34 Millionen Dollar haben die HackerOne-Gründer, die Niederländer Michiel Prins, Jobert Abma, Merijn Terheggen sowie der Amerikaner Alex Rice, einst zuständig für die Produktsicherheit bei Facebook, mit ihrer Geschäftsidee seit 2012 bei Investoren gesammelt. Mit dabei Prominenz wie Salesforce-Gründer Marc Benioff, Yelp-Gründer Jeremy Stoppelman und der Ex-Karstadt-Investor Nicolas Berggruen. Das ebenfalls in San Francisco ansässige Start-up Bugcrowd hat 23 Millionen Dollar Kapital erhalten und arbeitet für Kunden wie Tesla Motors und Pinterest.
Rund 500 Firmen – darunter Netzgrößen wie Twitter, Airbnb oder Square, Industriekunden wie der Autokonzern General Motors und sogar das US-Verteidigungsministerium – nutzen die Dienste von Mickos’ Truppe. „8,2 Millionen Dollar an Prämien haben wir in den vergangenen drei Jahren ausgeschüttet“, sagt der Finne. Monatlich komme rund eine halbe Million Dollar hinzu. HackerOne kassiert als Vermittler 20 Prozent der ausgeschütteten Preise. Den Rahmen des Wettbewerbs stecken die Auftraggeber ab. Sie entscheiden über die Summe und vergeben die Einzelpreise.
Bei einzelnen Hackern summieren sich die Honorare auf bis zu eine halbe Million Dollar. Aktuell höchstbelohnter Teilnehmer ist ein zehnjähriger Finne namens Jani. Er hat einen schweren Sicherheitsfehler in der Foto-App Instagram entdeckt und dafür 10 000 Dollar kassiert. Beim Anmelden für die Bug Bountys muss keiner Alter oder Klarnamen angeben. Preisgeld aber bekommt nur, wer seine Identität offenlegt.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
HackerOne logiert im 14. Stock eines Hochhauses in San Francisco; als Mieter des Büroanbieters WeWork. Mickos genießt die legere Atmosphäre, hat den Businessdress seiner Exarbeitgeber längst gegen Jeans und T-Shirt getauscht. Obwohl Etagenältester, sticht er optisch kaum noch aus den jungen Leuten um ihn herum heraus, von denen mancher nicht mal halb so alt ist wie er selbst.
Geld für Softwareschwachstellen zu zahlen war in der IT-Branche lange umstritten. Kritiker monierten, Preisgelder würden den Handel mit Programmfehlern zusätzlich anstacheln. Andere hingegen sehen Bounty-Programme als legale Alternative zu Geschäften im Darknet, den dunklen Ecken des Internet. Dort bieten Cyberkriminelle besonders brisante Schwachstellen an, sogenannte Zero Days. Gegen solche Lücken können sich Unternehmen nicht schützen, weil zunächst nur die Hacker sie kennen, die sie gefunden haben.
Millionenzahlungen auf dem Schwarzmarkt
Für einen dieser Zero Days hat die US-Bundespolizei FBI nach Berechnungen der Nachrichtenagentur Reuters im Frühjahr mindestens 1,3 Millionen Dollar gezahlt. Die Schwachstelle in Apples iOS-Betriebssystem ermöglichte es, den Speicher des iPhones eines Terroristen auszulesen. Apple-Chef Tim Cook – lange Zeit ein Gegner von Bug Bountys – hatte sich geweigert, die von der Behörde geforderte Hintertür in die Software zu öffnen. Anfang August nun verkündete Cooks Sicherheitschef Ivan Krstić auf der Sicherheitskonferenz Black Hat in Las Vegas, ebenfalls ein Prämienprogramm einzuführen: Wer Sicherheitslücken in Apples iOS findet, kann bis zu 200 000 Dollar bekommen.