Bug-Bounty-Statistik dokumentiert Verwundbarkeit

Vor allem Fehlkonfigurationen (plus 150 Prozent) und unzulässige Autorisierungen (plus 45 Prozent) verschärfen den Aussagen der rund 5.000 befragten ethischen Hacker zufolge die Sicherheitsprobleme in den Unternehmen. Mit der digitalen Transformation vergrößerten sich die Angriffsflächen, so die Befragten, viele Betriebe würden damit nicht fertig.

38 Prozent der Hacker sind der Meinung, dass es den Unternehmen an internen Fähigkeiten und Fachkenntnissen mangelt. Viele hingen dem Irrglauben an, die Probleme ließen sich mit der Automatisierung von Security-Maßnahmen aus der Welt schaffen. 92 Prozent der Hacker sind davon überzeugt, Schwachstellen finden zu können, die ein Scanner nicht entdeckt. Die Kreativität des Menschen sei den Möglichkeiten der Maschine immer noch weit überlegen.

Der HackerOne-Bericht 2022 kombiniert Erkenntnisse aus den dokumentierten Sicherheitslücken mit den Aussagen und Motiven der befragten Hacker. Er führt zudem die durchschnittlichen Bug-Bounty-Preise nach Branchen auf, ebenso die wichtigsten Schwachstellen und mit welchen Erfolgen Hacker diese Schwachstellen an die Unternehmen melden können.

Ethische Hacker lieben die Herausforderung

Wie die Studie zeigt, lassen sich ethische Hacker vor allem durch die Möglichkeit hinzuzulernen motivieren (79 Prozent) - und natürlich durch die schönen Zusatzeinnahmen zu ihrer normalen Arbeit (72 Prozent). Bislang haben 22 Hacker auf der Plattform mehr als eine Million Dollar in Form von "Bounties" eingenommen, noch bei der der letzten Umfrage 2021 waren es nur zwölf.

Fast die Hälfte (47 Prozent) hackt heute mehr als noch vor einem Jahr. Dabei greifen die Spezialisten vorzugsweise ausgereifte und vermeintlich sichere Anwendungen an, weil sie sich dadurch "sportlich" gefordert fühlen. Vor Programmen mit langsamen Reaktionszeiten und schlechten Kommunikationseigenschaften schrecken die freundlichen Hacker zurück.

Frappierend hoch ist mit 50 Prozent der Anteil der Befragten, die gefundene Schwachstellen nicht gemeldet haben. Die Hacker geben dafür den Unternehmen die Schuld, die meist keinen klaren Prozess für eine sichere Meldung von Schwachstellen hätten. Im Gegenteil: Oft werde sogar mit juristischen Konsequenzen gedroht, was ethische Hacker davon abhält, mit den Unternehmen ins Gespräch zu kommen.

Betriebe brauchen länger für Behebung von Schwachstellen

Die Betreiber der Plattform berichten, dass die durchschnittliche Zeit zur Behebung von Schwachstellen von 35 auf 37 Tage gestiegen sei. Am langsamsten seien Unternehmen der Luft- und Raumfahrtindustrie mit 148,3 Tagen gewesen, gefolgt von Firmen aus dem Bereich Medizintechnik (73,9 Tage). Am schnellsten reagierten Kryptowährungs- und Blockchain-Unternehmen mit 11,6 Tagen.

Die größten Geldbeträge brachten den ethischen Hackern Schwachstellen beim Cross-Site-Scripting (XSS), gefolgt von Fehlern bei der Zugriffskontrolle und der Offenlegung von vertraulichen Informationen. Unsichere direkte Objektreferenzen (IDOR) und unsachgemäße Autorisierung runden die Top Five ab.

Pharmabranche besonders interessiert

2022 stieg die Zahl der Unternehmen, die in HackerOne-Programme investierten, um 45 Prozent. Dabei waren die Pharmabranche (plus 700 Prozent), Automobilindustrie (plus 400 Prozent), der Telekommunikationssektor (plus 156 Prozent) und die Kryptowährungs- und Blockchain-Szene (plus 143 Prozent) überdurchschnittlich aktiv.

Der jährliche Hacker-Powered Security Report von HackerOne wurde zwischen September und Oktober 2022 erstellt. Zu den Kunden der Organisation gehören das US-Verteidigungsministerium, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Lufthansa, Microsoft, MINDEF Singapur, Nintendo, PayPal, Slack, Twitter und Yahoo. Weitere Informationen und einen Download finden Sie hier. (hv)