Beim Closed Bug Bounty Programm untersuchen wir IT-Systeme in der Tiefe. Mit Ihrer Erlaubnis suchen wir nach Bugs und sicherheitsrelevante Konfigurationsfehlern. Sie bezahlen nur für Sicherheitslücken, die wir finden.
Der Ausdruck Bug Bounty Programm (Kopfgeld für Sicherheitslücken) bezeichnet ein Vorgehen zur Identifizierung, Behebung und Bekanntmachung von Fehlern in IT-Systemen mit einer Belohnung für die Entdecker.
Beim Closed Bug Bounty suchen die Spezialisten von Codepurple Sicherheitslücken in Ihren Systemen. Sie bezahlen nur für gefundene Schwachstellen. Das Programm läuft in der Regel vier Wochen. Jede gefundene Sicherheitslücke wird mit einem detaillierten Beschrieb inklusive einer Schritt für Schritt Anleitung für die Reproduktion dokumentiert.
| Kategorie | CVSS Score | CHF |
|---|---|---|
| Low | 1.1 - 3.9 | 200 |
| Medium | 4 - 6.9 | 800 |
| High | 7 - 8.9 | 2'500 |
| Critical | 9 - 10 | 5'000 |
Grundsätzlich gilt: Alles ist erlaubt, ausser:
Sowohl Ihr finanzielles Risiko, wie auch das Risiko, dass Ihre IT-Systeme nicht mehr verfügbar sind ist klein. Dank einem Kostendach können Sie die maximalen Kosten abschätzen.
Hacker gehen wie Chirurgen vor, dabei geht es nicht darum Schaden anzurichten, sondern Lücken zu finden und die IT-Systeme nicht zu beeinträchtigen.
Der Begriff Hacker ist oft negativ konnotiert. Dies zu Unrecht. Den die meisten Hacker haben keine bösen oder kriminellen Absichten. So hat sich der Begriff "Ethische Hacker" oder "Whitehat-Hacker" etabliert für die freundlichen Hacker etabliert.
Bei einem Security-Review wird der Umfang definiert und die Spezialisten suchen im definierten Umfang und der verfügbaren Zeit nach Lücken. Ein Review geht in die Breite, wobei beim Closed Bug Bounty in die Tiefe einzelner Systeme vorgedrungen wird.
Bei einem Closed Bug Bounty Programm analysiert nur ein kleiner Kreis an ausgewählten Spezialisten die Systeme. So bleiben alle Erkenntnisse intern und die Öffentlichkeit erfährt nichts vom Programm.
Jede Schwachstelle wird nach dem etablierten CVSS (Common Vulnerability Scoring System: https://www.first.org/cvss/) bewertet, klassifiziert und abgerechnet. Dabei ergeben sich die Kosten für eine Sicherheitslücke nach ihrem Einfluss und nicht nach der Komplexität des Angriffes.
Der Kunde entscheidet selber über das Kostendach, welches er Codepurple für das Closed Bug Bounty Programm zur Verfügung stellt.
In der Regel sind alle von aussen erreichbaren Systeme im Umfang enthalten. Social-Engineering-Angriff oder Phishing-Versuche werden von Codepurple nicht durchgeführt. Wenn es Systeme gibt, welche nicht analysiert werden dürfen, so können diese vom Kunden ausgeschlossen werden. Im Grundsatz gilt, je weniger ausgeschlossen wird, desto aussagekräftiger ist das Ergebnis.
63% der bestätigten Datendiebstählen beruhen auf einem schwachen, voreingestellten oder gestohlenen Passwort.
Quelle: SecurityIntelligence
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2025. Alle Rechte vorbehalten