Eine Rückzugswelle legt den Riss im Modell offen

Innerhalb weniger Monate hat sich die Bug-Bounty-Welt unter ihrem eigenen Gewicht verschoben. curl, eines der angesehensten Open-Source-Projekte der Welt, fährt sein Programm herunter. Das Internet Bug Bounty hat neue Einreichungen pausiert. HackerOne, Bugcrowd und YesWeHack haben zunehmend aggressive KI-Triage-Schichten, Reputationsstrafen und „AI Slop“-Filter eingeführt – alle gegen denselben Gegner: Noise.

Noise ist das zentrale Problem – minderwertige, KI-generierte Einreichungen überfluten das Angebot an echtem Signal. Doch direkt dahinter steht das Volumenproblem. Selbst wenn jeder Report valide wäre, ist ein unkontrollierter Eingang mehr, als jedes Programm aufnehmen kann. Wenn man den Input nicht steuert, endet man mit mehr, als man bearbeiten kann. Was einst ein cleverer Marktplatz für Talente war, ist zu einer Poststelle geworden, mit der Programme nicht mehr Schritt halten können.

Das traditionelle Modell behandelt Noise als etwas, das man filtern muss – nicht als etwas, das man verhindern sollte

Jede Reaktion der etablierten Anbieter hat dieselbe Form: bessere Triage, intelligentere Filter, strengere Reputationssysteme – mehr Menschen oder KI am Ende der Pipeline, die im Nachhinein Signal von Müll trennen sollen. Das ist der logische Endpunkt eines manuellen, marktplatzorientierten Ansatzes. Plattformen verkaufen Zugang zu einer Crowd, die Crowd produziert Einreichungen, und der Kunde sortiert das Ergebnis. Die Architektur kennt keinen Kontext, hat kein Gedächtnis darüber, was bereits getestet wurde, und kein Verständnis dafür, was ein bestimmter Kunde wissen muss. Rauschen wird per Design erzeugt und erst nachträglich gefiltert – und selbst wenn Filtern funktioniert, bleibt das Volumenproblem bestehen.

Darunter liegt ein tieferes Problem: Das kommerzielle Modell belohnt Volumen. Wenn die Preisgestaltung an der Anzahl gemeldeter oder ausbezahlter Schwachstellen verankert ist, laufen die Anreize der Plattform den Interessen des Kunden zuwider. Mehr Findings bedeuten mehr Umsatz – unabhängig davon, ob diese Findings für das Geschäft überhaupt etwas verändern. Das System ist darauf ausgelegt, mehr Reports zu produzieren, nicht bessere Sicherheit. Das funktionierte – gerade so – bis generative KI die Kosten für einen plausibel aussehenden Report praktisch auf null gesenkt hat. Jetzt bricht das Modell in Echtzeit.

Unser Ansatz setzt einen Schritt früher an

Der Cyber Resilience Shield wurde nicht als Marktplatz gebaut, an den man später Filter dranschraubt. Er wurde rund um die gesamte Aufgabe entwickelt, die ein Security-Testing-Programm leisten muss – Scope festlegen, ausführen, berichten – und mit der Erkenntnis, dass sowohl Rauschen als auch Volumen lange vor der Triage bereits Scoping-Probleme sind.

Scoping ist datengetrieben und KI-gestützt: Ein strukturierter Korpus realer Testing-Historie, kombiniert mit mandantenspezifischem Gedächtnis und KI-gestütztem Matchmaking, sagt der Plattform, was bereits getestet wurde, was in einem bestimmten geschäftlichen und regulatorischen Kontext zählt und worauf sich der nächste Test fokussieren sollte. Die Ausführung ist orchestriert statt in ein Vakuum crowdsourced: geprüfte Ethical Hacker und offensive KI-Agenten werden gezielt konkreten Testbedarfen zugeordnet. Das Reporting wird kontextualisiert und gegen Business-Impact validiert – nicht als rohe Warteschlange übergeben.

Die Konsequenz ist strukturell. Wenn man präzise scoped, bewusst dispatcht und gegen Kontext validiert, steuert man sowohl Qualität als auch Menge dessen, was zurückkommt: Man erzeugt kein Rauschen, das später gefiltert werden muss, und man generiert kein Volumen, das die empfangende Seite nicht absorbieren kann. Man liefert Findings, die bereits etwas bedeuten – in der Menge, die die Organisation auch umsetzen kann. Und weil wir das Ergebnis verkaufen – Security-Testing-Coverage – statt die Anzahl der Schwachstellen, sitzen unsere Anreize auf derselben Seite des Tisches wie die des Kunden.

Zwei unterschiedliche Wetten darauf, wo der Wert entsteht

Die Branche zeigt nun, welche Wette jeder Player abgeschlossen hat. Die Plattformen, die ihre Filter verschärfen, wetten darauf, dass sich das Marktplatzmodell durch smarteres Gatekeeping retten lässt – auf einer Anreizstruktur, die Volumen belohnt. Wir wetten darauf, dass das Modell selbst das Problem ist: Dass mit immer günstigerer offensiver KI jeder Ansatz, der Rauschen erzeugt und es downstream filtert und zugleich pro Finding bezahlt wird, weiter Boden verlieren wird – gegenüber einem Ansatz, der Rauschen upstream unterdrückt und für Outcomes bezahlt wird.

Genau deshalb ist KI für uns Rückenwind statt Bedrohung. Bessere Modelle machen das Scoping intelligenter, das Matchmaking präziser, die Validierung strenger. Dieselben Kräfte, die traditionelle Bug-Bounty-Programme mit minderwertigen Einreichungen fluten, stärken eine durchgängige, datengetriebene Plattform.

Warum das jetzt zählt

Auch die Regulierung bewegt sich in dieselbe Richtung. DORA, NIS2, FINMA und der Cyber Resilience Act drängen Organisationen weg von punktuellen Tests hin zu kontinuierlichem, threat-led, evidenzlieferndem Security Testing. Verwaltungsräte und Vorstände brauchen Sichtbarkeit und Klarheit in ihrem Kontext – keine Posteingänge voller technischer Einreichungen. Der Rückzug aus offenen Bug-Bounty-Programmen signalisiert, dass das alte Format diese Messlatte nicht mehr erreicht – und dass der Markt bereit ist für einen Ansatz, der das Ergebnis liefert, statt nur die Werkzeuge, um ihm hinterherzujagen.

Die Bug-Bounty-Branche baut gerade bessere Filter. Wir haben das Enterprise-Betriebssystem für Security Testing in der agentischen Welt gebaut.