HackerOne-Studie: Bug Bounties als lukrative Einnahmequelle
Wer Schwachstellen in Webanwendungen, Soft- und Hardware findet, bekommt häufig Preisgelder – so genannte Bug Bounties. Eine neue Studie offenbart interessante Details zu Verdienstmöglichkeiten und Background der Bounty-Jäger.
Die gezielte Suche nach Sicherheitslücken im Rahmen so genannter Bug-Bounty-Programme ist offenbar ein lukratives Geschäft: Fähige White-Hat-Hacker verdienen mit den ausgeschriebenen Preisgeldern durchschnittlich 2,7 Mal so viel wie angestellte Softwareentwickler aus demselben Herkunftsland. Zu diesem Ergebnis kommt eine neue Studie der Plattform HackerOne, an der knapp 1.700 Hacker aus aller Welt teilgenommen haben.
Die 2012 ins Leben gerufene Plattform agiert als Vermittler zwischen Hackern, die Schwachstellen aufspüren und Unternehmen, die Bug Bounties für deren Meldung ausschreiben – darunter viele prominente Firmen wie Adobe, Google, Microsoft, Twitter, Nintendo und Spotify.
Lernerfolge und SpaĂź wichtiger als Geldverdienen
43 Prozent der in der HackerOne-Studie erfassten Bug-Bounty-Jäger leben – zu fast gleichen Teilen – in den USA und Indien, gefolgt von Russland (sechs Prozent), Pakistan (vier Prozent) und Großbritannien (vier Prozent).
Insbesondere der hohe Anteil indischer Hacker stellt bei näherer Betrachtung von HackerOnes Statistiken keine Überraschung dar: Demnach übersteigen die Verdienstchancen eines guten "Bug-Bounty-Hackers" das Durchschnittseinkommen eines in Indien angestellten Softwareentwicklers um das 16-fache. Ähnliche Zahlen ergeben sich für Argentinien (15,6), gefolgt von Ägypten (8,1), Hongkong (7,6) und den Phillipinen (5,4).
Gute Verdienstchancen sind und bleiben also ein wichtiger Motivationsfaktor für die Suche nach Schwachstellen. Im Gegensatz zum Vorjahr belegt er allerdings mit rund 13 Prozent nur Platz vier der Gründe fürs Hacking. Wichtiger sind den Befragten die Möglichkeit, sich neues Wissen anzueignen (knapp 15 Prozent), die Freunde an der Herausforderung (14 Prozent) sowie der pure Spaß an der Bug-Suche (14 Prozent).
Interessant ist in diesem Zusammenhang auch der niedrige Altersdurchschnitt der Studienteilnehmer: Über 90 Prozent von ihnen sind sind jünger als 35 Jahre. 44 Prozent geben an, maximal zehn Stunden pro Woche für die Schwachstellen-Suche aufzuwenden; 37 Prozent definieren sie klar als Hobby. Die meisten Teilnehmer gehen hauptberuflich einem regulären Job – oft im IT-Bereich – nach; rund 25 Prozent sind Studenten.
Nachbesserungen bei der Kommunikation nötig
Als erfreuliche Entwicklung hebt HackerOne die zunehmende Offenheit von Firmen gegenĂĽber externen Hinweisen auf Schwachstellen hervor. Demnach gaben rund 38 Prozent der befragten Hacker an, dass sie die Reaktionen betroffener Unternehmen 2017 als "etwas offener" empfanden als im Vorjahr. Circa 34 Prozent empfanden sie gar als "wesentlich offener".
Dennoch wird laut Studie jede vierte entdeckte Schwachstelle nicht an die betroffenen Hersteller gemeldet. Ein zentraler Grund hierfür sei, dass diese oftmals keine klar formulierten Richtlinien und geeigneten Kommunikationskanälen fürs sichere Bug Reports (Vulnerability Disclosure Policies, VDP) bereitstellten. Hinweise via E-Mail oder Social Media wiederum würden oft ignoriert oder misinterpretiert.
Auch rechtliche Bedenken dürften beim Verzicht auf die Informationsweitergabe eine Rolle spielen: So müssen in den USA beheimatete Hacker aufgrund unklar formulierter Teilnahmebedingungen von Bug-Bounty-Programmen oftmals mit strafrechtlichen Konsequenzen für ihre – eigentlich gut gemeinten – Aktivitäten rechnen. (ovw)