zahl der neu gestarteten Bug-Bounty-Programmen. Laut 'Bugcrowd' hat sich ihre Zahl 2017 verdreifacht, immer mehr "normale Firmen" nutzen das Konzept. Dies zeigt der State of Bug Bounty Report (PDF).
 
Im Report werden auch die durchschnittlichen Auszahlungen beziffert: "Die höchsten durchschnittlichen Auszahlungen beziehen sich auf Hardware- und IoT-Ziele wie Router, Webcams und Wearables mit 742 Dollar. Die niedrigsten wurden getätigt für mobile Anwendungen mit 385 Dollar. Im mobilen Bereich sind Android-Sicherheitslücken in der Regel für höhere Auszahlungen verantwortlich als iOS-Lücken."
 
Die ausbezahlten Prämien sind seit 2015 um 94 Prozent gewachsen, das hänge mit der steigenden Komplexität von Anforderungen für Prämien und den gefundenen, kritischen Bugs zusammen, so 'Bugcrowd'.
 
Im gleichen Zeitraum wurden auch viel mehr Lücken gefunden und gemeldet, so der Report.
 
Im Bug-Bounty-Markt hat sich eine interessante Verschiebung ergeben: Erstmals waren es 2017 nicht mehr vor allem indische Security-Forscher, welche am zahlreichsten Prämien kassieren: 14'244 US-Amerikaner erhielten eine Prämie 2017, aber "nur" 11'663 Inder. Die finanziellen Möglichkeiten sind offensichtlich attraktiver geworden. (Marcel Gamma)