Einen Fehler in einem Programm oder einer Webseite finden und dafür reichlich belohnt werden? Klingt das nach einer coolen Sache? Dann könnte die Jagd nach Bug Bounties eine Karriereoption sein. Aber was sind Bug Bounties und wie hoch sind die Belohnungen? Dieser Artikel verrät mehr.
Was ist ein Bug-Bounty-Programm eigentlich?
Mit Bug-Bounty-Programmen werden ethische Hacker und ITler dazu aufgerufen, eine Webseite, ein Programm oder einen Dienst nach Problemen und Fehlern zu durchsuchen. Eine Art öffentlicher Wettbewerb, mit dem Bug Bounty-Jäger ihre Fähigkeiten unter Beweis stellen können.
Das ist aber noch nicht alles. Werden sie tatsächlich fündig, dann winkt auch eine saftige Belohnung. Gerade wenn ein größeres Problem gefunden wird, kann es sich dabei um beachtliche Summen handeln.
Sind die Jäger entsprechend talentiert, kann das Unterfangen so entweder zum lohnenden Hobby oder vielleicht sogar zu einem Vollzeitjob werden.
Die wichtigsten Regeln für Bug Bounty-Jäger
Beachtet werden sollte allerdings, dass nicht jedes Bug-Bounty-Programm gleich ist. Einige Unternehmen nutzen lieber ihre eigene Plattform, während andere auf bestehende Lösungen von Drittanbietern setzen, um die auszuführenden Aufgaben auszuschreiben. Auf diesen Plattformen werden auch die Mindestanforderungen angegeben, die ein Bericht erfüllen muss, um eine Belohnung abzuräumen. Nicht jeder gemeldete Fehler ist nämlich auch Geld wert. Bevor sich Jäger dazu entscheiden, in welches Bug-Bounty-Programm sie ihre Zeit investieren, sollten sie sich daher genau die Regeln durchlesen.
Der Vorteil für Unternehmen
Mittlerweile wissen wir also, dass ein Bug-Bounty-Programm unabhängige Fachkundige sucht, um Schwachstellen in Systemen zu finden. Doch was hat das Unternehmen, welches das Bug-Bounty-Programm anbietet, eigentlich davon? Tatsächlich sehr viel sogar!
Natürlich haben die meisten großen Unternehmen bereits eigene kompetente Mitarbeiter, die dafür zuständig sind, den Dienst stetig zu verbessern. Aber je mehr Leute sich eine Sache ansehen, desto eher findet man auch Fehler. Mit einem Bug Bounty Programm werden zusätzlich unabhängige Fachleute rekrutiert, um den Dienst zu testen und mit ihren Berichten Feedback zu geben.
Und dass, ganz ohne Vorauszahlung! Schließlich wird nur dann eine lukrative Belohnung ausgeschüttet, wenn ein entsprechender Sicherheitsbericht oder Fehler gemeldet wird.
Auf diese Weise ist ein Bug-Bounty-Programm nicht nur für die Teilnehmer, sondern auch für das Unternehmen rentabel.
Ein echtes Win-Win-Szenario!
Die lohnendsten Bug-Bounty-Programme weltweit
Da die Bug-Bounty-Programme Vorteile mit sich bringen, ist es wohl kaum ein Wunder, dass es weltweit so viele davon gibt. Das sind die lohnendsten:
Apple Security Bounty
Apple-Sicherheitsprämie zählt ohne Frage zu den größten Plattformen, die ethischen Hackern zur Auswahl stehen. Für die verschiedenen Sicherheitsprobleme der iCloud und Smartphone des Unternehmens können dabei Belohnungen von bis zu 1 Million U.S. Dollar winken.
Hinzu kommt, dass die Erstellung eines erfolgreichen Fehlerberichts für Apple so einiges an Anerkennung für Ihre Arbeit mit sich bringen dürfte.
Meta Bug Bounty
Meta, ehemals Facebook, bietet ebenfalls ein eigenes Bug-Bounty-Programm an. Dieses ist auch als Weißer Hut bekannt.
Auch hier kann das Preisgeld je nach Schwere des Fehlers variieren. Die höchsten Prämien können aber bis zu 45.000 U.S. Dollar betragen.
Und auch bei Meta werden Sie mit entsprechender öffentlicher Anerkennung belohnt. Das Programm legt zum Dank nämlich die Namen aller beteiligten Hacker offen. So lassen sich sogar noch Teilnehmer von 2011 oder früher finden.
Und als wäre das noch nicht genug, gibt es obendrein noch ein lohnendes Treueprogramm, mit dem Sie Ihre Prämien zusätzlich um bis zu 20 % steigern können.
Bug Hunters – Google
Bei Bug Hunters können Sie sich gleich bei mehreren Diensten auf die Suche nach Fehlern begeben. Hierzu zählen u.a. Größen wie YouTube, Blogger und viele weitere.
Die Preisgelder, die Sie sich dabei mit Ihren Berichten verdienen können, können 30.000 U.S. Dollar oder mehr betragen.
Es gibt zudem eine Lernplattform mit bestehenden Beispielen, von denen Sie sich inspirieren lassen und so einiges lernen können.
Bug Bounty von ExpressVPN
Unternehmen in der Sicherheitsbranche legen großen Wert auf die Sicherheit ihrer Angebote und legen deshalb oft auch Bug Bounty-Programme auf. Zu diesen Unternehmen gehört zum Beispiel auch ExpressVPN. Aktuell sogar mit einer Bounty von 100.000 USD für diejenigen, die eine Schwachstelle in ExpressVPNs TrustedServer-Anwendung aufdecken und dokumentieren können.
Microsoft
Auch über das Microsoft Bug-Bounty-Programm erhalten Sie die Möglichkeit, sich zu beteiligen und die entsprechende Anerkennung dafür zu erhalten.
Wie bei allen anderen Programmen können die Preisgelder auch hier variieren. Für besonders schwere Fehler werden aber bis zu 1 Million U.S. Dollar oder mehr gezahlt.