Microsoft: Drei Mal mehr prämienwürdige Schwachstellen in einem Jahr

Das Ausschreiben von Belohnungen für die Übermittlung von Infor­ma­tionen über Sicherheitslücken ist für Microsoft eine lohnenswerte Sache. Immer häufiger gehen so Berichte ein und Schwachstellen können zügig aus der Welt geschafft werden. Mittlerweile ist es fünf Jahre her, dass die Redmonder ihr erstes Bug Bounty-Programm aufsetzten. Die Summen, die im Zuge dessen an Sicherheitsforscher überwiesen wurden, stiegen immer weiter an. In den vergangenen zwölf Monaten waren es nun bereits 13,7 Millionen Dollar, teilte das Unternehmen mit. Das ist immerhin das Dreifache dessen, was im vorhergehenden Vergleichszeitraum ausgezahlt wurde.

Microsoft betreibt inzwischen 15 verschiedene Bug Bounty-Programme, die jeweils andere Produktgruppen abdecken. Sechs neue kamen allein im letzten Zwölfmonats-Zeitraum dazu. Insgesamt verbuchte man in Redmond in der Zeit über tausend Einsendungen, die sich für eine entsprechende Prämienzahlung qualifizierten. Überweisungen gingen infolge dessen an rund 300 Sicherheitsforscher auf sechs Kontinenten, hieß es.

Anreize schaffen

Die Idee hinter diesen Bug Bounty-Programmen ist recht einfach: Die Unternehmen bieten Belohnungen für Informationen an, um deren Übermittlung in erster Linie interessanter zu machen als ein Verkauf an dubiose andere Käufer. Exploit-Händler und Kriminelle bieten zuweilen signifikante Summen an, um an das Wissen über bestimmte Schwachstellen zu gelangen.

Die Prämien sollen dabei vor allem jene Finder ermutigen, die eigentlich aus guten Motiven nach Schwachstellen in Software suchen. Entsprechende Arbeiten sind allerdings sehr zeitaufwendig und so kann man schnell in Versuchung kommen, doch in dunkle Kanäle zu verkaufen, wenn der Hersteller überhaupt keine materiellen Anreize bietet. Nahezu alle großen Software- und Internet-Unternehmen betreiben daher inzwischen eigene Bug Bounty-Programme.

Siehe auch: