Mit dem Auffinden und Melden von Sicherheitslücken kann man offensichtlich richtig viel Geld verdienen: Wie die Bug-Bounty-Plattform HackerOne vermeldet, hat nun der erste Sicherheitsforscher Prämien in der Höhe von mehr als einer Million US-Dollar eingestrichen.

Santiago Lopez ist 19 Jahre alt und beschäftigt sich eigenen Angaben zufolge seit 2015 mit dem Umgehen von IT-Sicherheitsvorkehrungen. Für seinen ersten gemeldeten Bug gab es 50 US-Dollar – seine größte Belohnung beträgt bis dato 9000 US-Dollar. Nun hat er die Million vollgemacht und gehört somit zu den erfolgreichsten Sicherheitsforscher, der Lücken in beispielsweise Twitter, Verizon und in Services der US-Regierung an HackerOne übermittelt hat. Das geht aus dem jährlichen Report der Bug-Bounty-Plattform hervor.

Die Bug-Bounty-Plattform gibt es seit 2012. Gegründet wurde HackerOne von ehemaligen Facebook-, Google- und Microsoft-Mitarbeitern. Die Plattform übernimmt für Unternehmen wie Nintendo, Spotify und Wordpress die Koordination von extern gemeldeten Schwachstellen.

Beeindruckende Zahlen

Insgesamt arbeitet HackerOne mit über 300.000 Sicherheitsforschern zusammen, die mittlerweile mehr als 100.000 valide Sicherheitslücken gemeldet haben. Bislang haben sie eigenen Angaben zufolge Prämien von mehr als 42 Millionen US-Dollar ausgeschüttet – allein 2018 waren es 19 Millionen US-Dollar. Der Großteil der Sicherheitsforscher stammt aus Indien und den USA. Aber auch nach Deutschland sollen große Summen als Prämie geflossen sein.

Größtenteils gehen bei Hackerone Meldungen über XSS-Lücken ein. Das Ausführen von Schadcode (RCE) ist im einstelligen Bereich.

HackerOne zufolge haben die Top-Sicherheitsforscher ein bis zu 40 mal höheres Jahreseinkommen als ein Softwareentwickler in dem jeweiligen Land. In Deutschland beträgt der Faktor drei. Über 80 Prozent der Bug-Jäger geben an, sich das IT-Sicherheitswissen selbst angeeignet zu haben. Der Großteil ist zwischen 18 und 24 Jahre alt.

Knapp 36 Prozent der bei HackerOne angemeldeten Sicherheitsforscher geben an, pro Woche rund eine bis zehn Stunden in das Finden von Lücken zu investieren. 72 Prozent setzen sich dem Report zufolge seit ein bis fünf Jahren mit Hacking auseinander. Rund 14 Prozent geben als Motivation an, Lücken für mehr Geld zu finden. Ebenfalls 14 Prozent tun es eigenen Angaben dafür, um effizientere Techniken zu erlernen.

Für noch mehr Geld in den Untergrund

Sicherheitsforscher könnten noch mehr Geld machen, wenn sie ihren Code zum Ausnutzen von Schwachstellen an Exploit-Händler wie Zerodium verkaufen würden, ohne die Lücke vorher an die Software-Verantwortlichen zu melden. Derartige Zero-Day-Exploits können wie im Fall von Apples iOS 10 bis zu 1,5 Millionen US-Dollar einbringen.

Derartige Geschäftspraktiken sind zu Recht umstritten, da so Angreifer Schadcode für ungepatchte Lücken verbreiten könnten. Bleibt eine Schwachstelle unbekannt, könnten das beispielsweise auch staatliche Organisationen für Spionage missbrauchen. (des)