Bei Bug Bounty handelt es sich um Programme, die dazu genutzt werden, Sicherheitslücken und Schwachstellen aufzudecken. Jetzt nutzt erstmals eine Ransomware ein Bug-Bounty-Programm.
LockBit heißt der Schädling, der damit lockt, Belohnungen zu zahlen. Alle Infos hier.
Unser Beitrag über Bug Bounty im Überblick:
Was ist Bug Bounty?
Der Begriff Bug Bounty, beziehungsweise Bug-Bounty-Programm steht sinngemäß für Kopfgeld-Programm für Programmfehler. Es beschreibt Initiativen von Unternehmen, Interessenverbänden und Privatpersonen, die Fehler in Software, Anwendungen oder Web-Diensten identifizieren, beheben und bekanntmachen. Die Entdecker der Fehler erhalten dafür Sach- oder Geldpreise, die von der Komplexität entdeckten Schwachstellen abhängig sind.
Bug Bounty richtet sich an IT-Security-Experten wie Hacker, Programmierer oder Sicherheitsforscher, die bei Teilnahme Exploit-Kits nutzen. Bug-Bounty-Programme sind Teil der Sicherheitsstrategie des jeweiligen Unternehmens oder der Organisation. Die Programme ermöglichen es den Auftraggebern, entdeckte Schwachstellen und Fehler zu beheben, ehe sie von Kriminellen ausgenutzt werden.
Obwohl für die Entdeckung einer Schwachstelle Prämien gezahlt werden, stellen Bug-Bounty-Programme eine sehr kostengünstige und effiziente Möglichkeit dar, die Stabilität und Sicherheit von Software und Anwendungen zu verbessern. Denn: Die Bug-Bounty-Programme sind meistens derart gestaltet, dass der gefundene Fehler oder die Schwachstelle zunächst dem Unternehmen oder der Organisation mitgeteilt werden muss. Direkt veröffentlichen dürfen die Entdecker Fehler und Schwachstellen nicht.
Es geht ums Geld – Entdecker von Schwachstellen werden aus Bug-Bounty-Programmen gut entlohnt. Nun gehen Die Hintermänner einer Ransomware genauso vor. Bild: Pexels/Tima Miroshnichenko
Anwendung von Bug Bounty
Bug-Bounty-Programme verteilen sich in großer Zahl über den gesamten Erdball. Ausschreibende Unternehmen kommen aus den verschiedensten industriellen Bereichen. Dabei sind Software-Anbieter, Netzbetreiber und Cloud-Anbieter genauso wie Betreiber von Web-Anwendungen, Betriebssystemhersteller und Unternehmen in der Finanzbranche.
Grundsätzlich kann jede Firma, die Software einsetzt, eine Organisation oder Firma sein, die solche Programme nutzt und zum Teil hohe Prämien auslobt. So zahlt Mozilla je nach Schwere der Bandbreit zwischen 500 und 10.000 US-Dollar, Microsofts Preisspanne reicht bis 100.000 US-Dollar und Facebook zahlt mindestens 500 US-Dollar.
Zu den Unternehmen, die Bug Bounty einsetzen, gehören unter anderem Facebook, Microsoft, Apple, Tesla, Airbnb, eBay, LinkedIn, Pinterest, Symantec, Uber, Lufthansa, Intel und noch viele mehr. Sie alle profitieren davon, wenn Fehler in der Software oder Anwendungen frühzeitig entdeckt werden und nicht für kriminelle Zwecke genutzt werden können. Aber auch staatliche oder öffentliche Institutionen nutzen Bug-Bounty-Programme. Beispiel hierfür sind die EU-FOSSA (Projekt Free and Open Source Software Audit) oder das Pentagon.
Ransomware LockBit zahlt Belohnungen
Nun ist erstmals eine Ransomware aufgetaucht, die sich wie ein Bug-Bounty-Programm verhält und Belohnungen an diejenigen auszahlt, die einen Fehler in der Verschlüsselung finden. LockBit heißt die Schadsoftware. Sie ist an sich nicht neu; neu ist allerdings, dass sie als Bug Bounty agiert. Damit macht sie genau das gleiche, was sonst nur seriöse Firmen tun: Prämien für entdeckte Lücken und Fehler auszahlen.
LockBit macht allerdings noch mehr: Die Hintermänner der Ransomware bieten auch für Schwachstellen in Webseiten, Hintertüren zur TOR-Verschlüsselung und anderen Dingen, die den Erpressern helfen, Geld an. An dieser Stelle sei allen Hobbyhackern, die das große Geld wittern, gesagt, dass es natürlich strafbar ist, Erpressern bei ihren Straftaten zu helfen. Und nichts anderes tut man, wenn man den Hintermännern mögliche Fehler mitteilt.
Da Ransomware nach wie vor die größte Bedrohung im Internet darstellt, ist es wichtig, geeignet Maßnahmen zu ergreifen. Antivirenschutz und Backups sind nur ein Teil der Maßnahmen. Nicht zu vernachlässigen ist eine Firewall, die Erfüllung der gesetzlichen Vorgaben und ein IT-Verantwortlicher, der sich darum kümmert. Wenn Ihnen in Ihrer Firma dieser wichtige Mitarbeiter fehlt, dann wenden Sie sich gern an Ihren PC-SPEZIALIST in Ihrer Nähe und überlassen ihm die Aufgaben des IT-Verantwortlichen. Mit dem IT-Basisschutz sorgen wir dafür, dass Ihre Daten sicher sind. Nehmen Sie noch heute Kontakt auf!
_______________________________________________
Andere Stimmen zum Thema: Computerweekly, security-insider, Wikipedia, Computerbild
Schreiben Sie einen Kommentar