Ein Bug-Bounty-Programm belohnt externe Sicherheitsforscher finanziell für die verantwortungsvolle Meldung von Schwachstellen in Produkten oder Systemen einer Organisation. Es ergänzt interne Sicherheitstests durch die Perspektive unabhängiger Forscher.
Im ISMS-Kontext steht Bug-Bounty in Zusammenhang mit ISO 27001 Annex A Control A.8.8 (Management technischer Schwachstellen) und kann als Teil der Vulnerability-Disclosure-Strategie (A.5.7) betrachtet werden. Plattformen wie HackerOne, Bugcrowd und Intigriti übernehmen Triage, Kommunikation und Auszahlung. Die Bandbreite reicht von eingeladenen Programmen (nur ausgewählte Forscher) bis zu öffentlichen Programmen. Klare Spielregeln — Scope, erlaubte Testmethoden, Reaktionszeiten, Vergütung — sind entscheidend für den Erfolg.