Bug-Bounty-Programm

Eine gesichtete Version dieser Seite, die am 28. Dezember 2016 freigegeben wurde, basiert auf dieser Version.

Ein Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) ist eine von wahlweise Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- und/oder Geldpreisen für die Entdecker.

Beispiele für Bug-Bounty-Programme

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

Facebook

Facebook betreibt seit 2011 ein eigenes fortlaufendes Bug-Bounty-Programm, das „Facebook Bug Bounty“. Nach eigenen Angaben zahlte Facebook seit 2011 über 3 Millionen US-Dollar an Kopfgeldern aus. Davon wurden 1,3 Millionen US-Dollar alleine 2014 an 321 Forscher ausgezahlt.^[1]

Microsoft

Microsoft organisiert seine Bug-Bounty-Programme anhand unterschiedlicher Kategorien. So erfolgt beispielsweise eine Trennung zwischen Bug Bountys für Internetdienste („Online Services Bug Bounty“) und solchen für Microsofts Computer-Betriebssysteme („Mitigation Bypass Bounty“). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des „Online Services Bug Bounty“ mit Kopfgeldern in Höhe von mindestens 500 US-Dollar und bis zu 15.000 US-Dollar dotiert.^[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des „Mitigation Bypass Bounty und Bounty for Defense Terms“ mit bis zu 100.000 US-Dollar dotiert.^[3]

Zerodium

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium hatte September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS ausgeschrieben.^[4] Am 2. November gab das Unternehmen bekannt, einen Gewinner gefunden zu haben.^[5]

Bitcoin Deutschland AG

Der in Deutschland ansässige Bitcoin-Marktplatz Bitcoin.de bietet auf seiner Internetseite eine Kontaktmöglichkeit zwecks Meldung von Schwachstellen, die den Marktplatz betreffen. Die Höhe der Belohnung wird nicht beziffert, hängt aber „von der Größe und Relevanz der Sicherheitslücke ab“.^[6]

Einzelnachweise

↑ Collin Greene: 2014 Highlights: Bounties get better than ever. 25. Februar 2015, abgerufen am 27. Oktober 2015.
↑ Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
↑ Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
↑ Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
↑ Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
↑ {{Internetquelle|Autor=Bitcoin.de|url=https://www.bitcoin.de/de/bug-bounty%7Ctitel=Bug Bounty | Bitcoin.de|zugriff=2016-12-25

[1] Collin Greene: 2014 Highlights: Bounties get better than ever. 25. Februar 2015, abgerufen am 27. Oktober 2015.

[2] Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.

[3] Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.

[4] Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.

[5] Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.

[6] {{Internetquelle|Autor=Bitcoin.de|url=https://www.bitcoin.de/de/bug-bounty%7Ctitel=Bug Bounty | Bitcoin.de|zugriff=2016-12-25

[1]

[2]

[3]

[4]

[5]

[6]