Bug Bounty (Vulnerability Reward Program / VRP)

Ein Bug-Bounty-Programm ist ein strukturiertes Anreizsystem, bei dem Organisationen externe Sicherheitsforscher finanziell belohnen, wenn diese Schwachstellen in IT-Systemen verantwortungsvoll melden, bevor Angreifer sie ausnutzen können. Bug-Bounty-Programme ergänzen professionelle Penetrationstests und interne Sicherheitsüberprüfungen, da sie eine kontinuierliche und breit aufgestellte Suche nach Schwachstellen ermöglichen. Im öffentlichen Sektor setzen erste Behörden in Deutschland derartige Programme ein; für IT-Vergaben empfiehlt das BSI Vulnerability-Disclosure-Policies als Mindestanforderung.