Bug-Bounty-Programme sind in letzter Zeit ein sehr heißes Thema.
Wir beobachten, dass viel beachtete Programme eingestellt werden oder sich grundlegend verändern: Das IBB (eines der wichtigsten Programme für Open-Source-Projekte) setzt die Annahme von Beiträgen aus, curl streicht die Auszahlungen und Node.js schafft sein Prämienprogramm komplett ab. Das ist kein Rauschen, das ist ein Signal.
Ich wollte verstehen, wohin sich das Bug-Bounty-Programm tatsächlich entwickelt, also habe ich mich mit zwei der glaubwürdigsten Stimmen auf den gegensätzlichen Seiten dieser Debatte zusammengesetzt:
- Daniel Stenberg, der Entwickler von curl, der die Realität eines Betreuers am eigenen Leib erlebt und kürzlich die Bug-Bounty-Zahlungen eingestellt hat
- Casey Ellis, der Gründer von Bugcrowd, einer der Mitbegründer dieses Modells.
Ich habe festgestellt, dass sich das Bug-Bounty-Modell an einem Scheideweg befindet und wir gerade mitten in einem großen Wandel stecken.
Warum das Bug-Bounty-Programm so gut funktioniert hat
Bevor wir uns damit befassen, wohin sich das Modell entwickelt, sollten wir einen Schritt zurücktreten und verstehen, warum es in den letzten zehn Jahren eine der wirksamsten Ideen im Bereich der Sicherheit war.
Alles basiert auf der Idee, das Internet deine Systeme angreifen zu lassen, bevor es Angreifer tun. Und es hat funktioniert, weil es den Unternehmen eine Reichweite verschaffte, die sie niemals durch Personal einstellen könnten.
Wie Casey es ausdrückte:
„„Wenn man versucht, eine weltweite Gruppe von Angreifern mit jemandem zu überlisten, der von 9 bis 17 Uhr arbeitet, geht die Rechnung nicht auf.“
Das ist das Besondere an Bug-Bounty-Programmen. Anstatt sich auf eine Handvoll interner Mitarbeiter zu verlassen, greifen Sie auf einen globalen Pool an unterschiedlichen Fähigkeiten, Perspektiven und Motivationen zurück – und all diese Personen greifen Ihr System auf eine Weise an, auf die Ihr internes Team einfach nicht gekommen wäre. Und das ganz ohne den erheblichen Aufwand, der mit der internen Einstellung von Spezialisten verbunden wäre.
Deshalb wurde es zu einem grundlegenden Bestandteil moderner Sicherheitsprogramme.
Aktuelle Meldungen
Was sich ändert, ist nicht der Bedarf an Sicherheit, sondern die wirtschaftlichen Rahmenbedingungen, unter denen Bug-Bounty-Programme funktionieren.
Die KI hat das Gleichgewicht verschoben – und zwar nicht zum Guten. Das Aufspüren von Fehlern ist heute kostengünstiger denn je, das Verfassen von Berichten ist noch einfacher geworden, und das Einreichen dieser Berichte verläuft praktisch reibungslos. Die Kosten für die Überprüfung dieser Berichte und die tatsächliche Behebung der Probleme haben sich hingegen überhaupt nicht verändert.
- Fehler finden → günstig
- Berichte schreiben → günstiger
- Berichte einreichen → im Grunde kostenlos
- Ihre Validierung → nach wie vor kostspielig
- Die Reparatur → sehr teuer
Wir beobachten dies in der Praxis. Es gibt drei Arten von Berichterstattern. Zum einen gibt es Unternehmen, die einen neuen Ansatz für seriöse Berichte verfolgen. Dabei handelt es sich um Berichte, die mehrschichtige KI-Ansätze nutzen, welche die Stärken mehrerer KI-Modelle, Sicherheitsvorkehrungen, Orchestrierung und Kontext miteinander verbinden, wie beispielsweise KI-Penetrationstests Aikido. Dann gibt es Einzelpersonen, die ihre Recherchen und das Verfassen von Berichten mithilfe von KI als Werkzeug optimieren. Und schließlich gibt es Personen, die sich dank dieser KI-Modelle weiterbilden können, um Berichte zu erstellen, die technisch plausibel erscheinen, aber dennoch völlig falsch sind.
Daniel hat es treffend beschrieben: Überzeugenderer Unsinn ist schlimmer als offensichtlicher Unsinn.
Man kann das nicht einfach so abtun, man muss der Sache nachgehen, und man verschwendet wertvolle Zeit damit, zu beweisen, dass es Unsinn ist.
In großem Maßstab wirkt dies nicht mehr wie ein hilfreiches Modell für externe Beiträge, sondern ähnelt eher einer Denial-of-Service-Attacke auf die für die Sicherheit Verantwortlichen.
Und die Folgen sind verheerend:
- Das Internet Bug Bounty (IBB) hat die Annahme neuer Meldungen ausgesetzt, da KI das Aufkommen an gemeldeten Fehlern so stark erhöht hat, dass die Betreuer damit überfordert sind
- Node.js hat seine Prämien verloren, als die Finanzierung ausblieb; es gehen zwar weiterhin Meldungen ein, aber Auszahlungen gibt es nicht mehr
- curl hat finanzielle Anreize abgeschafft, nachdem es mit KI-generierten Berichten überschwemmt wurde
Das ist ein altes Problem, das sich noch verschärft hat
Casey betonte, dass dies kein neues Problem sei, sondern ein altbekanntes, das sich lediglich massiv beschleunigt habe.
„Wir machen dumme Sachen schneller und mit mehr Energie.“
Bug-Bounty-Programme hatten schon immer mit dem Problem der Chancengleichheit zu kämpfen: Eine Person reicht einen Bericht ein, und eine andere muss ihn überprüfen. Auf dem Papier klingt das fair, doch in der Praxis war es schon immer schwierig für eine einzelne Person, mit der Überprüfung Schritt zu halten – selbst bevor es KI gab. Heute ist das praktisch unmöglich.
Wir leben heute in einer Welt, in der jeder Dutzende von Berichten erstellen, sie glaubwürdig erscheinen lassen und sofort einreichen kann. Auf der Empfängerseite haben sich die Rahmenbedingungen jedoch nicht geändert. Es sind nach wie vor Menschen, die die Berichte prüfen, priorisieren und Entscheidungen treffen.
Open Source ist als Erstes davon betroffen
Im Open-Source-Bereich macht sich dieser Druck als Erstes bemerkbar, vor allem weil dieser Bereich bereits nahe an seinen Grenzen operierte. Die meisten Projekte werden von kleinen Teams – oft Freiwilligen – mit begrenzter Zeit und begrenzten Ressourcen betreut, bilden jedoch die Grundlage für weite Teile des Internets.
Wenn man finanzielle Anreize, weltweite Beteiligung und nun auch noch KI-generierte Beiträge hinzufügt, wird das System überfordert.
Das IBB-Programm brachte es auf den Punkt:
Die KI-gestützte Ermittlung hat das Gleichgewicht zwischen Ermittlungsergebnissen und Sanierungsmöglichkeiten verschoben
Übersetzung:
Wir finden mehr Fehler, als wir bewältigen können.
Nun ist das Kopfgeld also weg, doch die Erwartung, Fehler zu melden, bleibt bestehen. Die Frage ist jedoch: Ist der Ansatz, mit dem Bug-Bounty-Programme bisher genutzt wurden, um Sicherheitsteams effektiv zu vergrößern und die Sicherheitslage zu verbessern, auch ohne finanzielle Anreize noch tragfähig?
Casey ist nicht unbedingt dieser Meinung:e:
Jedes Unternehmen sollte über ein Programm zur Offenlegung von Sicherheitslücken verfügen, denn sobald man im Internet präsent ist, werden andere Probleme aufdecken. Allerdings ist nicht jedes Unternehmen in der Lage, ein öffentliches, mit Prämien verbundenes Bounty-Programm durchzuführen.
Seiner Meinung nach hätte curl von vornherein gar keine haben sollen:
„Ich glaube nicht, dass jede Organisation [ein Kopfgeldprogramm] durchführen sollte … das Curl-Programm hätte von vornherein kein Kopfgeldprogramm sein sollen.“
Und doch zeigt Daniels Erfahrung, dass die Sache etwas differenzierter zu betrachten ist. Daniel betrachtet das Bug-Bounty-Programm als Erfolg, da es Anreize für eine gründliche Überprüfung des Codes geschaffen hat:
„Ich habe das immer als Erfolg angesehen, weil es eine großartige Möglichkeit ist, die Leute dazu anzuregen, den Code genau unter die Lupe zu nehmen …“
Was passiert, wenn man finanzielle Anreize abschafft?
Man könnte meinen, dass man durch den Wegfall finanzieller Anreize den Missbrauch von KI beseitigen würde, doch damit würde man auch die Wahrscheinlichkeit verringern, dass echte Sicherheitslücken aufgedeckt werden.
Als Curl jedoch die finanziellen Anreize abschaffte, geschah etwas Interessantes: Das minderwertige, von KI erzeugte Rauschen verschwand weitgehend.
Daniel sagte: „Wir erhalten keine ungenauen KI-Sicherheitsberichte mehr … Stattdessen bekommen wir eine ständig wachsende Zahl wirklich guter Sicherheitsberichte …, die in einer noch nie dagewesenen Häufigkeit eingereicht werden und uns stark belasten.“
Anstatt in minderwertigen Berichten zu versinken, haben die Betreuer nun eine große Menge wirklich nützlicher Erkenntnisse zu bearbeiten, von denen viele auf KI-gestützter Recherche beruhen. Die Einstiegshürde ist gesunken – nicht nur für schlechte Berichte, sondern auch für gute.
Das erzeugt eine neue Art von Druck.
Selbst hochwertige Berichte erfordern Zeit, um sie zu verstehen, zu überprüfen und zu beheben. Und viele dieser „guten“ Ergebnisse fallen immer noch in Grauzonen – Fehler, die zwar möglicherweise nicht die Sicherheitsschwellenwerte erreichen, aber dennoch Aufmerksamkeit erfordern. Die Folge ist eine anhaltende und in gewisser Weise sogar noch größere Belastung für die ohnehin schon stark beanspruchten Teams.
Auf seltsame Weise wurde das System also nicht vereinfacht, sondern verfeinert.
Das System aufbrechen, um es zu verbessern
Und genau hier wird es interessant. Denn auch wenn dies kurzfristig zweifellos schmerzhaft ist, könnte es tatsächlich ein Schritt in die richtige Richtung sein.
Indem wir finanzielle Anreize beseitigen, filtern wir einen Großteil des Rauschens heraus. Was übrig bleibt, ist ein Signal, das im Durchschnitt von höherer Qualität, zielgerichteter und besser auf die tatsächlichen Sicherheitsergebnisse abgestimmt ist.
Gleichzeitig senkt die KI die Hürden für Forscher, sinnvolle Arbeit zu leisten. Sie ermöglicht es mehr Menschen, echte Probleme zu erkennen – und das schneller als je zuvor. Diese Kombination – weniger Rauschen, mehr Signal, aber immer noch eine überwältigende Datenmenge – deutet darauf hin, dass wir uns in einer Übergangsphase befinden.
Das derzeitige Modell bricht unter dem Druck zusammen. Aber was darunter zum Vorschein kommt, könnte besser sein.
Ein System, bei dem:
- Offenlegung wird erwartet, aber nicht gefördert
- Die Belohnungen sind gezielter und nicht pauschal
- und der Schwerpunkt verlagert sich von mehr Berichten hin zu besseren Ergebnissen
Wir sind noch nicht am Ziel. Momentan befinden wir uns in einer schwierigen Übergangsphase, in der das alte Modell nicht mehr funktioniert und das neue sich noch nicht vollständig herausgebildet hat.
Aber wenn das richtig läuft, haben wir am Ende nicht weniger Bug-Bounty.
Das Ergebnis ist eine nachhaltigere Version davon.
Hacker werden nicht verschwinden
Eines der größten Missverständnisse in diesem Zusammenhang ist die Vorstellung, dass Hacker irgendwie verschwinden würden, wenn es mit Bug-Bounty-Programmen nicht mehr so gut läuft.
So läuft das doch nie.
Hacker machen keine Pause, sie bleiben in Bewegung. Sie nutzen Gelegenheiten, Komplexität und Wissenslücken aus. Wenn ein Bereich ausgereizt ist, wenden sie sich einem anderen zu, seien es APIs, Lieferketten oder mittlerweile zunehmend KI-Systeme und komplexe Logikfehler.
Wie Casey betonte, würden Angreifer selbst dann nicht einfach ihre Sachen packen und nach Hause gehen, wenn wir die heutigen Probleme lösen würden. Es wird immer neue Technologien, neue Systeme und neue Fehler geben, die ausgenutzt werden können.
Solange Menschen Software entwickeln, wird es Schwachstellen geben.
Das bedeutet, dass der Bedarf, sie zu finden, weiterhin besteht.
Allerdings hunters von dieser Tätigkeit ab – zum einen wegen der Frustration im Umgang mit überlasteten Triage-Mitarbeitern, zum anderen wegen des Wegfalls finanzieller Anreize. Stattdessen wechseln sie in beratende Funktionen und interne Forschungspositionen.
Wie geht es weiter?
Bug-Bounty-Programme verschwinden nicht, sondern entwickeln sich weiter.
Wir bewegen uns wahrscheinlich auf ein Modell zu, bei dem die Offenlegung von Sicherheitslücken branchenweit zur Selbstverständlichkeit wird und nicht mehr nur eine optionale oder durch Anreize geförderte Maßnahme ist. Öffentliche Prämienprogramme werden zwar nicht verschwinden, aber sie werden kontrollierter, zielgerichteter und besser auf den Reifegrad der jeweiligen Organisation abgestimmt sein.
Gleichzeitig wird künstliche Intelligenz zwangsläufig eine größere Rolle bei der Filterung und Einstufung der wachsenden Menge an Meldungen spielen. Das wird das Problem zwar nicht vollständig lösen, aber es wird zu einem festen Bestandteil unseres Umgangs damit werden.
Es wird sich auch eine Verlagerung bei den tatsächlich belohnten Leistungen vollziehen. Da automatisierte Systeme immer besser darin werden, kleinere Probleme aufzudecken, wird der Wert dieser Ergebnisse sinken. Stattdessen werden Anreize zunehmend auf Aufgaben mit größerer Wirkung ausgerichtet sein: solche, die Kreativität, Kontextverständnis und ein tieferes Verständnis der Systeme erfordern.
Das bedeutet, dass sich Forscher zunehmend auf Bereiche wie die Verkettung von Schwachstellen, die Ausnutzung von Geschäftslogik und das Knacken komplexer oder neuer Technologien konzentrieren werden, bei denen die Automatisierung noch an ihre Grenzen stößt.
Mit anderen Worten: Die Messlatte wird höher gelegt; die Forscher werden nicht verschwinden, aber die Vergütung muss entsprechend steigen.
