Bug Bounty vs. Pentest: Welches Modell passt zu welchem Unternehmen

1 Min. Lesezeit

Penetration Testing und Bug-Bounty-Programme verfolgen dasselbe Ziel – Schwachstellen finden, bevor Angreifer es tun. Doch die Modelle unterscheiden sich fundamental: zeitlich begrenzt vs. kontinuierlich, definierter Scope vs. open-ended, festes Budget vs. erfolgsbasierte Vergütung. Die Wahl hängt vom Reifegrad und den Zielen ab.

Das Wichtigste in Kürze

Pentest: Definierter Scope, Zeitraum und Budget – ideal für Compliance und Baseline
Bug Bounty: Kontinuierlich, crowd-basiert, erfolgsbasiert – ideal für reife Organisationen
HackerOne: 300.000+ Hacker, 3.000+ Programme, 300 Mio. USD ausgezahlt
Hybrid-Modell: Jährlicher Pentest + kontinuierliches Bug Bounty als Best Practice

Pentest: Stärken und Grenzen

Ein Penetration Test ist eine Momentaufnahme: Ein definiertes Ziel (Web-App, Netzwerk, Cloud-Umgebung) wird in einem definierten Zeitraum (1-4 Wochen) von einem definierten Team (2-5 Tester) untersucht. Das Ergebnis ist ein priorisierter Report mit Findings und Remediation-Empfehlungen.

Stärken: Planbar, budgetierbar, compliance-konform (NIS2, DORA, PCI-DSS). Schwächen: Zeitlich begrenzt (was nicht in 2 Wochen gefunden wird, bleibt verborgen), abhängig von der Qualität des Testers, keine kontinuierliche Abdeckung.

Bug Bounty: Das Crowd-Modell

Ein Bug-Bounty-Programm lädt eine Community von Security-Forschern ein, kontinuierlich nach Schwachstellen zu suchen. Bezahlt wird nur für valide Findings – Bounties von 100 EUR für Low-Severity bis 100.000+ EUR für Critical. Plattformen wie HackerOne, Bugcrowd und Intigriti vermitteln und validieren.

Stärken: Diversität der Tester (Hunderte statt 2-3), kontinuierliche Abdeckung, erfolgsbasierte Kosten. Schwächen: Erfordert interne Kapazität für Triage und Kommunikation, unplanbare Kosten, nicht für unreife Organisationen geeignet (zu viele Low-Hanging Fruits führen zu Kostenexplosion).

Wann welches Modell

Pentest passt wenn: Compliance-Nachweis gefordert (NIS2, PCI-DSS), erstmalige Sicherheitsbewertung, definierter Scope (neue Applikation vor Go-Live), begrenztes Budget.

Bug Bounty passt wenn: Security-Reifegrad ist hoch (Basics sind implementiert), kontinuierliche Abdeckung gewünscht, öffentlich exponierte Anwendungen mit hohem Risiko, internes Team kann Findings schnell remediaten.

Das Hybrid-Modell als Best Practice

Die meisten erfolgreichen Programme kombinieren beides: Ein jährlicher Pentest für die strukturierte Bewertung und den Compliance-Nachweis, ergänzt durch ein kontinuierliches Bug-Bounty-Programm für die laufende Absicherung. Der Pentest findet die systematischen Probleme, das Bug Bounty die kreativen Edge Cases.

Einstieg für Neulinge: Zuerst 2-3 Pentests durchführen und alle Findings remediaten. Dann ein privates Bug-Bounty-Programm (eingeladene Hacker, begrenzter Scope) starten. Nach 6-12 Monaten Erfahrung: öffentliches Programm erwägen.

Key Facts

Pentest-Kosten: 10.000-50.000 EUR pro Engagement (Web-App bis Red Team)

Bug-Bounty-Kosten: Durchschnittlich 1.200 EUR pro validem Finding (HackerOne 2024)

Hybrid-Effekt: Organisationen mit beiden Modellen finden 3x mehr Schwachstellen (Bugcrowd)

Häufige Fragen

Ist ein Bug-Bounty-Programm legal?

Ja, solange ein klarer Scope definiert ist und die Teilnehmer sich an die Regeln halten. Plattformen wie HackerOne bieten rechtliche Rahmenverträge (Safe Harbor), die Finder und Unternehmen schützen. Eine Responsible-Disclosure-Policy ist Voraussetzung.

Ab welcher Unternehmensgröße lohnt sich Bug Bounty?

Weniger eine Frage der Größe als des Reifegrads. Voraussetzungen: Security-Basics implementiert (sonst Kostenexplosion durch Low-Hanging Fruits), internes Team für Triage und Kommunikation, Fähigkeit, Findings schnell zu remediaten. In der Praxis: ab 500+ Mitarbeitern oder bei hochexponierten Web-Applikationen.

Kann ich den Pentest intern durchführen?

Grundsätzlich ja, aber der Mehrwert eines externen Pentests liegt in der unvoreingenommenen Perspektive. Interne Teams kennen die Architektur zu gut und übersehen, was ein Außenstehender sofort sieht. Empfehlung: Externe Pentests für die formelle Bewertung, internes Red Team für kontinuierliche Tests.