Regierungsprogramme stiegen um 214%, Kunden beendeten 30.541 Sicherheitsschwachstellen und Hacker verdienten 21 Millionen Dollar in den letzten 12 Monaten Bericht zeigt.

HackerOne, die führende Hacker-basierte Pentest- und Bug-Bounty-Plattform, gab heute die Ergebnisse ihres Hacker-Powered Security Reports 2019 bekannt. Der Bericht ist die größte Studie über Bug Bounty, Vulnerability Disclosure und Hacker-basierte Pentest-Programme. Der Bericht untersucht Trends von mehr als 120.000 Sicherheitslücken, die für mehr als 1.400 Kunden behoben wurden und Hackern über 62 Millionen Dollar an Bounties einbringen.

Wenn ein neues Bug-Bounty-Programm gestartet wird, melden Hacker in 77% der Fälle die erste gültige Schwachstelle innerhalb von 24 Stunden

Fünfundzwanzig Prozent der gefundenen gültigen Schwachstellen werden als hochgradig oder kritisch eingestuft. Alle fünf Minuten meldet ein Hacker eine Schwachstelle über ein Crypto Trader Bug-Bounty- oder Schwachstellen-Offenlegungsprogramm. Alle 60 Sekunden arbeitet ein Hacker mit einer Organisation auf HackerOne zusammen. Das sind mehr als 1.000 Interaktionen pro Tag mit Hackern und Unternehmen oder Regierungen, die sich für ein sichereres Internet einsetzen. So schnell kann sich die Sicherheit verbessern, wenn Hacker dazu eingeladen werden.

„Hacking ist hier für immer, zum Wohle von uns allen“, sagte Marten Mickos, CEO von HackerOne. „Eine halbe Million Hacker haben sich bereitwillig bei HackerOne angemeldet, um bei der Lösung einer der größten Herausforderungen zu helfen, vor denen unsere Gesellschaft heute steht. Wir können Datenverstöße nicht verhindern, die Cyberkriminalität reduzieren, die Privatsphäre schützen oder das Vertrauen in die Gesellschaft wiederherstellen, ohne unsere Verteidigung zu bündeln und externe Hilfe anzufordern.“

Zu den wichtigsten Ergebnissen gehören:

Die durchschnittliche Prämie für kritische Schwachstellen stieg im vergangenen Jahr auf 3.384 US-Dollar. Eine Steigerung von 48% gegenüber dem Durchschnitt des Vorjahres von 2.281 $ und eine Steigerung von 71% gegenüber dem Durchschnitt des Jahres 2016 von 1.977 $. Auch die Bounty-Werte für weniger schwere Schwachstellen steigen, wobei die durchschnittliche plattformweite Bounty um 65% steigt.

Die Regierungen hatten mit 214% das stärkste Branchenwachstum gegenüber dem Vorjahr, und im vergangenen Jahr wurden erstmals Programme auf kommunaler Ebene gestartet. Eine starke Programmannahme fand in den Branchen Automotive (113%), Telekommunikation (91%), Konsumgüter (64%) und Kryptowährung & Blockchain (64%) statt.

Die Mehrheit der Bug-Bounty-Programme bleibt mit 79% privat, mit wenig Veränderung gegenüber dem Vorjahr. Öffentliche Bug-Bounty-Programme greifen sechsmal so viele Hacker an.

Heute betreiben sechs von zehn der führenden Banken in Nordamerika Hacker-basierte Sicherheitsprogramme auf HackerOne. Finanzdienstleistungsunternehmen, die Hacker-basierte Sicherheitsprogramme betreiben, stiegen in diesem Jahr um 41%.

Sechs Hacker überstiegen 1 Million Dollar an Lifetime-Einnahmen, sieben weitere erreichten 500.000 Dollar an Lifetime-Einnahmen, und mehr als 50 verdienten 100.000 Dollar oder mehr allein im vergangenen Jahr. Qualifizierte und engagierte Hacker haben das Potenzial, eine Karriere aufzubauen und ein wettbewerbsfähiges Leben mit den Möglichkeiten der Hacker-basierten Sicherheit zu führen.
Die Globalisierung der Hacker-basierten Sicherheit nimmt weiter zu. Mehrere neue Länder traten in die Top 10 der am höchsten bezahlten Länder ein, Hacker in 19 Ländern verdienten im vergangenen Jahr insgesamt mehr als 100.000 US-Dollar, und mehr Unternehmen in mehr Ländern veranstalten Live-Hacking-Veranstaltungen. Hacker aus 84% aller Länder der Welt haben Schwachstellenberichte eingereicht.

Hacker-basierte Sicherheitsprogramme

Hacker-basierte Pentests nehmen zu, da Unternehmen Hacker einsetzen, um Simulationen realer Angriffe in Sicherheitstests zu integrieren. In einem kürzlich erschienenen Bericht erläuterte eine Organisation, wie Hacker-gesteuerte Pentests ihnen halfen, die Gesamtkosten um 156.784 US-Dollar zu senken und über drei Jahre hinweg zusätzliche 384.793 US-Dollar einzusparen, indem sie den Aufwand für interne Sicherheit und Anwendungsentwicklung reduzierten.

„Hacker sind keine anonymen Schützen mehr“, erklärt der Bericht. „Sie werden von allen, von der Versicherungsbranche bis hin zu Regierungsbehörden, angenommen. Heute ist Hacker-basierte Sicherheit ein fester Bestandteil eines ausgereiften und proaktiven Sicherheitsprogramms. Es ist nicht schwer zu verstehen, warum. Unternehmen verarbeiten mehr sensible Daten und mehr persönliche Informationen als je zuvor. Die Zusammenarbeit mit Hackern ermöglicht es Ihnen, Sicherheit im Innovationstempo zu bieten.“

Der Hacker Powered Security Report 2019 ist der umfassendste Bericht der Branche über die Sicherheit, der von Hackern erstellt wurde und die oben genannten und weitere Themen bewertet. Die Daten stammen aus der Hackergemeinschaft von HackerOne und der Datenbank der gemeldeten und gelösten Schwachstellen. Sofern nicht anders angegeben, beziehen sich die Zahlen auf die 12 Monate von Mai 2018 bis April 2019.

Der vollständige Bericht ist unter https://www.hackerone.com/resources/hacker-powered-security-report-2019 verfügbar.

Über HackerOne

HackerOne ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen, die Unternehmen helfen, kritische Schwachstellen zu finden und zu beheben, bevor sie ausgenutzt werden können.