Bug Bounty ist ein Belohnungsprogramm, bei dem Unternehmen Sicherheitsforschende für Schwachstellenmeldungen vergüten. Ein Unternehmen öffnet einen klar abgegrenzten Scope, definiert Safe-Harbor-Regeln und belohnt valide Funde mit Prämien oder Anerkennung.
Definition
Bug Bounty kombiniert Schwachstellenmeldung mit einem finanziellen oder reputativen Anreiz. Anders als bei ungeordneten Zufallsfunden schafft ein Programm feste Regeln für Scope, Meldekanal, Reaktionszeiten und Offenlegung. Bekannte Plattformen sind HackerOne, Bugcrowd und YesWeHack.
Wichtig ist die Abgrenzung zu Responsible Disclosure. Responsible Disclosure beschreibt vor allem den koordinierten Meldeprozess. Bug Bounty geht einen Schritt weiter, weil das Unternehmen diesen Prozess aktiv organisiert und Meldungen zusätzlich vergütet. Damit wird aus reiner Reaktion ein steuerbares Instrument des Schwachstellenmanagements.
Relevanz für NIS2
Im Rahmen der NIS2-Richtlinie in Deutschland ist Bug Bounty relevant, weil Unternehmen Schwachstellen nicht nur technisch finden, sondern auch geordnet bewerten und beheben müssen. Art. 21 Abs. 2 Buchst. e der Richtlinie (EU) 2022/2555 verlangt Maßnahmen wie grundlegende Cyberhygiene, Schulungen und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen. Ein Bug-Bounty-Programm ist nicht vorgeschrieben, kann diese Pflichten in der Praxis aber sinnvoll unterstützen, weil externe Funde reale Angriffsflächen sichtbar machen.
Ebenso wichtig ist Art. 12 Abs. 2 NIS2. Die Richtlinie verpflichtet die Mitgliedstaaten, koordinierte Schwachstellenoffenlegung zu fördern. Genau in diese Logik passt Bug Bounty: Das Unternehmen schafft einen geregelten Weg für externe Hinweise, ergänzt interne Prüfungen wie den Penetrationstest und reduziert das Risiko ungeordneter Offenlegung.
Bug Bounty ersetzt trotzdem keine Grundlagen. Ohne Patch Management und belastbare Cybersicherheit entsteht nur zusätzlicher Eingang von Meldungen.
Scope, Safe Harbor und Prämienmodelle
Ein wirksames Bug-Bounty-Programm steht und fällt mit seinem Scope. Das Unternehmen muss klar festlegen, welche Domains, APIs oder Testumgebungen geprüft werden dürfen und welche Bereiche ausgeschlossen bleiben. Typische Ausschlüsse sind Social Engineering, Denial-of-Service und Datenexfiltration.
Safe Harbor ist der rechtlich wichtigste Teil des Programms. Gemeint ist die Zusage des Unternehmens, bei regelkonformem Verhalten keine rechtlichen Schritte anzustreben. ENISA-Leitlinien und ISO/IEC 29147 stützen genau diese Logik.
Bei den Prämienmodellen sind Hall of Fame, feste Betragsstufen nach Kritikalität und individuelle Bewertungen üblich. Für viele deutsche Unternehmen ist ein privates oder begrenztes Programm sinnvoller als ein sofort öffentliches Modell.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutsches Softwareunternehmen betreibt ein Kundenportal für B2B-Aufträge und veröffentlicht ein privates Bug-Bounty-Programm über YesWeHack. Der Scope umfasst Hauptdomain und API, nicht aber Office-IT oder Systeme externer Dienstleister. Ein Sicherheitsforscher meldet eine Schwachstelle in der Zugriffskontrolle, durch die Metadaten anderer Kundenkonten einsehbar wären.
Das Unternehmen bestätigt den Eingang noch am selben Tag, reproduziert den Fund intern und stuft ihn als hoch ein. Danach wird die Schwachstelle priorisiert behoben, dokumentiert und geschlossen. Der Forschende erhält die vereinbarte Prämie. Genau so zeigt sich der Wert von Bug Bounty: als geordneter Prozess zwischen Meldung, Validierung und Behebung.
Verwandte Begriffe
Häufig gestellte Fragen
Was ist Bug Bounty?
Bug Bounty ist ein Belohnungsprogramm für das Melden von Schwachstellen innerhalb eines klar geregelten Scopes.
Welche Rolle spielt Bug Bounty unter NIS2?
Bug Bounty unterstützt NIS2-betroffene Unternehmen beim Schwachstellenmanagement, weil externe Meldungen schneller in Triage, Behebung und Dokumentation überführt werden können.
CTA
Wenn Sie NIS2-Anforderungen, Schwachstellenmanagement und Verantwortlichkeiten im Unternehmen sauber aufbauen möchten, ist unsere NIS2-Schulung der passende nächste Schritt.