Wie Bug-Bounty-Programme funktionieren
Ein Unternehmen veröffentlicht eine Richtlinie, in der es Forscher einlaedt, bestimmte Systeme zu testen. Funde werden über eine Plattform (z. B. HackerOne, Bugcrowd, Intigriti) oder direkt eingereicht und nach Prüfung vergütet.
Im Gegenzug versprechen Anbieter Safe Harbor - solange du dich an die Regeln haelst.
Scope sauber lesen
| Element | Bedeutung |
|---|---|
| In Scope | Welche Domains, Apps, APIs explizit erlaubt sind. |
| Out of Scope | Alles andere - rechtlich wie jeder fremde Server. |
| Erlaubte Methoden | Manuelle Tests, ggf. begrenzte Automation. |
| Verbotene Methoden | DoS, Social Engineering, Tests gegen reale Nutzer. |
| Bounty-Tabelle | Welche Severity welche Auszahlung erwartet. |
| Safe Harbor | Was bei Regeleinhaltung zugesichert ist. |
Report-Qualitaet ist wichtiger als Anzahl
Plattformen tracken Reputation. Schludrige oder uebertriebene Reports senken Signal und Auszahlungschance. Gute Reports enthalten reproduzierbare Schritte, realistische Severity und konkrete Mitigation-Vorschlaege.
Das Reporting-Kapitel im Bereich Ethical Hacking gibt eine Vorlage, die für Bounty-Reports ebenfalls funktioniert.
Typische Missverständnisse
- "Out-of-Scope-Funde melde ich einfach trotzdem aggressiv" - nein, Out-of-Scope ist rechtlich wie jeder fremde Server.
- "Mehr Reports = mehr Geld" - im Gegenteil. Spam senkt Reputation.
- "Safe Harbor schützt mich weltweit" - rechtliche Reichweite ist programm- und landesspezifisch.
- "Selbstgeschriebene Scanner sind harmlos" - hohe Last und ungewollte Effekte verletzen oft die Programmregeln.
Anfängerfehler
- Programmregeln nur überfliegen statt vollständig lesen.
- Daten anderer Nutzer einsehen, "nur um Impact zu zeigen".
- Severity übertreiben - Plattform reduziert später und Reputation leidet.
- Mehrere Reports zu derselben Schwachstelle aufteilen, um mehr Bounty zu bekommen.
Praxisbezug
Legale Übung: Lies dir die Programmrichtlinien von drei bekannten Plattformen durch und vergleiche Scope, Safe Harbor und Bountytabellen. Notiere die Unterschiede - das traegt mehr zu deinem Lernen bei als drei zufaellige CTF-Boxen.
Portfolio-Idee: Veröffentliche eigene, anonymisierte Lessons-Learned-Posts über das, was du beim Bug-Bounty-Einstieg lernst - immer in Absprache mit den Programmregeln, ohne sensitive Details.
Legal-Hinweis
Bug Bounty schafft keinen Freibrief. Verlasse dich nicht darauf, dass "es vielleicht kein Problem ist". Bleibe konsequent im Scope, halte dich an die Methoden und melde Funde sachlich. Diese Seite ist keine Rechtsberatung.
Nächste Lernschritte
FAQ
Sind Bug-Bounty-Programme automatisch legal?
+
Sie schaffen einen erlaubten Rahmen für Tests - aber nur innerhalb des definierten Scopes und der Regeln. Wer außerhalb davon testet, verliert Safe Harbor und ist rechtlich wie jeder andere unautorisierte Zugriff zu bewerten.
Was ist 'Safe Harbor'?
+
Eine Zusicherung des Anbieters, keine zivil- oder strafrechtlichen Schritte einzuleiten, solange du dich an die Programmregeln haelst. Die genaue Reichweite unterscheidet sich pro Programm und Land.
Darf ich automatisierte Scanner nutzen?
+
Nur, wenn das Programm es ausdrücklich erlaubt. Viele Programme verbieten Scanner, weil sie hohe Last erzeugen und viele False Positives liefern.
Wie wähle ich ein gutes Einsteiger-Programm?
+
Achte auf einen klaren Scope, transparente Bezahlung, klare Out-of-Scope-Regeln und einen Disclosure-Prozess. Klein anfangen, lieber wenige Findings sauber als viele schludrig.
Was tun bei Out-of-Scope-Funden?
+
Nichts ausnutzen. Melden über den im Programm angegebenen Weg, ohne Anspruch auf Bounty. Manche Anbieter belohnen kritische Funde trotzdem - aber niemals erzwingbar.