Zeichnung eines Notebooks mit einem Bug
Zeichnung eines Notebooks mit einem Bug
Bildquelle: Faithie, Lizenz

Open Bug Bounty: Mehr als eine Million Schwachstellen behoben

Open Bug Bounty bringt seit 2014 Tausende von Sicherheitsforschern mit Webseitenbetreibern zusammen. Dennoch ist Vorsicht geboten.

Über Open Bug Bounty, eine offene Plattform zur Verwaltung von Sicherheitslücken, haben Betreiber von über 3.300 Webseiten mehr als eine Million Schwachstellen beseitigen können. Und auch wenn der Dienst für viele Unternehmen einen Mehrwert darstellt und ihnen Zugang zu Tausenden von Sicherheitsforschern ermöglicht, kann zu viel Vertrauen eine neue Angriffsfläche schaffen.

Plattform macht über 3.300 Webseiten ein Stück sicherer

Die offene, kostenlose und von der Gemeinschaft betriebene Bug-Bounty-Plattform Open Bug Bounty hat am 27. Oktober einen neuen Meilenstein erreicht. Mehr als eine Million Sicherheitslücken haben die Nutzer des ISO 29147-kompatiblen Dienstes bis zu diesem Datum geschlossen. Das berichtet das App Developer Magazine. Zum Zeitpunkt der Erstellung dieses Artikels steht der Zähler im Webportal des Projekts bereits auf 1.016.945 behobenen Schwachstellen. Diese verteilen sich auf insgesamt 3.307 Webseiten.

Logo von Open Bug Bounty
Logo von Open Bug Bounty

Über Open Bug Bounty finden Betreiber von Webseiten und Online-Diensten mit Sicherheitsforschern von überall auf der Welt zusammen. Durch einen transparenten, fairen und koordinierten Austausch in Form von Ratschlägen und Unterstützung zur Beseitigung von Schwachstellen will das Projekt Webanwendungen für ihre Anwender immer besser und sicherer machen.

Die im Juni 2014 von einer Gruppe unabhängiger Sicherheitsforscher gegründete Non-Profit-Plattform zielt mitunter auf einen transparenten und respektvollen Umgang mit Schwachstellen ab, der für alle Beteiligten von Nutzen sein soll. Auch für Unternehmen wie A1 Telekom Austria und Drupal hostet Open Bug Bounty mitunter eigene Programme zur Abhandlung ihrer Sicherheitslücken. Über 20.000 Sicherheitsforscher mit all ihrem Wissen und ihren Erfahrungen stehen darüber zur Unterstützung bereit. Ein Erfahrungsschatz, auf den sicherlich die wenigsten kommerziellen Bug-Bounty-Programme zurückgreifen können.

Zu viel Vertrauen in Open Bug Bounty ist auch nicht gut

Laut einem Sprecher von Open Bug Bounty ist das Projekt häufig „eine wertvolle Bereicherung für das Sicherheitsprogramm von Unternehmen„. Denn wenn „Sicherheitsforscher mit unterschiedlichen Hintergründen und Erfahrungen Ihre Anwendungssicherheitstests ergänzen, kann dies zusätzliche Erkenntnisse bringen, die ungewöhnliche Kreativität und viel Zeit erfordern, um entdeckt zu werden.

Dennoch warnt der Sprecher ebenso davor, der Plattform mit zu viel Vertrauen zu begegnen. „Wenn Sie zum Beispiel externe Sicherheitsforscher autorisieren, Ihr Produktionssystem zu testen, könnten diese auf sensible persönliche Daten oder Finanzinformationen zugreifen„, erklärt er unter Verweis auf geltende Datenschutzgesetze. Außerdem könne auch „das Gerät eines Forschers von Cyberkriminellen kompromittiert und die Informationen von den Bösewichten gestohlen werden.

Und darauf hat letztendlich weder Open Bug Bounty noch das um Unterstützung bittende Unternehmen einen Einfluss. Denn auch Sicherheitsexperten sind nicht unfehlbar und können Hackern ebenso eine Angriffsfläche bieten. Zumal Cyberkriminelle ebenfalls gerne auf bewährte Methoden zurückgreifen, um ihre Vorgehensweisen zu optimieren.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.