Die Entscheidung von HackerOne offenbart ein tiefgreifendes Strukturproblem in der Cybersecurity-Branche: Die Automatisierung der Schwachstellenerkennung durch KI hat das Gleichgewicht zwischen Entdeckung und Behebung fundamental verschoben. Ensar Seker, CISO bei SOCRadar, beschreibt dies als “rationale und überfällige Korrektur”. Die KI-gestützte Forschung hat die Entdeckungsphase industrialisiert, doch die Behebungskapazität ist nicht mitgewachsen.
Die Zahlen sind beeindruckend und beängstigend zugleich: John Morello, CTO von Minimus, berichtet, dass der Anteil gültiger Meldungen von etwa 15 Prozent auf unter 5 Prozent gefallen ist. KI-generierte “Junk-Meldungen” überschwemmen die Plattformen. Besonders problematisch ist die sogenannte “Triage Fatigue” – Entwickler verlieren Stunden damit, halluzinierte Schwachstellen zu widerlegen, anstatt sich ihrer eigentlichen Arbeit zu widmen. Das ist faktisch unbezahlte Arbeit, die diese kleinen Teams aufzwingen wird.
Nicht nur HackerOne reagiert: Das Node.js-Projekt musste sein eigenes Bug-Bounty-Programm pausieren, weil die Finanzierung über HackerOne wegfiel. “Als Volunteer-Projekt haben wir kein unabhängiges Budget”, erklärten die Maintainer. Das offenbart einen fundamentalen wirtschaftlichen Fehler: Bug-Bounty-Modelle wurden für eine Welt entworfen, in der die Entdeckung der Engpass war. Heute ist es die Behebung.
Trey Ford von Bugcrowd, einem Konkurrenten HackerOnes, sieht dies als “Weckruf für die Industrie”. Das Problem liegt nicht bei der KI-gestützten Erkennung selbst – sie funktioniert präzise nach ihrer Bestimmung. Das Problem ist die fehlende Investition in Remediation-Kapazität. David Hayes von FusionAuth formuliert es deutlich: “Das Modell in seiner heutigen Form ist nicht nachhaltig.”
Für deutsche Unternehmen und Entwickler hat dies konkrete Konsequenzen. Viele verlassen sich auf Open-Source-Projekte aus dem internationalen Raum, deren Sicherheit jetzt unter Druck gerät. Gleichzeitig müssen deutsche Sicherheitsforschungs-Teams ihre Strategien überdenken. Statt bloße Mengen an Meldungen belohnt zu werden, könnte künftig die Qualität und der Mehrwert zählen – oder sogar die Mitfinanzierung von Patches.
HackerOne kündigte an, neue Wege zu finden, um Entdeckung mit echter Behebung zu verbinden. Das könnte bedeuten: Bonuszahlungen nicht nur für das Finden, sondern für das Mitbringen von Fixes. Oder Pooling-Modelle, die sowohl Forscher als auch Maintainer finanzieren. Die Alternative – dass kritische Internet-Infrastruktur allein auf Volunteer-Arbeit basiert – ist langfristig keine Option.