2018 Hacker Report Die Kopfgeldjäger des Internets

White-Hat-Hacker: wer sind sie, was treibt sie an und woher kommen sie? Eine neue Studie befasst sich mit dem »Immunsystem des Internets«.

Hacker haben ein Image-Problem. Meist wird ihre Bezeichnung mit Ransomware und geleakten Fotos in Verbindung gebracht. Dabei sind diese eher die Ausnahme.

Die meisten Hacker tragen einen metaphorischen weißen Hut und suchen nach Sicherheitslücken in Programmen und Webseiten um die Betreiber darauf aufmerksam zu machen. So werden kritische Bugs beseitigt.

Viele Firmen besitzen aber keine Anlaufstelle der man Bugs melden kann. Das führte dazu, dass 25% der White-Hat-Hacker Sicherheitslücken nicht meldeten oder nicht ernst genommen wurden.

Crowd sourcing für die Bug-Jagd

Aus diesem Grund wirde 2012 die Plattform HackerOne gegründet. Sie vernetzt Hacker und unterstützt sie dabei, Firmen die gefundenen Schwachstellen zu melden.

Inzwischen können Unternehmen ihre Software der HackerOne Community zur Verfügung stellen und ein »Kopfgeld« auf gefundene Bugs ausschreiben, so genannte »Bug Bounties«.

Besonders US-amerikanische Firmen nutzen diese Möglichkeit und gaben seit Bestehen der Plattform fast 16 Millionen Dollar für die Bug-Jagd aus.

Motivation Nummer eins: Neues lernen

Nun hat die Plattform eine Studie veröffentlicht, für die sie ihre Mitglieder befragte. Damit wollten die HackerOne-Betreiber herausfinden, wer ihre Hacker sind und was sie antreibt. Knapp 1.700 Mitglieder der Community antworteten.

Für 14,7% der Befragten ist die größte Motivation zu Hacken die Möglichkeit Neues zu lernen. Danach folgen Spaß und neue Herausforderungen. Mit 13,1% steht das Geld als Motivator erst an vierter Stelle.

Dabei sind die »Kopfgelder«  für viele eine größere Einnahmequelle als vergleichsweise der Job als Softwareingenieur. Gerade in Indien können Hacker bei einem Bug pro investierte Zeit 16-mal so viel verdienen wie in ihrem Job.

Das spiegelt sich auch in der geographischen Verteilung der Hacker wieder. 23,3% und damit die meisten stammen aus Indien, gefolgt von Amerika (19,9%) und Russland (6,3%).

Jung und motiviert

Welche Aufträge angenommen werden, hängt hingegen zuallererst von der Belohnung ab (23,7%) und von der Herausforderung (20,05%). Wer nicht so viel Geld ausgeben möchte, kann auch mit einem guten Image punkten, 13% machen ihre Entscheidung davon abhängig wie sehr sie eine Firma mögen.

90% der befragten Hacker gaben an unter 35 Jahren alt zu sein, die Hälfte von ihnen sogar nur zwischen 18 und 24 Jahren.

Fast 60% von ihnen hat sich Hacken selbst beigebracht, belegten aber Informatikkurse in der High School (26,4%) oder an der Uni (31,2%).

Zusammengefasst sind Bug Bounties eine Möglichkeit für Firmen, auf eine breite Basis junger und motivierter Hacker zuzugreifen. Laut HackerOne wurden bis Dezember 2017 bereits 72.000 Sicherheitslücken gemeldet.