Nach der verantwortlichen Meldung einer kritischen Sicherheitslücke in Observationssystemen wurden Sicherheitsforschende von Mint Secure mit einem Ermittlungsverfahren konfrontiert. Die Meldung erfolgte im öffentlichen Interesse, nach allen Grundsätzen der Responsible Disclosure. Den vollständigen Fall haben wir hier dokumentiert.
Das deutsche Computerstrafrecht (§ 202a ff. StGB) ist für Sicherheitsforschende ein strukturelles Problem. Wer ohne ausdrückliche Genehmigung auf ein System zugreift, kann sich strafbar machen, auch wenn die Absicht rein defensiv war.
Viele mittelständische Unternehmen glauben, für Sicherheitsforschende schlicht uninteressant zu sein. Diese Denkweise ist gefährlich falsch. Angreifer suchen nicht gezielt nach großen Zielen, sondern nach einfachen.
Ein Bug Bounty Programm bedeutet: Fremde schauen in die eigene Infrastruktur. Ein kritischer Fund bedeutet Mehrarbeit, Rechtfertigungsdruck und manchmal unangenehme Fragen, warum die Lücke so lange unentdeckt blieb.
Selbst Unternehmen, die grundsätzlich offen wären, scheitern an der Umsetzung: Wer nimmt Meldungen entgegen? In welchem Format? Mit welcher Reaktionszeit?
In Deutschland wird IT-Sicherheit in vielen Unternehmen noch immer primär als Pflicht gesehen, nicht als Wettbewerbsvorteil. Bug Bounty Prämien lassen sich schwer in ROI-Kalkulationen übersetzen, solange kein Vorfall passiert ist.
Tipp für den Einstieg: Eine einfache Security-Kontaktadresse (security@ihrefirma.de), ein kurzes öffentliches Statement und der explizite Verzicht auf rechtliche Schritte gegen gutgläubige Meldende und schafft damit eine völlig andere Ausgangslage für beide Seiten.
Eine Reform des § 202a StGB, die ethische Sicherheitsforschung explizit schützt, ist längst überfällig. Die Niederlande haben das bereits umgesetzt.
IT-Sicherheit muss als strategische Investition verstanden werden. Bug Bounty Programme sind kein Zeichen von Schwäche, sondern von Reife.
Responsible Disclosure muss nicht teuer sein. Ein klarer Ansprechpartner und ein ehrliches Commitment reichen für den Anfang.
Ein Bug Bounty Programm einzuführen ist keine reine Technikfrage. Es braucht klare Prozesse, rechtlich belastbare Rahmenbedingungen und ein realistisches Verständnis der eigenen Angriffsfläche. Genau hier setzen wir an.
Wir begleiten Unternehmen bei jedem Schritt: von der ersten Bestandsaufnahme bis zum laufenden Betrieb eines strukturierten Programms. Dabei profitieren unsere Kunden direkt davon, dass wir selbst als Sicherheitsforschende tätig sind und wissen, wie Angreifer denken und welche Lücken wirklich kritisch sind.
Wir helfen dabei, den richtigen Umfang festzulegen: Welche Systeme sind im Scope, welche explizit nicht? Eine klare Abgrenzung schützt euch rechtlich und fokussiert die Forschenden auf das Wesentliche.
Wir erstellen rechtssichere Responsible Disclosure Richtlinien und interne Abläufe: Wer nimmt Meldungen entgegen, wie werden sie bewertet, und wann wird eine Prämie ausgezahlt?
Nicht jede Meldung ist kritisch. Wir unterstützen bei der technischen Bewertung eingehender Reports, priorisieren nach Risiko und begleiten die interne Kommunikation mit den Meldenden.
Ihr wollt einfach nur wissen, wo ihr anfangen sollt? Wir bieten einen kostenlosen Erstberatungstermin an, in dem wir gemeinsam einschätzen, ob ein vollständiges Bug Bounty Programm oder zunächst eine einfache Responsible Disclosure Policy der richtige nächste Schritt für euer Unternehmen ist. Jetzt Kontakt aufnehmen.
Bug Bounty ist kein Allheilmittel. Aber es ist eines der wenigen Instrumente, das echte Angreiferlogik strukturiert und kontrolliert in die Defensive bringt. Dass Deutschland hier so weit zurückliegt, ist das Ergebnis rechtlicher Graubereiche, kultureller Zurückhaltung und fehlender politischer Impulse.
Wer als Unternehmen ernsthaft über seine Angriffsfläche nachdenkt, sollte zumindest eine Responsible Disclosure Policy einführen. Der Aufwand ist gering. Der Nutzen kann erheblich sein.
Mint Secure berät und begleitet euch dabei, egal ob ihr ganz am Anfang steht oder ein bestehendes Programm professionalisieren wollt. Sprecht uns an.