Die großen Hackercontests, die weltweit veranstaltet werden, sind Vorbilder für eine Initiative in der Schweiz. Dort zahlen große Unternehmen im Rahmen von Bug Bounty Programmen Prämien für Hacker, die Schwachstellen in den Firmen-Netzwerken finden. Immer mehr Unternehmen wollen teilnehmen und auch der Bund zeigt Interesse an diesem „Prämienhacking“
Keine neue Idee: Swisscom mit guten Erfahrungen
Vorreiter ist die Swisscom, die bereits seit mehr als fünf Jahren Prämien für Hacker auslobt. Dabei musste der Vorstand einige Hürden nehmen, denn Mitte 2015 wurden Hacker überwiegend als Personen abgeurteilt, die gegen Gesetze verstießen. Dementsprechend waren vor allem die Programmentwickler gegen das – damals neuartige – Bug Bounty Programm.
Da keine genauen Erkenntnisse vorlagen, die eine Kostenkalkulation ermöglichten, ging der Vorstand das Projekt verhalten an. Florian Badertscher, Chefprogrammierer der Swisscom sagt: „Wir behielten uns deswegen am Anfang vor, das Programm jederzeit per sofort wieder einstellen zu können.“ Und trotzdem war es ein offenes Programm, an dem alle teilnehmen und alle Services untersuchen konnten. «Wir wollten ja gerade erfahren, in welchen Bereichen wir Schwachstellen drinhaben, die wir nicht erwartet hätten.»
Der Erfolg gibt ihnen recht, denn schüttet die Swisscom jährlich ca. 500.000 Franken an Hackerprämien aus. Von 1000 Meldungen p.a. Werden rund 50 als Schwachstelle eingestuft und akzeptiert. Eine effektive Methode, die jetzt Schule macht. Im Jahr 2019 starteten die Schweizer Post und die TX Group eigenen Prämienprogramme für Das Auffinden von Sicherheitslücken in ihren Systemen
Hackerprämien kommen gut an
Die Swisscom zahlt für eine kritische Schwachstelle bis zu 10.000 Franken Prämie. Ein guter Verdienst für Hacker. Dennoch betonen viele dieser Spezialisten, das nicht die Prämie der Grund für das Hacking sei, sondern die Herausforderung, das System zu kompromittieren und Fehler aufzuspüren. Besser zu sein als die Unternehmens-Programmierer.
Das sagt Edgar Boda-Majer. Ehemals IT-Angestellter einer Sicherheitsfirma nahm er in seiner Freizeit an Bug Bounty Programmen teil. Daraus entwickelte sich die Leidenschaft zum Bug Hunting und ein neues Arbeitsfeld. Boda-Majer gründete 2020 gemeinsam mit drei Arbeitskollegen eine eigene Firma, die sich auf Bug-Hunting spezialisiert hat.
Und das Geschäft scheint sich zu lohnen: «Wir verdienen besser als früher»,sagt der „Berufshacker“. Sie haben sich lange in die Materie eingearbeitet und suchen heute nach lukrativen „ open source“ Programmen. Die Tage der Updates – z.B. bei Adobe – sind rot im Kalender markiert, denn das Finden von Schwachstellen lebt von Geschwindigkeit. Die Prämie erhält nur der Erste.