„Früher oder später werden das alle Unternehmen machen“, ist Silicon-Valley-Wagnisfinanzierer Bill Gurley überzeugt, dessen Unternehmen Benchmark Capital ebenfalls in HackerOne investiert hat.
Zwar werden Bug Bountys primär in den USA ausgeschrieben, doch sie sind keine rein amerikanische Angelegenheit mehr. Auch deutsche Unternehmen wie Nextcloud aus Stuttgart setzen inzwischen auf die Wettbewerbe. Der Speichersoftwareanbieter hat kürzlich mithilfe von HackerOne ein eigenes Bug Bounty gestartet. Wer kritische Sicherheitslücken meldet, dem zahlen die Stuttgarter bis zu 5000 Dollar Prämie.
Schon kurz nach dem Start gab es 255 Hinweise, von denen Nextcloud zehn als relevant eingestuft hat. „In der Anlaufphase ist es zeitaufwendig“, sagt Lukas Reschke, der Sicherheitsverantwortliche bei Nextcloud. „Aber es lohnt sich – sowohl finanziell als auch von der Güte der Arbeit.“ Für ihn ist es eine zusätzliche Absicherung, die interne Sicherheitsspezialisten aber nicht ersetzen könne.
Auf White-Hat-Hacker setzt auch die Deutsche Telekom. Seit drei Jahren schüttet sie Prämien aus für Fehler, die Externe auf den Telekom.de-Webseiten entdecken. Am Anfang stieß das Projekt auf Widerstand, erzählt der verantwortliche Manager Markus Schmall: „Wie wir auf die Idee kämen, Hacker zum Angriff auf uns einzuladen?“
Doch schon bald schlug die Skepsis in Zufriedenheit um. Hunderte teils sehr gehaltvolle Bug-Meldungen fanden sich im digitalen Postfach; von Absendern unter anderem aus Indien, Pakistan oder Russland. Schmall sieht das Programm daher nicht nur als weitere Sicherheitsoption für den IT-Betrieb. Es helfe auch, Kontakt zu bekommen zu Spezialisten, die nicht nur die Telekom, sondern die gesamte Industrie händeringend sucht.
„Bug Bountys sind ein toller Weg, sich Talent weltweit günstig einzukaufen“, sagt auch Karsten Nohl. Er ist einer von Deutschlands renommiertesten IT-Spezialisten und Geschäftsführer beim Sicherheitsdienstleister SR Labs in Berlin. Von ihren Büros im Dach eines schmucken Altbaus in Berlins Gründerszeneviertel Mitte beraten und begleiten Nohl und seine gut 20 Mitarbeiter auch deutsche und internationale Kunden rund um IT-Sicherheit – und organisieren dabei auch Bug Bountys.
Die Nachfrage danach dürfte gerade in Deutschland rasch wachsen angesichts von Trends wie dem Internet der Dinge und der digitalisierten Industrie 4.0. Dass sich plötzlich beispielsweise Autohersteller mit der Hackbarkeit ihrer Gefährte auseinandersetzen müssen, ist ein Beispiel für die neue Anfälligkeit alter Industrien.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Auf rund 65,2 Milliarden Euro Schaden durch Umsatzverlust taxiert das Londoner Centre for Economics and Business Research die ökonomischen Folgen von Cyberattacken in der deutschen Wirtschaft seit 2010. Am stärksten betroffen war das produzierende Gewerbe mit 27 Milliarden Euro, gefolgt von Versorgern, Energie und Bergbau (9,2 Milliarden) sowie das Baugewerbe (6,5 Milliarden).
Wichtigste Voraussetzung, sich als Unternehmen gegen solche Verluste zu wappnen, ist wohl, sich die eigene Verwundbarkeit einzugestehen. Und die – gerade im deutschen Ingenieurwesen nur in Maßen vorhandene – Bereitschaft, externe Kompetenz neben dem internen Firmen-Know-how zuzulassen. Die „Nicht hier erfunden“-Denke jedenfalls wird in Zeiten der Digitalisierung zunehmend zum Sicherheitsrisiko. „Wir müssen einsehen, dass da draußen viele helle Köpfe sind, die mindestens so gut oder besser sind als die eigene Mannschaft“, mahnt Telekom-Manager Schmall.
Treffender würde das wohl auch HackerOne-Chef Mickos nicht formulieren.
