Wie man ein erfolgreiches Bug-Bounty-Programm aufzieht

Viele Firmen investieren Geld in externe Sicherheitsüberprüfungen (Penetration Tests), die leider oftmals nur wenige Schwachstellen aufdecken. Ein häufiger Grund dafür ist die unbekannte Problemdomäne des zu testenden Produktes. Die Alternative dazu ist ein sogenanntes Internes Bug-Bounty Programm, in dem anstatt externer Dienstleister, die eigenen Entwickler Sicherheitslücken aufspüren.

Dynatrace hat 2018 drei Monate lang seine Entwickler dazu aufgefordert, neben ihrer normalen Tätigkeit auch Security-Lücken zu identifizieren. Dieser Talk gibt einen ausführlichen Einblick in die Vorteile, Tücken und Key-Learnings eines selbst organisierten internen Bug-Bounty Programms. Ebenso wird präsentiert, wie wir unseren Mitarbeitern die Ergebnisse aufbereitet haben, und welche Schritte gesetzt werden können, um eine Awareness-Steigerung zu erzielen. Zu guter Letzt wird ein Kostenvergleich zu externen Bug-Bounty Diensten (Hackerone, Bugcrowd, etc.) aufgestellt.

Slides and Video

Speaker

Pascal Schulz
IT Security Engineer, Dynatrace

Pascal Schulz is an IT security engineer at Dynatrace Austria, the world's leading provider of application performance management solutions. After completing his master's degree in "Secure Information Systems" in Hagenberg, Pascal was involved in the foundation of the Dynatrace security team. Currently, he focuses on managing and executing penetration tests, both internally and externally. Additionally, Pascal engages in automating security checks and he trains employees continuously.

Connection: