100k $: Microsoft startet doch Bug Bounty-Programm

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Nach Jahren der Verweigerungshaltung legt nun auch der Software-Konzern Microsoft ein so genanntes Bug Bounty-Programm auf. In dessen Rahmen sollen Entdecker von Sicherheitslücken finanziell belohnt werden.
Und in Redmond backt man hinsichtlich der gebotenen Summen für Exploits keine kleinen Brötchen: Je nach Schwere der gefundenen Sicherheitslücke ist man bereit, bis zu 100.000 Dollar zu bezahlen. Bis zu 50.000 Dollar soll es außerdem geben, wenn jemand eine neue Verteidigungs-Technik gegen ein strukturelles Sicherheits-Problem anbieten kann.

Bisher sah man es bei Microsoft nicht als Notwendigkeit an, ein entsprechendes Programm zu betreiben, wie es bei vielen anderen Unternehmen schon länger vorhanden ist. So zahlen Firmen wie Google, PayPal oder Facebook jeweils mehrere hundert bis zu einigen tausend Dollar für übermittelte Sicherheitslücken in ihren Produkten oder Web-Anwendungen. Mit das meiste Geld nimmt Google für Sicherheitslücken im Chrome-Browser in die Hand - hier winken bis zu 50.000 Dollar Prämie.

In Redmond setzte man allerdings darauf, dass die Sicherheitsforscher entdeckte Probleme ohnehin an das Unternehmen zurückmelden und man dann reagieren kann. Wie Katie Moussouris, Senior Security Strategist bei Microsoft ausführte, habe sich die Situation aber inzwischen geändert. So würden Exploits inzwischen in überwiegender Zahl an Broker weitergegeben, die die Informationen dann an die betroffenen Hersteller und zuweilen auch an andere Zahlungswillige weitergeben.

"Ich beschäftigt mich schon eine Weile damit und es ist erstmals der Fall, dass unsere Forschungsabteilung mitteilte, dass die Mehrheit der Leute nun über Broker geht", erklärte sie. "Wenn wir so früh wie möglich Wissen über diese Lücken erlangen, können wir Schutz vor ganzen Kategorien von Angriffen bieten. Wir wollen damit nicht auf eine dritte Partei warten."

Das Problem für Sicherheits-Spezialisten besteht darin, dass die Suche nach Sicherheitslücken keine triviale Aufgabe ist, bei der einem die Ergebnisse in der Regel zufällig in den Schoß fallen. Oft ist eine lange, intensive Suche und Analyse von Problemen notwendig, um einen funktionierenden Exploit zu entwickeln und somit ein Problem nachzuweisen.

Da auf dem Schwarzmarkt von Kriminellen oder Geheimdiensten schnell einmal ein größerer Betrag geboten wird, um an entsprechende Informationen zu kommen, ist die Versuchung groß, dann eben zwielichtige Kanäle zu bedienen, statt die Informationen selbstlos an den jeweiligen Hersteller einer Software zu schicken. Die Bug Bounty-Programme sollen hier zumindest einen Anreiz bilden, auch wenn dabei meist nicht die gleichen Summen, wie im Untergrund zu erzielen sind und die geleistete Arbeit kaum einmal wirklich abgegolten wird. Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:40 Uhr Silent Monsters Gaming und Office Mauspad
Silent Monsters Gaming und Office Mauspad
Original Amazon-Preis
14,90
Im Preisvergleich ab
?
Blitzangebot-Preis
11,07
Ersparnis zu Amazon 26% oder 3,83
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden