Bug Bounty - Koordinierte Schwachstellen-Offenlegung und Prämienmodelle - Definition & Erklärung

Bug-Bounty-Programme sind strukturierte Mechanismen, über die Unternehmen externe Sicherheitsforscher dazu einladen, ihre Systeme auf Schwachstellen zu testen - und erfolgreiche Finder zu belohnen. Sie ergänzen (ersetzen nicht!) interne Pentests und sind für alle Unternehmensgrößen skalierbar.

VDP vs. Bug Bounty

VDP (Vulnerability Disclosure Policy) - kostenlos, ohne Prämien

Öffentliche Erklärung: “Wir akzeptieren Sicherheitsberichte”
Kontaktkanal: security@company.com oder HackerOne/Bugcrowd VDP
Safe Harbor: rechtlicher Schutz für Forscher (kein “Hackerangriff”!)
Keine Prämien, aber: Anerkennung, Hall of Fame, CVE-Zuweisung
Pflicht für KRITIS (BSIG §8b): kontaktierbare Stelle für Berichte

Minimum-VDP (jeder sollte das haben!):

# security.txt (RFC 9116) unter https://company.com/.well-known/security.txt
Contact: mailto:security@company.com
Expires: 2027-01-01T00:00:00z
Preferred-Languages: de, en
Policy: https://company.com/security/policy
Encryption: https://company.com/pgp-key.txt

Bug Bounty (mit Prämien)

Prämien: $100 (low) bis $1.000.000 (critical, Apple)
Mehr Meldungen, hochwertigere Forscher
Plattform oder privat
Erfordert: internen Triage-Prozess, Budget, Zeit

Vergleich

Feature	VDP	Bug Bounty
Kosten	Gering	Mittel-Hoch (Prämien!)
Forscher-Menge	Weniger	Viel mehr
Meldungsqualität	Mittel	Höher (motiviert durch Prämien)
Pflege-Aufwand	Gering	Mittel-Hoch
Empfehlen für	Alle!	Ab mittlerer Sicherheitsreife

Plattformen im Vergleich

HackerOne

Größte Plattform (1M+ registrierte Forscher)
Kunden: Apple, Google, Microsoft, Lufthansa, HVB
Preise: ab $15k/Jahr für private Programme
Besonderheit: CVE-Nummerierung als CNA (HackerOne vergibt CVEs)
US-basiert: DSGVO-Bedenken bei EU-Unternehmen prüfen

Bugcrowd

Konkurrent zu HackerOne, ähnliche Größe
Stärken: Managed-Bug-Bounty-Option (Triage durch Bugcrowd)
Kunden: Mastercard, OpenAI, Netgear

Intigriti

Europäischer Anbieter (Belgien), DSGVO-konform
Speziell für EU-Unternehmen empfohlen
Forscher-Community: stark in Europa
Kunden: Telenet, Ahold Delhaize, verschiedene EU-Behörden

Yeswehack

Französischer Anbieter, ebenfalls DSGVO-freundlich
Stark in Frankreich und DACH-Region

Privates Programm (ohne Plattform)

Email-basiert: security@company.com
Keine Plattformkosten, aber: Koordinationsaufwand
Kein öffentliches Vertrauen (Forscher misstrauen oft privaten Programmen)
Nur für kleine Unternehmen oder als Ergänzung

Scope-Definition

In-Scope (muss klar definiert sein!)

Subdomains: *.company.com (oder explizit: app.company.com, api.company.com)
Apps: mobile Apps (iOS/Android)
APIs: REST, GraphQL, etc.
Spezifische Testhosts: staging.company.com (auf Wunsch)

Out-of-Scope (was explizit verboten ist)

Denial of Service (DoS/DDoS) - immer verboten!
Produktionsdatenbank direkt beschreiben
Social Engineering gegen Mitarbeiter
Physical Penetration
Third-Party-Software (ohne Eigenanteil)
Systeme von Kunden/Partnern
Spamming, Flooding

Test-Beschränkungen

Keine automatisierten Massenscans (Rate Limits beachten!)
Gefundene Daten: nicht exfiltrieren, sofort melden
Keine Proof-of-Concepts die echte Daten betreffen
Disclosure-Deadline: erst nach Fix (coordinated!)

Beispiel-Scope (HackerOne Format)

scope:
  - type: url
    value: "https://app.company.com"
    eligibility: in_scope
    max_severity: critical
  - type: url
    value: "https://api.company.com"
    eligibility: in_scope
  - type: url
    value: "https://status.company.com"
    eligibility: out_of_scope  # Drittanbieter!
  - type: android
    value: "com.company.app"
    eligibility: in_scope

Prämienstruktur und CVSS-Bewertung

CVSS-Basis (Common Vulnerability Scoring System)

Severity	CVSS-Score	Typische Prämie
Critical	9.0-10.0	$5.000-$25.000+
High	7.0-8.9	$1.000-$5.000
Medium	4.0-6.9	$200-$1.000
Low	0.1-3.9	$50-$200

Anpassungsfaktoren

Exploitability: Exploit öffentlich verfügbar? → Prämie höher
Impact auf Daten: Kundendaten betroffen? → Prämie höher
Authentication: Angreifer braucht keinen Account? → Prämie höher
Schwierigkeit: sehr clever/originell? → Bonus möglich

Beispiel-Prämientabellen (öffentlich bekannt)

Apple Security Bounty (höchste auf Markt):

iCloud: bis $50k
Safari Remote Code Execution: bis $200k
Full Kernel Code Execution: bis $1.000.000 (!!)

Microsoft Bug Bounty:

Azure: bis $60k
M365 Critical: bis $30k
Authentication: $15k-$30k

Google (VRP):

Android: bis $300k (mit Exploit Chain)
Chrome: bis $250k

Safe Harbor Clause (essentiell!)

Forscher die sich an die Scope-Regeln halten, werden nicht strafrechtlich verfolgt, nicht zivilrechtlich verfolgt und ihre Geräte werden nicht konfisziert. Kein §202a StGB Angriff (trotz “Eindringen”).

Wichtig: Safe Harbor schützt NUR innerhalb des definierten Scopes!

Triage-Prozess und SLAs

SLA-Standards (Branchenbest Practice)

Phase	Frist
Initial Response	24-72 Stunden (Bestätigung Eingang)
Triage	5-10 Werktage (Reproduktion + CVSS-Bewertung)
Fix Critical	7-14 Tage
Fix High	30 Tage
Fix Medium	90 Tage
Fix Low	180 Tage
Disclosure	Nach Fix (oder nach Deadline: 90-180 Tage)

Triage-Schritte

Eingang bestätigen (automated Acknowledgement)
Reproduzieren: ist die Schwachstelle echt?
- Ja → Schweregrad bewerten (CVSS)
- Nein → “Invalid” (mit Begründung!)
- Duplikat → “Duplicate” (Prämie: ggf. erste Person)
Intern an zuständiges Team eskalieren
Fix implementieren + testen
Researcher benachrichtigen + Prämie auszahlen
Public Disclosure (wenn gewünscht): Report + CVE

Häufige Duplikat-Probleme

Forscher melden dieselbe Schwachstelle mehrfach
Lösung: Schnelle initiale Triage (< 48h) reduziert Duplikate
“Duplicate”-Feedback: höflich + erklärend

Programm-Metriken (für Verbesserung)

Durchschnittliche Time-to-Triage
Durchschnittliche Time-to-Fix
Prämien-Ausgaben pro Monat/Jahr
Anzahl valider Meldungen pro Monat
CVSS-Verteilung (zu viele Low = Scope zu weit?)
Forscher-Retention (gleiche Forscher kommen wieder = gutes Programm)