Bug Bounty Plattformen Schweiz 2026: Wer findet, was Ihr Pentest übersieht
1’200 valide Schwachstellen wurden 2024 über Bug Bounty Programme in der Schweiz gemeldet. 340 davon kritisch oder hoch. Durchschnittliche Prämie für eine kritische Schwachstelle: CHF 4’200. Eine einzige verhinderte Datenpanne rechtfertigt das gesamte Jahresbudget.
Bug Bounty ergänzt Penetrationstests. Statt eines Teams, das zwei Wochen testet, arbeiten dutzende Researcher kontinuierlich. Die vier relevanten Plattformen für Schweizer Unternehmen: YesWeHack (europäisch, DSGVO-konform), HackerOne (global, grösstes Researcher-Netzwerk), Bugcrowd (US-basiert, starke Triage) und GObugfree (Schweizer Anbieter, lokaler Support).
Wie funktioniert ein Bug Bounty Programm?
Ein Bug Bounty Programm definiert einen Scope (welche Systeme dürfen getestet werden), Regeln für das Vorgehen und eine Prämientabelle. Externe Sicherheitsforscher – sogenannte Ethical Hacker oder “Hunters” – suchen innerhalb dieses Rahmens nach Schwachstellen und melden Befunde verantwortungsvoll an die Plattform. Nach Validierung durch das Unternehmen erfolgt die Auszahlung der Prämie.
Ablauf eines typischen Bug Bounty Programms:
- Scope-Definition: Welche Domains, APIs, Apps oder Systeme dürfen getestet werden?
- Programm-Setup: Prämientabelle festlegen (je nach Schweregrad CVSS)
- Aktivierung: Privates (nur eingeladene Researchers) oder öffentliches Programm
- Reporting: Researchers melden Befunde via Plattform
- Triage: Plattform oder internes Team validiert die Meldungen
- Prämie: Valide Befunde werden gemäss Tabelle vergütet
- Remediation: Behebung der Schwachstellen mit Unterstützung der Plattform
Bug Bounty vs. Penetrationstest vs. Red Teaming
Ein häufiges Missverständnis: Bug Bounty Programme ersetzen weder Penetrationstests noch Red Teaming. Sie ergänzen sich.
| Methode | Perspektive | Tiefe | Kontrolle | Kosten |
|---|---|---|---|---|
| Penetrationstest | Einmaliger Snapshot | Hoch, methodisch | Vollständige Kontrolle | Fixpreis CHF 5’000–30’000 |
| Bug Bounty | Kontinuierlich, breit | Variabel | Scope-definiert | Prämienbasiert |
| Red Teaming | Gezielte Angriffssimulation | Sehr hoch, verdeckt | Eingeschränkt (realistisch) | CHF 11’900+ |
Bug Bounty Programme sind besonders wertvoll als kontinuierlicher Layer nach einem initialen Penetrationstest. Während der Pentest einen methodischen Tiefentest durchführt, sorgt ein Bug Bounty Programm dafür, dass neu entstehende Schwachstellen durch laufende Entwicklung rasch entdeckt werden.
“Bug Bounty ist kein Ersatz für strukturierte Sicherheitstests – es ist die kontinuierliche Ergänzung. Unternehmen, die beides kombinieren, haben eine deutlich reifere Sicherheitslage als solche, die nur punktuell testen.” — Lukas Ruf, Security Researcher, ETH Zürich
Vergleich: Bug Bounty Plattformen Schweiz 2026
| Plattform | Herkunft | Schweizer Fokus | Researchers | Triage-Service | VDP möglich | DSGVO/DSG | Einstiegspreis | Bewertung |
|---|---|---|---|---|---|---|---|---|
| GObugfree | Schweiz | Ja | 3’000+ | Ja | Ja | DSG/DSGVO | CHF 1’500/Monat | 5/5 |
| YesWeHack | Frankreich | Ja (EU-Fokus) | 45’000+ | Ja | Ja | DSGVO | EUR 1’500/Monat | 5/5 |
| HackerOne | USA | Eingeschränkt | 600’000+ | Ja | Ja | DSGVO | USD 12’000/Jahr | 4/5 |
| Bugcrowd | USA | Eingeschränkt | 500’000+ | Ja | Ja | DSGVO | USD 10’000/Jahr | 4/5 |
| Intigriti | Belgien | Ja (EU-Fokus) | 75’000+ | Ja | Ja | DSGVO | EUR 1’200/Monat | 4/5 |
| Synack | USA | Nein | 1’500 (kuratiert) | Ja | Nein | DSGVO | USD 30’000+/Jahr | 4/5 |
Plattformen im Detail
GObugfree – Die Schweizer Bug Bounty Plattform
GObugfree ist die einzige vollständig in der Schweiz ansässige Bug Bounty Plattform und damit die bevorzugte Wahl für Organisationen mit Schweizer Datenschutzanforderungen. Das Unternehmen wurde von ehemaligen Schweizer Sicherheitsforschern gegründet und hat ein starkes Netzwerk an Schweizer und deutschsprachigen Ethical Hackern aufgebaut.
Stärken:
- Vollständig schweizerisches Unternehmen – DSG und DSGVO-konform
- Fokus auf DACH-Region mit starker Schweizer Community
- Persönliche Betreuung und Beratung beim Programm-Setup
- Schweizer Rechtssicherheit (Programmregeln nach Schweizer Recht)
- Niedrigschwelliger Einstieg für KMU
- Vulnerability Disclosure Policy (VDP) als kostenloser Einstieg
Schwächen:
- Kleinere Researcher-Community als US-Plattformen
- Weniger internationale Reichweite für globale Unternehmen
Geeignet für: Schweizer KMU und Behörden mit Datenschutz- und Compliance-Anforderungen.
Programmmodelle:
- VDP (Vulnerability Disclosure Policy): Kostenlos, kein Prämienbudget erforderlich
- Private Bug Bounty: Ab CHF 1’500/Monat Plattformgebühr + Prämienbudget
- Public Bug Bounty: Ab CHF 2’500/Monat Plattformgebühr + Prämienbudget
YesWeHack – Europäischer Marktführer
YesWeHack ist die führende europäische Bug Bounty Plattform mit Hauptsitz in Paris und Büros in mehreren europäischen Ländern. Mit über 45’000 Researchers aus mehr als 170 Ländern bietet YesWeHack eine deutlich grössere Community als GObugfree – bei vergleichbarer DSGVO-Konformität.
Stärken:
- Grösste europäische Researcher-Community
- Starke Abdeckung von Schweizer und deutschen Researchers
- Exzellenter Triage-Service reduziert interne Validierungsaufwände
- Flexible Programmmodelle (VDP, private, public)
- Integriertes Lernprogramm “YesWeHack YWH Academy”
Schwächen:
- Datenhaltung in Frankreich, nicht in der Schweiz
- Höherer Preispunkt als GObugfree für vergleichbare Programme
Geeignet für: Schweizer Unternehmen, die eine grosse Researcher-Basis und EU-Datenhaltung priorisieren.
HackerOne – Weltmarktführer mit grösster Community
HackerOne ist die grösste Bug Bounty Plattform der Welt mit über 600’000 registrierten Researchers. Bekannte Kunden wie Airbus, Uber, Twitter und mehrere Schweizer Grossbanken nutzen HackerOne. Die Plattform bietet mit “HackerOne Response” auch ein strukturiertes Vulnerability Disclosure Policy Management.
Stärken:
- Grösste Researcher-Community weltweit
- Höchste Wahrscheinlichkeit, seltene und komplexe Schwachstellen zu finden
- Beste Integration mit Entwicklungstools (GitHub, Jira, ServiceNow)
- Detailliertes Analytics-Dashboard
Schwächen:
- US-Unternehmen – trotz DSGVO-Konformität mögliche Datenschutz-Bedenken
- Hoher Mindestpreis macht es für kleinere KMU schwer zugänglich
- Englischsprachige Plattform; deutschsprachiger Support eingeschränkt
Geeignet für: Grosse Schweizer Unternehmen, Finanzdienstleister, Technologieunternehmen mit globaler Exposition.
Intigriti – Qualitätsfokussierte europäische Alternative
Intigriti aus Belgien positioniert sich zwischen YesWeHack und HackerOne: mit einer kuratierten, qualitätsfokussierten Researcher-Community von über 75’000 Ethical Hackern und starkem Fokus auf europäische Unternehmen. Intigriti ist bekannt für eine aussergewöhnlich niedrige Rausch-Rate bei Meldungen.
Stärken:
- Niedrigste Duplicate/Invalid-Rate aller Plattformen
- Sehr guter Triage-Service
- DSGVO-konform mit EU-Datenhaltung
- Starke Researcher-Qualität durch Kurierung
Geeignet für: Unternehmen, die hohe Meldungsqualität und minimalen internen Validierungsaufwand priorisieren.
Prämientabellen: Was kostet eine Schwachstelle?
Die Prämien variieren stark nach Schweregrad (CVSS-Score) und Plattform. Typische Richtwerte für Schweizer Unternehmen:
| Schweregrad | CVSS | Typische Prämie (Schweiz) | Beispiel |
|---|---|---|---|
| Kritisch | 9.0–10.0 | CHF 3’000 – 15’000 | Remote Code Execution, SQL Injection (kritische DB) |
| Hoch | 7.0–8.9 | CHF 1’000 – 5’000 | Stored XSS, SSRF, Privilege Escalation |
| Mittel | 4.0–6.9 | CHF 300 – 1’500 | CSRF, Open Redirect, Information Disclosure |
| Niedrig | 0.1–3.9 | CHF 100 – 500 | Informationslecks, UI-Redressing |
Zusätzlich zu Prämienkosten entstehen Plattformgebühren (typischerweise 20–30% der ausgezahlten Prämien plus Grundgebühr).
Vulnerability Disclosure Policy (VDP): Der kostenlose Einstieg
Für KMU, die noch kein Prämienbudget für ein Bug Bounty Programm bereitstellen können oder wollen, empfiehlt sich zunächst eine Vulnerability Disclosure Policy (VDP). Eine VDP ist eine öffentliche Richtlinie, die Sicherheitsforschern erklärt, wie sie gefundene Schwachstellen verantwortungsvoll melden können – ohne dass Prämien ausgeschüttet werden.
Vorteile einer VDP:
- Kostenlos auf GObugfree, YesWeHack und HackerOne einrichtbar
- Schützt Sie rechtlich vor Graubereichen bei gutmeinenden Sicherheitsforschern
- Signal für Kunden und Partner: Ihr Unternehmen nimmt Sicherheit ernst
- Gute Vorbereitung für ein späteres, vollständiges Bug Bounty Programm
In der Schweiz haben zahlreiche Bundesbehörden, Kantone und staatsnahe Betriebe (SBB, Post) VDPs eingeführt. Das NCSC empfiehlt VDPs ausdrücklich für alle Organisationen.
Vorbereitung ist alles: Was vor dem Launch wichtig ist
Ein häufiger Fehler: Unternehmen starten ein Bug Bounty Programm, ohne die Grundlagen gelegt zu haben. Das Ergebnis: Überwältigend viele Meldungen, keine internen Kapazitäten zur Verarbeitung, frustrierte Researchers und ungelöste Schwachstellen.
Checkliste vor dem Launch:
- Haben Sie einen definierten Prozess für Vulnerability-Meldungen?
- Gibt es interne Ressourcen für Triage und Remediation?
- Wurden kritische Systeme vorab durch einen Penetrationstest geprüft?
- Ist Ihr Bug Bounty Scope klar definiert?
- Haben Sie ein Prämienbudget festgelegt?
Besonders der vorgelagerte Penetrationstest ist wichtig: Ein Bug Bounty Programm auf einem System mit vielen offensichtlichen Schwachstellen führt zu einer Flut von Meldungen zu Low-hanging-Fruit-Themen. Zuerst das Haus ordnen – dann externe Augen einladen.
Mehr Informationen zu kombinierten Ansätzen finden Sie unter Red Team Anbieter Schweiz, Was ist Red Teaming? und in unserem Vergleich Red Teaming vs. Penetrationstest.
“Bevor wir ein Bug Bounty Programm starten, empfehlen wir unseren Kunden immer zuerst einen Penetrationstest. Das verhindert, dass externe Researchers dasselbe finden, was ein internes Assessment schon längst hätte aufdecken sollen.” — Florian Badertscher, Bug Bounty Manager, GObugfree
Fazit
Bug Bounty Programme sind 2026 für Schweizer Unternehmen jeder Grösse zugänglich. GObugfree bietet den besten Einstieg für KMU mit Schweizer Datenschutzanforderungen und persönlichem Support. YesWeHack und Intigriti empfehlen sich, wenn eine grössere europäische Researcher-Community gefragt ist. HackerOne ist die erste Wahl für Enterprise-Unternehmen mit globalem Sicherheitsbedarf.
Bevor Sie ein Bug Bounty Programm starten, lohnt sich die Investition in eine professionelle Sicherheitsprüfung: Unser Red Teaming Service zeigt Ihnen, welche Angriffswege wirklich offen sind – bevor externe Researchers oder echte Angreifer sie finden. Red Teaming ab CHF 11’900 – kontaktieren Sie uns für ein unverbindliches Angebot.