Bug Bounty

Bug Bounty ist ein strukturiertes Vergütungsprogramm, bei dem Organisationen externe Sicherheitsforscher finanziell dafür entlohnen, dass sie Softwarefehler und Sicherheitslücken verantwortungsvoll melden, bevor diese von böswilligen Akteuren ausgenutzt werden können. Das National Institute of Standards and Technology (NIST) definiert Bug Bounty präzise als Methode zur Vergütung von Einzelpersonen für das Aufdecken von Fehlern, die sicherheitsrelevante Schwachstellen darstellen könnten.

Funktionsweise im Krypto-Kontext

Ein Projekt – etwa eine dezentrale Börse, ein Protokoll oder ein Smart-Contract-System – legt zunächst den sogenannten Scope fest: Welche Systeme dürfen untersucht werden? Typische Prüfbereiche sind Smart Contracts, APIs, On-Chain-Systeme und Web-Frontends. Sicherheitsforscher, auch White-Hat-Hacker genannt, durchsuchen diese Systeme gezielt nach Schwachstellen und reichen strukturierte Vulnerability-Reports ein. Die Höhe der Auszahlung richtet sich nach Schweregrad, Ausnutzbarkeit und potenzieller Schadenwirkung der gefundenen Lücke – üblicherweise klassifiziert nach einem Kritikalitäts-Schema wie Critical, High, Medium oder Low. Vermittlungsplattformen bringen Projekte und eine globale Researcher-Community zusammen und übernehmen dabei häufig auch die Qualitätsprüfung eingereichter Berichte.

Entscheidend ist die Unterscheidung zum verwandten Vulnerability Disclosure Program (VDP): Dieses sieht keine finanzielle Vergütung vor, sondern lediglich eine koordinierte Offenlegung gefundener Schwachstellen. Bug Bounty ist damit die monetäre Weiterentwicklung des VDP-Gedankens.

Grenzen und eine wichtige Abgrenzung

Ein Bug-Bounty-Programm ersetzt keine grundlegende Security-Engineering-Arbeit. Audits, formale Verifikation von Smart Contracts und sichere Entwicklungsprozesse bleiben unverzichtbare Fundamente. Bug Bounty erweitert die Suche nach Schwachstellen, indem es auf die kollektive Aufmerksamkeit einer breiten Researcher-Community setzt – es schließt aber keine Lücken, die durch strukturelle Mängel im Entwicklungsprozess entstanden sind.

Im Krypto-Bereich ist zudem ein Missbrauch des Begriffs dokumentiert: Nach erfolgreichen Hacks haben einzelne Plattformen Angreifern einen Teil der erbeuteten Mittel als vermeintliche „Bug Bounty" angeboten, wenn sie den Rest zurückgaben. Das ist faktisch Lösegeld und hat mit einem legitimen Bug-Bounty-Programm nichts gemein. Die Verwendung des Begriffs in solchen Situationen dient primär der Gesichtswahrung und verschleiert den eigentlichen Sachverhalt.

Die steuerliche Behandlung von Auszahlungen aus Bug-Bounty-Programmen – ob als sonstige Einkünfte oder gewerbliche Einnahmen – ist ein separates Thema, das individuell geprüft werden sollte.

Verwandte Begriffe

• Bounty / Reward Besteuerung
• Blockchain
• Governance Token
• Honeypot-Token