Bug-Bounty-Programm - Prof. Dr. Norbert Pohlmann

Die zentrale Idee von Bug-Bounty-Programmen ist, die Hacker-Community, Wissenschaftler oder weitere Akteure finanziell zu animieren, Schwachstellen in den eigenen Cyber-Sicherheitsprodukten und -Lösungen zu finden.

Die Unternehmen, die das Bug-Bounty-Programm etablieren, können die gefundenen Schwachstellen dann zeitnah beheben, bevor kriminelle Organisationen sie nutzen können.
Damit helfen Bug Bounty-Programme den Herstellern von IT-Produkten und -Lösungen Schwachstellen zu finden, damit diese behoben werden können, bevor sie Schäden bei den Kunden verursachen.

Manchmal werden Bug-Bounty-Programme auch als Kopfgeld-Programme für Schwachstellen in Software der Auftragsgeber bezeichnet.

Erfahrungen mit Bug-Bounty-Programmen zeigen, dass die finanzielle Unterstützung von Bug-Bounty-Programme bis zu 100-mal kostenwirksamer ist, als eigenständige Bemühungen der Hersteller der IT-Produkte und –Lösungen Schwachstellen zu finden.

Aus diesem Grund investieren immer mehr Hersteller von IT-Produkten und -Lösungen in Bug-Bounty-Programme, um die Anzahl an Schwachstellen erfolgreich zu reduzieren und damit einen dringend notwendigen höheren Level an IT-Sicherheit von Cyber-Sicherheitsprodukten und -Lösungen zu erreichen. Bug-Bounty-Programme sind ein sehr effektives Mittel den Level an IT-Sicherheit in der IT und im Internet zu erhöhen.

Weitere Informationen zum Begriff “Bug-Bounty-Programm”:

Artikel: „Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)