Die führende europäische Bug Bounty-Plattform YesWeHack plant Investitionen in der DACH-Region. Nach dem Einstand auf der Nürnberger Security-Messe it-sa, baut YesWeHack aktuell ein deutschsprachiges Team auf, um Kunden vor Ort noch besser betreuen zu können. YesWeHack steht als größte Plattform in Europa für ein Vorgehen im Einklang mit der DSGVO und die Einhaltung höchster Sicherheitsstandards beim Management von Bug Bounty-Programmen. Die 2013 von Cybersicherheitsexperten in Frankreich gegründete Bug Bounty-Plattform zählt den Flughafen Paris, das französische Verteidigungsministerium sowie Unternehmen wie Deezer, BlaBlaCar und Dassault Systemes zu seinen Kunden.
Das Prinzip von Bug Bounty
Der 1995 von Netscape geprägte Begriff „Bug Bounty“ steht für einen neuen Ansatz, die Cybersicherheitslage von Unternehmen durch ständige und gezielte Überprüfung zu gewährleisten. Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle je nach Umfang und Qualität des Berichts, den sie abliefern, belohnt.
Da jedes IT-System individuell aufgebaut und kontinuierlichen Veränderungen unterlegen ist, verfehlen konventionelle Sicherheitslösungen oft die Wirkung. Gerade in dynamisch wachsenden Unternehmen ist die Situation nach jedem IT-Systemupdate anders – ständig entstehen neue Angriffspunkte. Hier ist die kontinuierliche und agile Bug-Bounty-Methode zielführender.
Wie funktioniert die Jagd nach Schwachstellen mit YesWeHack?
YesWeHack bringt Unternehmen, die Sicherheitslücken in ihrer digitalen Infrastruktur schließen wollen, mit über 10.000 ethischen Hackern aus 120 Ländern zusammen. Die sogenannten Hunter sind Sicherheitsexperten, die Schwachstellen in IT-Systemen zum Wohle eines Unternehmens aufdecken – im Gegensatz zu Black Hats, die IT-Systeme für böswillige Zwecke hacken. Unternehmen haben die Wahl zwischen einem privaten Programm, bei dem sie ausgewählte Hunter gezielt ansprechen, oder sie schreiben einen Auftrag für die gesamte Community öffentlich aus. Hunter nehmen entweder direkt über die Website Kontakt auf oder treten einem Programm über öffentliche Schnittstellen, zum Beispiel bei Jira, Jenkins, Github oder Gitlab bei.
Kunden können das Bug-Bounty-Programm vollständig über yeswehack.com in vier Schritten abwickeln:
- Definition des Programmes, der Kriterien und Regeln
- Veröffentlichung als privates oder öffentliches Programm
- Zusammentragen der Schwachstellen: Qualifizierung von Berichten, Validierung von Schwachstellen, Belohnung der Hunter
- Reparieren & Verifizieren: Kunden beheben die Schwachstellen, fordern die Hunter auf zu prüfen, ob die Behebung wirksam ist
Höchste Sicherheitsanforderungen sind erfüllt
Die Suche nach Sicherheitsdefiziten sowie der Datenaustausch zwischen YesWeHack und seinen Kunden erfolgt über End-to-End-Verschlüsselung die den Anforderungen aller gängigen Sicherheitsprotokolle genügt. Dabei greift YesWeHack zu keiner Zeit selbst auf die Schwachstellenberichte zu. Die Plattform wird auf einer souveränen Cloud gehostet, die die strengsten Sicherheitsanforderungen erfüllt: Sie ist zertifiziert nach ISO 27001, CSA STAR, SOC I / II Typ 2 sowie PCI DSS und ist DSGVO-konform. Zudem wird die YesWeHack-Plattform selbst permanent über ein Bug-Bounty-Programm geprüft und bietet daher höchstmögliche Sicherheit und Transparenz für seine Kunden.
Verlässlichkeit für Hunter und Kunden
Die Belohnung der Hunter wird erfolgsbasiert ausbezahlt: Für jede Schwachstelle wird nur der Hunter belohnt, der den ersten gültigen Bericht eingereicht hat. Dabei bestimmt der Schweregrad der Schwachstelle die Höhe der Belohnung, wobei die Schweregrade im Vorfeld vom Kunden definiert werden. Die Bounty-Zahlungen werden von einer externen Zahlungsplattform verwaltet, die europäische Compliance-Anforderungen erfüllt und so die Rückverfolgbarkeit der Finanzströme gewährleistet. Abschließend werden Punkte an die Hunter vergeben, insbesondere in Abhängigkeit von der Qualität des Berichts und von den Vorschlägen zur Behebung. Diese Punkte geben den Kunden einen Eindruck über die Sicherheitsexpertise jedes Hunters. Gleichzeitig ermöglichen die Punkte den Huntern, im YesWeHack Ranking zu steigen.
