Bug-Bounty-ROI

Zoom zahlt Millionen an Hacker

Um Sicherheitslücken zu finden, setzt Zoom auf Schwarmintelligenz - und hohe Prämien. CISO Jason Lee erklärt, warum sich Bug-Bounty-Programme lohnen und wie man diese der Führungsetage schmackhaft macht.
Von 
CSO | 08. April 2022 12:36 Uhr
An Hacker, die sehr brisante Sicherheitslücken melden, zahlt Zoom bis zu 50.000 Dollar Prämie.
An Hacker, die sehr brisante Sicherheitslücken melden, zahlt Zoom bis zu 50.000 Dollar Prämie.
Foto: Prostock-studio - shutterstock.com

2,4 Millionen Dollar hat Zoom seit der Einführung des Bug-Bounty-Programms im Jahr 2020 an Sicherheitsanalysten und -forscher ausgezahlt. Dabei konnte das Unternehmen, das sich einen Namen mit seinem Videokonferenz-Tool gemacht hat, über die Plattform "HackerOne" 800 Ethical Hacker rekrutieren. Allein im Jahr 2021 zahlte Zoom 1,8 Millionen Dollar an Sicherheitsexperten aus, die dabei geholfen haben, rund 400 Bugs zu identifizieren und zu beheben. Dabei liegen die individuellen Prämien im Bereich zwischen 250 und 50.000 Dollar.

Übermittelt ein White-Hat-Hacker Fehler an Zoom, reagiert der Konzern in der Regel innerhalb von weniger als vier Stunden. Bis die Berichte vollständig gesichtet wurden, vergehen durchschnittlich 48 Stunden. Bug-Bounty-Prämien bezahlt Zoom innerhalb von 14 Tagen nach Übermittlung des entsprechenden Berichts.

Lesetipp: Apple belohnt den Entdecker der gefährlichen Safari-Schwachstellen mit 100.500 Dollar

Lohnen sich Bug-Bounty-Programme für Unternehmen?

2,4 Millionen Dollar in zwei Jahren ist eine erhebliche Investition, vor der viele leitende Manager möglicherweise zurückschrecken. Zoom-CISO Jason Lee hingegen ist der Meinung, dass der Return on Investment (ROI)für die schnelle Behebung von Schwachstellen die Ausgaben für die Prämien bei weitem übersteigt. Hierbei müsse man auch bedenken, welche potenzielle Kosten und Reputationsschäden selbst eine einzige Datenschutzverletzung nach sich zieht.

"Wir messen das Zoom Bug-Bounty-Programm nicht nur an der Anzahl der Fehler, die wir beheben können, sondern auch daran, dass mehr Menschen unsere Produkte überprüfen. So profitieren wir von den Skillsets einer divers aufgestellten Gemeinschaft und gewinnen eine bessere Außenansicht, um potenzielle Bugs aufzutun", erklärt der CISO.

Die Vorteile von Bug-Bounty-Programmen kommunizieren

Weitere Vorteile von Bug Bounties für Unternehmen sind:

  • Mithilfe der Schwarmintelligenz entlasten Unternehmen ihre eigenen Sicherheitsfachkräfte und Schwachstellen können schneller gefunden werden.

  • Ein objektiver Blick von außen bietet oftmals eine bessere Perspektive auf Fehler.

  • Unternehmen mit Bug-Bounty-Programmen können dadurch talentierte Hacker für sich gewinnen.

  • Mithilfe der öffentlichen Ausschreibungen steigt das Vertrauen der Kunden in das Unternehmen und seine Produkte.

Mit diesen Argumenten können CISOs die Geschäftsleitung von einem Bug-Bounty-Programm überzeugen, ist sich Lee sicher: "Bug Bounties sind ein Teil unserer umfassenderen Sicherheitsstrategie. Für uns bietet das Programm die Möglichkeit, Fehler proaktiv aufzuspüren und unsere Angriffsfläche zu minimieren. Wir sehen großen Wert darin, mögliche Schwachstellen vor böswilligen Angreifern zu identifizieren, um diese umgehend zu beheben und unsere Benutzer schützen können." (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.