Der Bug-Bounty-Boom hält an

Immer mehr Unternehmen bitten die Community um Mithilfe bei der Jagd nach Schwachstellen in IT-Produkten. Von diesem Trend profitiert unter anderem Yeswehack, ein europäischer Anbieter von Bug-Bounty-Programmen. 2020 sei die Anzahl der durchgeführten Programme um 120 Prozent gestiegen, vermeldet das Unternehmen in einer Mitteilung. Dabei seien 85 Prozent der gemeldeten Bugs von den Auftraggebern als tatsächliche Schwachstellen bestätigt worden. Yeswehack sieht darin einen "Beleg dafür, dass die Effizienz bei Bug Bounty höher als bei den meisten konventionellen Methoden der Sicherheitsprüfung ist".

30 Prozent der gemeldeten Schwachstellen seien als "hoch" oder "Kritisch" eingestuft worden. Es hätte katastrophale Auswirkungen gehabt, wenn sie ein krimineller Hacker ausgenutzt hätte, kommentiert Yeswehack. Derweil benötigten Unternehmen im vergangenen Jahr deutlich weniger Zeit, um die gemeldeten Probleme zu beheben: Zwischen der Identifikation und der Lösung eines Problems vergingen 2019 durchschnittlich 109 Tage, im Jahr 2020 nur noch 44 – bei 70 Prozent der Bugs gar weniger als 28 Tage.

Die Erhöhung der Bug-Bounty-Nutzung nach Branche. (Source: Yeswehack)

Gemäss eigenen Angaben hat Yeswehack Kunden aus 25 Ländern. 35 Prozent von ihnen kommen aus der Technologiebranche, 26 Prozent aus dem Fintech- und Insurtech-Bereich sowie 13 Prozent aus dem Handel. Derzeit zähle die Plattform rund 21'000 registrierte Hacker, von denen mehr als die Hälfte aus Europa komme.

Wie viel ein Bug-Jäger verdienen kann, zeigte die Plattform Hacker-One in einem Bericht vom vergangenen Jahr.

Unter den Schwachstellen, die letztes Jahr für die meisten Furore gesorgt haben, finden sich gleich mehrere alte Bekannte, wie eine Auswertung des Cybersecurity-Spezialisten Tenable zeigt.