Bug-Bounty-Programm des DHS zur Sicherheitslückensuche ist voller Erfolg

Bug-Bounty-Programm des DHS zur Sicherheitslückensuche ist voller Erfolg

122 Sicherheitslücken, davon 27 kritische Bedrohungen: So lautet das Ergebnis des „Hack DHS“ Bug-Bounty-Programms, das die US-Behörde Department of Homeland Security (DHS) jetzt beendet hat. Im Dezember vergangenen Jahres hat das DHS dazu aufgerufen, bestimmte, extern erreichbare DHS-Systeme auf Sicherheitslücken hin zu untersuchen und sie zu hacken. Insgesamt 450 geprüfte Sicherheitsforscher und „ethische Hacker“ folgten dem Aufruf.

Insgesamt konnten die Sicherheitsforscher 125.600 US-Dollar an Preisgeldern einstreichen. Das DHS betont, dass das Aufspüren von verwundbaren Log4j-Versionen in allen öffentlichen Informationssystemen ebenfalls Bestandteil des Programms war. Dadurch habe das DHS weitere verwundbare Instanzen aufspüren können, die auf anderem Wege nicht ausfindig zu machen waren.

Das DHS hat das Kopfgeld-Programm mit dem Ziel der Entwicklung eines Modells gestartet, mit dem auch andere Behörden auf allen Regierungsebenen die eigene Cyber-Abwehrfähigkeit verbessern können. Das Programm ist dreistufig angelegt.

Die erste Phase wurde nun abgeschlossen. Die zweite Phase stellt ein Live-Hacking-Event dar, bei dem die geprüften Sicherheitsforscher persönlich vor Ort Systeme kompromittieren sollen. Abschließen soll das Programm in der dritten Phase mit einem Resümee, was sich aus dem Bug-Bounty-Programm lernen lässt.

„Organisationen jeder Größe und aus allen Sektoren einschließlich Bundesbehörden wie das DHS, müssen wachsam sein und Schritte unternehmen, ihre Cyber-Sicherheit zu stärken. Hack DHS unterstreicht das Engagement unserer Behörde, mit gutem Beispiel voranzugehen und die Netzwerke und Infrastruktur unserer Nation vor aufkommenden Cyber-Sicherheitsbedrohungen zu schützen“, sagte der US-Heimatschutzminister Alejandro Mayorkas einer Meldung des DHS zufolge.

„Die enthusiastische Teilnahme der Sicherheitsforscher-Community während der ersten Phase von Hack DHS ermöglichte uns, kritische Sicherheitslücken zu finden und zu schließen, bevor sie ausgenutzt werden konnten“, ergänzte der Chief Information Officer des DHS, Eric Hysen. „Wir freuen uns, unsere Beziehung zur Forschergemeinschaft mit dem Fortschreiten von Hack DHS zu vertiefen.“

Andere Bug-Bounty-Programme ermöglichen Sicherheitsforschern, deutlich höhere Summen für aufgedeckte Schwachstellen einzustreichen. So konnte sich kürzlich ein IT-Forscher über 2 Millionen US-Dollar Prämie für Bug in Blockchain-Projekt freuen.


(dmk)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.