Muster: BugBounty-Programm
Sie könnten unaufgefordert Mails erhalten, die Sie auf digitale Schwachstellen z. B. auf Ihrer Website hinweisen. Die Kunst besteht zunächst darin, seriöse von irrelevanten oder gefährlichen Mails zu unterscheiden.
Ein frühzeitiges Bewusstsein für Schwachstellen ermöglicht es, diese zu schließen bevor sie ausgenutzt werden. Ein eigenes BugBounty-Programm fördert solche Hinweise und definiert einen strukturierten Prozess zur Verbesserung der IT-Sicherheit.
Hier finden Sie Informationen und Muster-Vorlagen für die Einrichtung eines solchen Programms.
Inhalt
Was ist das, ein BugBounty-Programm?
"BugBounty Programme" sind ein wichtiges Instrument zur Verbesserung der Sicherheit von digitalen Services. Sie fördern eine Gemeinschaft von "ethischen Hackern" oder Sicherheitsforschern , die dazu beitragen, potenzielle Schwachstellen aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.
Beispiel für ein BugBounty-Programm:
Ist ein BugBounty-Programm für mein Unternehmen sinnvoll?
Ein BugBounty-Programm kann für viele Unternehmen sinnvoll sein, insbesondere wenn sie über eine Online-Präsenz verfügen oder ihre Dienste und Produkte über das Internet anbieten. Ein BugBounty-Programm ermöglicht es, eine Vielzahl von externen Sicherheitsforschern (auch als BugBounty-Hunter bezeichnet) einzubinden, um potenzielle Schwachstellen in Software, Website oder anderen digitalen Services aufzudecken.
Vorteile eines BugBounty-Programmes:
- Zugang zu externen Sicherheitsexperten:
Durch die Einbindung externer Sicherheitsexperten erhalten Sie Zugang zu einem breiteren Pool an Fachwissen und Perspektiven. Diese Forscher haben oft Erfahrung mit verschiedenen Angriffsmethoden und können Schwachstellen aufdecken, die möglicherweise von internen Teams übersehen wurden. - Früherkennung von Schwachstellen:
Ein BugBounty-Programm ermöglicht es Ihnen, Schwachstellen frühzeitig zu entdecken, noch bevor böswillige Angreifer sie ausnutzen können. Dies ermöglicht es Ihnen, Sicherheitslücken zu beheben und Ihre Systeme zu stärken, um Angriffe zu verhindern. - Kostenkontrolle:
Mit einem Bug-Bounty-Programm haben Sie die Möglichkeit, die Kosten für die Sicherheitsforschung besser zu kontrollieren. Sie zahlen nur für validierte Schwachstellen und können die Belohnungen entsprechend festlegen. - Verbesserung des öffentlichen Vertrauens:
Ein BugBounty-Programm signalisiert Ihr Engagement für die Sicherheit Ihrer Kunden und Benutzer. Indem Sie Sicherheitsforscher belohnen, zeigen Sie, dass Sie Schwachstellen ernst nehmen und aktiv daran arbeiten, diese zu beheben. Dies kann das Vertrauen in Ihre Marke stärken. - Strukturierter Meldeweg für Schwachstellen:
BugBounty-Hunter prüfen digitale Services unabhängig davon, ob es ein BugBounty-Programm gibt. An welche Adresse sie aber die Schwachstelleninformation im Unternehmen melden können ist ohne BugBounty-Programm nicht klar. Im schlimmsten Fall, gelingt es nicht, die richtigen Mitarbeiter im Unternehmen über eine Schwachstelle zu informieren.
Ein eigenes BugBounty-Programm Schritt für Schritt planen
Neben der Veröffentlichung des eigenen BugBounty-Programms ist es wichtig, sich auf die Beurteilung der Einreichungen, das Beseitigen von Schwachstellen und ggf. die Auszahlung vorzubereiten.
- Grundsätzliche Überlegungen:
Legen Sie die Details und Rahmenbedingungen des Programms fest. Dazu gehört die Entscheidung,- welche IT Teil des Programms ist,
- die Art der zu meldenden Schwachstellen,
- die Meldewege,
- die Höhe der Belohnungen bzw. des Budgets und die
- Regeln für die Teilnahme.
- Stimmen Sie sich ggf. mit Ihrer (Cyber-)Versicherung und IT-Dienstleistern ab.
- Veröffentlichung des Programms:
Das Unternehmen macht das Programm öffentlich bekannt, oft auf seiner Website oder auf einer speziellen Plattform für BugBounty-Programme. Hier werden die Details des Programms dargelegt, einschließlich der zu testenden Systeme, der Belohnungsstruktur und der Regeln für die Teilnahme. Sehr zu empfehlen ist auch eine Veröffentlichung in englischer Sprache. - Teilnehmer meldet sich mit einer Schwachstellen-Meldung:
Wenn Teilnehmer am BugBounty-Programm sich beim Unternehmen meldet, muss diese Information die richtigen Personen erreichen. D. h. das Unternehmen muss jemanden (z. B. CTO oder IT-Sicherheitsbeauftragter) definiert haben (plus eine Urlaubsvertretung). Alternativ können Dienstleister damit beauftragt werden.
Erstes Ziel ist es, die Einreichung zu beurteilen:
Ist die Meldung…- mit den Teilnahmebedingungen des BugBounty-Programms konform?
- relevant, nachvollziehbar und neu?
Dieser Prozess kann einige Zeit in Anspruch nehmen, ggf. ist externe Unterstützung dafür nötig.
- Sofortmaßnahme nötig?
Je nach Schadenpotenzial ist zu entscheiden, was unmittelbar getan werden sollte. Dies kann von der sofortigen Abschaltung des digitalen Services bis zur Tolerierung der Schwachstelle(n) reichen. Diese Entscheidung ist sehr einzelfallabhängig und im Gesamtkontext des Unternehmens zu sehen. Ggf. helfen Anwender-IT-Notfallpläne, die bei einem IT-Ausfall alternative Prozesse an die Hand geben. - Behebung der Schwachstelle:
Bestätigte schadensträchtige Schwachstellen sollten umgehend geschlossen werden. Dies kann ebenfalls einige Zeit in Anspruch nehmen, je nachdem, wie komplex der Fehler ist und wie viele Ressourcen zur Behebung benötigt werden.
Im Idealfall kann dies mit eigenen Ressourcen erledigt werden. Ggf. müssen Sie aber auf ein Updates eines Dienstleisters warten, so dass Sie selbst nur entscheiden müssen, in welchem Umfang der digitale Service weiter angeboten werden kann (siehe Sofortmaßnahmen). - Belohnung festlegen:
Es gibt kein festes Regelwerk für die Festlegung von Belohnungen in BugBounty-Programmen, und jedes Unternehmen kann seine eigenen Kriterien festlegen.- Es ist jedoch üblich, eine Mindest- und Höchstgrenze für Belohnungen festzulegen.
- Die Höhe der Belohnung hängt von mehreren Faktoren ab, einschließlich der Schwere des Fehlers und den Bedingungen des Programms.
- Der im hier veröffentlichten Muster verwendete Ansatz über den „Common Vulnerability Scoring System Calculator“ und daraus resultierende CSS-Scores ist ein möglicher Ansatz.
- Eine weitere Möglichkeit ist es, statt Geld Gutscheine oder Prämien auszuloben.
- Belohnung auszahlen:
Die Auszahlung einer BugBounty stellt in der Regel eine Betriebsausgabe dar, die in geeigneter Weise abgewickelt werden muss. Insbesondere stellen sich hier drei Fragen:- Sind Rechnungen möglich?
Die Erfahrung der IHK zeigt, dass BugBounty-Hacker Rechnungen zusammenstellen und per Mail schicken können. - Wie steht es um die Mehrwertsteuer?
Die BugBounty stellt in der Regel eine Gegenleistung für die vom Hacker erbrachte Dienstleistung dar, daher gelten die allgemeinen umsatzsteuerlichen Regeln. Weitere Informationen finden sie hier. - Welchen Zahlungsweg wählt man?
Die verfügbaren Zahlungsmethoden variieren von Land zu Land und von Unternehmen zu Unternehmen. Zwischen zwei in der EU beheimateten Ländern ist evtl. eine klassische Banküberweisung ein guter Zahlungsweg. Eine Rechnung eines außerhalb der EU liegenden Unternehmens zu begleichen ist evtl. mit Online-Zahlungsplattfomen wie
PayPal oder Kryptowährungen möglich.
- Sind Rechnungen möglich?
Muster-Vorlagen: Word-Dokumente und deren Verwendung
Um die Einführung eines eigenen BugBounty-Programmes zu erleichtern, stellt die IHK München und Oberbayern Muster-Vorlagen zur Verfügung:
Deutschsprachige Fassung: Muster-Word-Dokument für Ihr BugBounty-Programm (Stand: 24.07.2023)
Englischsprachige Fassung: Muster-Word-Dokument für Ihr BugBounty-Programm (Stand: 24.07.2023)
Bitte beachten Sie für die Verwendung der hier bereit gestellten Muster Folgendes:
- Die Muster wurden mit größter Sorgfalt erstellt, erheben aber keinen Anspruch auf Vollständigkeit und Richtigkeit.
- Die Muster sind als Formulierungshilfen zu verstehen und sollen nur eine Anregung bieten, wie die eigene Aktivität zur IT-Sicherheit sachgerecht gestaltet werden kann. Dies entbindet Sie jedoch nicht von der sorgfältigen eigenverantwortlichen Prüfung.
- Die Muster sind nur Vorschläge für eine mögliche Gestaltung. Sie können auch andere Formulierungen wählen. Vor einer Übernahme des unveränderten Inhaltes muss daher im eigenen Interesse genau überlegt werden, ob und in welchen Teilen gegebenenfalls eine Anpassung an die konkret zu gestaltende Situation erforderlich ist.
- Auf diesen Vorgang hat die Industrie- und Handelskammer keinen Einfluss und kann daher naturgemäß für die Auswirkungen auf keine Haftung übernehmen. Auch die Haftung für leichte Fahrlässigkeit ist grundsätzlich ausgeschlossen.
Um die Muster weiter zu verbessern sind wir für Anmerkungen und Verbesserungsvorschläge sehr dankbar.
- Bitte schicken Sie diese an Bernhard Kux.
Beispiele für Schwachstellenmeldungen
Beim "Open Web Application Security Project" - kurz OWASP - finden Sie typische Angriffstechniken ("Top Ten"). Dienstleister, die Onlineanwendungen entwickeln und warten, sollten diese Angriffstechniken kennen und die Onlineanwendungen so programmieren, dass sie erfolgreich abgewehrt werden.
Beispiele für typische Schwachstellenmeldungen:
- Eingaben von Nutzern in Formularen werden unsicher verarbeitet:
"Cross-site scripting" (XSS) - XSS-Erklärung der "Agentur der Europäischen Union für Cybersicherheit - Nutzer können sich Zugriffsrechte verschaffen, die sie "eigentlich" nicht haben sollten:
"Broken Access Control" ist eine der häufigsten bei OWASP beobachteten Sicherheitsrisiken.
Konkrete Beispiele für CVSS-Scores:
- CVE-2020-22807 mit Score 7.5: vTiger
- CVE-2023-23397 mit Score 9.8: Outlook
- CVE-2023-34415 mit Score 6.1: Firefox Browser
IHK-BugBounty-Programm
