2019 war ein gutes Jahr für "Hacker-unterstützte Security", wie die Bug-Bounty-Plattform HackerOne in einem Blogbeitrag schreibt. Allein über die 2012 gegründete Plattform wurden im letzten Jahr für weltweit entdeckte Schwachstellen 35 Millionen Dollar ausgezahlt.

Mittlerweile zählt HackerOne über 600'000 angemeldete Bug-Jäger, die letztes Jahr rund 150'000 Lücken gefunden haben. Beim kleineren europäischen Geschwister YesWeHack, suchen derweil rund 10'000 ethische Hacker nach Schwachstellen in Software und Firmennetzwerken.

Offenbar zieht der Ansatz auch nach Jahren des Aufschwungs immer mehr an. Erst im Frühling letzten Jahres wurde der 19-jährige Santiago Lopez zum ersten Bug-Bounty-Millionär gekürt. Bis Mitte 2019 erreichten weitere fünf Hacker die Marke. Damals meldete HackerOne noch, dass man 2018 rund 19 Millionen Dollar an die Community von etwa 300'000 Personen ausgezahlt habe, also erst etwas mehr als die Hälfte als man ein Jahr später zählte.

"Vor einigen Jahren lehnten Unternehmen routinemässig Bug-Bounty-Programme ab, wobei ihre CISOs behaupteten, dass sie keine Fremden zum Hacken ihrer Systeme einladen dürfen", schreibt Marten Mickos, CEO von HackerOne, im Blogbeitrag.

Das hat sich mittlerweile geändert. Bei vielen Konzernen sind Bug-Bounty-Programme zu einem wichtigen Bestandteil der Security-Strategie geworden. HackerOne zählt unter anderem Google, Microsoft, IBM, Intel, Goldman Sachs, Starbucks, General Motors, Uber, Lyft und Dropbox auf. Aber auch etwa HP, Intel, Apple oder das Pentagon setzen längst auf das Prämien-Modell.

Auch in der Schweiz erfreut sich der Ansatz grösserer Beliebtheit: Swisscom hat im Rahmen seines Bug-Bounty-Programmes nach eigenen Angaben 2018 für 427 valide Meldungen rund 350'000 Franken ausbezahlt. Die Schweizerische Post hatte bei ihrem Public Intrusion Test 2019, der deutliche Schwachstellen des E-Voting-Systems zu Tage förderte, für die gefährlichsten Lücken bis zu 50'000 Franken versprochen – insgesamt maximal 150'000 Franken.

Bei den amerikanischen Grosskonzernen haben die Programme wenig erstaunlich andere Dimensionen: So vermeldete Google kürzlich einen neuen Rekord. Der Tech-Gigant hat im letzten Jahr im Rahmen seines Vulnerability-Reward-Programms 6,5 Millionen Dollar vergeben. Das ist mehr als doppelt so viel wie im Rekord-Jahr zuvor.

In den Genuss der Prämien kamen insgesamt 461 Personen. Das höchste "Kopfgeld" habe 201'000 Dollar betragen. Dabei könnte ein Hacker-Detektiv für einen umfangreichen Android-Hack inklusive der Umgehung aller Security-Massnahmen bis zu einer Million Dollar einstreichen, wie Google festhält.

Bei HackerOne geht man davon aus, dass noch dieses Jahr die insgesamt bezahlten Prämien für entdeckte Schwachstellen die Marke von 100 Millionen Dollar übersteigen wird. Und dass die Community auf über eine Million Mitglieder anwächst.

Florian Badertscher, Security Analyst CSIRT bei Swisscom, schrieb kürzlich in einem Blogpost: "Die Zukunft sieht für die Bug Bounty-Programme rosig aus." Die Top-Bounty-Jäger im Swisscom-Programm würden erwarten, "dass sie in den kommenden Jahren von immer mehr Unternehmen, vor allem in der Schweiz, übernommen werden, und dass sich immer mehr qualifizierte Bounty Hunter mit den Systemen beschäftigen werden."

Kein Wunder, finden doch die fleissigsten unter den Jägern etliche Schwachstellen: HackerOne führt eine Rangliste der Erfolgreichsten ihrer Zunft. Auf Platz eins findet sich Eric, Nickname: Todayisnew. Er allein hat 2981 Vulnerabilitys entdeckt, unter anderem in Produkten von Adobe, Verizon, Uber, Twitter, Airbnb, Starbucks, Slack, Spotify und Dropbox.