Knapp über der Armutsgrenze

So viel verdienen Security-Experten als Schwachstellenjäger

17.01.2019 von Peter Marwan
Eine aktuelle Untersuchung wirft neues Licht auf ein altes Problem - und nährt den Verdacht, Software-Herstellern ist es gar nicht so wichtig, Sicherheitslücken in ihren Produkten zu schließen.

In einem von Experten des MIT verfassten Buch über neue Ansätze für Cybersecurity wurde als Teilaspekt auch eine Untersuchung veröffentlicht, wie viel freie Programmierer und Sicherheitsexperten durch die Teilnahme an offiziellen Prämienprogrammen der Hersteller für gefundene Schwachstellen verdienen können. Im Rahmen dieser "Bug Bounty"-Programme, für die es mit HackerOne, Bugcrowd, Hackenproof oder Yeswehack mittlerweile mehrere Plattformen gibt, loben Hersteller Prämien für gemeldete Sicherheitslücken aus.

Software-Herstellern Sicherheitslücken zu melden ist ehrlich und verdientvoll - lukrativ leider nur in den wenigsten Fällen.
Foto: Nata-Lia - shutterstock.com

Entsprechende Initiativen gibt es nicht nur von Software-Herstellern wie Microsoft und Google, sondern auch von eher für Hardware bekannten Firmen wie HP und Intel oder sogar von Fertigungs- und Dienstleistungsunternehmen wie BMW. Auch Apple hat - relativ spät - 2016 ein Bug Bounty-Programm aufgelegt. Daneben locken IT-Security-Firmen wie Avira und Kaspersky mit Belohnungen, falls ihnen Fehler in eigenen oder Sicherheitslücken in fremden Produkten gemeldet werden.

Allerdings zahlen nicht alle Anbieter solcher Programme immer oder überhaupt eine Geldprämie. Viele halten es bereits für Lohn genug, wenn der ehrliche Entdecker in eine "Hall of Fame" aufgenommen und in einer möglichen Kommunikation zu der Lücke erwähnt wird. Zum Beispiel erfüllten nur vier bis fünf Prozent der über die öffentlich zugänglichen Bug-Bounty-Programme von Google, Facebook und GitHub gemeldeten Fehler die Anforderungen an eine finanzielle Prämie. Die Erwähnung und das Lob einer großen Firma mag in einigen Fällen eine gute Werbung sein, ob es zum Leben reicht, darf der Aufstellung von Trail of Bits dagegen bezweifelt werden.

Pokerspielen könnte lukrativer sein

Mitarbeiter des auf komplexe Security-Analysen spezialisierten IT-Dienstleisters Trail of Bits haben sich das neu veröffentlichte Buch und die Untersuchungen genauer angeschaut. Das Fazit der Experten - die von ihrer eigenen Auftragsarbeit für große Konzerne ganz gut leben können - fällt ernüchternd aus: Sich auf die Suche nach Sicherheitslücken zu spezialisieren, um davon leben zu können, sei etwa so aussichtsreich wie seinen Job aufzugeben, um den Lebensunterhalt künftig mit Pokerspielen zu verdienen. Oder anders gesagt: Es ist möglich, aber schwer und funktioniert nur selten.

Seinen Job aufzugeben, um den Lebensunterhalt mit Pokerspielen zu verdienen, könnte vernünftiger sein, als sich ausschließlich auf die Suche nach Sicherheitslücken zu konzentrieren und die Prämien der Hersteller zu hoffen.
Foto: Kucher Serhii - shutterstock.com

Lediglich ein Prozent der besten Schwachstellenjäger gelingt es, im Durchschnitt pro Monat etwa 0,87 Lücken zu finden und damit auf ein Jahresgehalt von etwa 34.000 Dollar zu kommen (aktuell rund 29.800 Euro). Hat man neben dem Job als Hacker noch eine insgesamt vierköpfige Familie, lebt man damit knapp über der Armutsgrenze (knapp 25.000 Euro pro Jahr). Für einen gut ausgebildeten, hochspezialisierten, freiberuflich tätigenden Experten ist das nicht attraktiv.

Zum Vergleich: Im Gastgewerbe könnte er mit einem Durchschnittslohn von derzeit etwa 2.400 Euro brutto mehr verdienen und wäre auch noch sozialversichert. Und zur Erinnerung: 34.000 Dollar war das von den Spitzenleuten erzielbare Einkommen. Die übrigen 99 Prozent der Sicherheitsforscher müssten mit weitaus weniger auskommen, wenn sie sich lediglich auf die Suche nach Schwachstellen beschränkten.

Was Sicherheitslücken wert sind

Das Problem ist grundsätzlich schon länger bekannt. Neu ist, dass es nun durch belastbare Zahlen belegt ist. Insbesondere in wirtschaftlich schwächeren Ländern mit einer großen Zahl gut ausgebildeter Menschen ist daher die Versuchung groß, andere Abnehmer für die mühsam erzielten Erkenntnisse zu suchen. Schon 2014 berichteten Experten von Symantec, dass Zero-Day-Lücken auf dem Schwarzmarkt häufig für Beträge zwischen 50.000 und 100.000 Dollar veräußert werden. Inzwischen dürften die erzielbaren Einnahmen dort deutlich höher sein.

IoT-Security - was Hersteller davon halten
IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11.
Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss".
Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein."
David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren."
Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt.
Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller."
Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden."
Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können."
Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen."
Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design."
Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich."
Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."

Richtig "gute Sicherheitslücken" müssen zudem nicht einmal illegal vermarktet werden. Firmen wie Exodus und Zerodium, die in einer Grauzone operieren und Wissen über Sicherheitslücken lieber an Behörden und Geheimdienste verkaufen, als an die Hersteller der betroffenen Software, zahlen zum Beispiel zwischen 500.000 und zwei Millionen Dollar für einen Exploit in iOS, 100.000 bis 125.000 Dollar für eine sofort nutzbare Schwachstelle in Microsoft Edge, 200.000 Dollar für eine Lücke im Mail-Programm Thunderbird und 225.000 in Microsoft Exchange.

Lesen Sie auch: Was bedeutet eigentlich Cyber Security?

So lange Behörden und Geheimdienste solche Lücken mit Steuergeldern teuer ankaufen und für ihre Zwecke nutzen, besteht wenig Aussicht, dass sich findige Köpfe in anderen Ländern mit den Almosen zufriedengeben, die ihnen die Hersteller anbieten. Sie müssen ja nicht einmal kriminell werden, um wesentlich mehr zu verdienen.

Dass die Prämien der Hersteller so niedrig sind, kann denen ebenfalls zum Vorwurf gemacht werden. Beträge von ein paar Tausend Euro sind ein Hohn, angesichts der Kosten, die das Unternehmen hätte, wenn es seine Produkte durch (mehr) festangestellte Experten überprüfen und nach Schwachstellen durchforsten ließe.