Microsoft lobt Prämien für Hinweise auf Sicherheitslücken aus

SicherheitSicherheitsmanagement
security-sicherheit (Bild:Shutterstock)

Da Microsoft immer weniger Meldungen zu Schwachstellen direkt bekommt, legt der Konzern nun ein Prämienprogramm auf. Es verspricht attraktive Belohnungen. Außerdem erstreckt es sich auch auf Preview-Versionen von Windows und Internet Explorer.

Microsoft folgt dem Beispiel von Google, Facebook und anderen Unternehmen und lobt Belohnungen für Hinweise auf Sicherheitslücken in seinen Programmen aus. Sicherheitsforscher haben die Notwendigkeit schon seit Jahren betont und Microsoft vorgeworfen, ohne eigene Beteiligung von den Bug-Bounty-Programmen anderer Firmen zu profitieren. Es bekam beispielsweise von Verisigns iDefense und der von HP initiierten Zero Day Initiative, die Belohnungen bis zu 10.000 Dollar auszahlten, Schwachstellen in seiner Software gemeldet.

Dafür lässt sich Microsoft jetzt nicht lumpen: Für “sachdienliche Hinweise” werden bis zu 100.000 Dollar bezahlt – deutlich mehr als zum Beispiel bei Google. Außerdem verspricht der Konzern auch hohe Prämien für aufgedeckte Sicherheitslücken in Betaversionen.

Im Rahmen des Prämienprogramms, das ab 26. Juni 2013 läuft, werden bis zu 100.000 Dollar für wirklich neuartige Exploit-Techniken ausbezahlt, mit denen sich der Schutz der aktuellsten Betriebssystemversion (Windows 8.1 Preview) aushebeln lässt. Einen zusätzlichen Bonus von 50.000 Dollar soll es geben, wenn zugleich Ideen für eine bessere Abwehr ausgeführt werden.

Für kritische Schwachstellen, die die Preview von Internet Explorer 11 auf der aktuellsten Windows-Version (8.1 Preview) betreffen, stellt Microsoft bis zu 11.000 Dollar in Aussicht. Abhängig vom Erfolg dieser Prämienprogramme könnten weitere folgen und beispielsweise auch Azure, Office 365 und die Xbox-Live-Plattform einbeziehen.

Das Microsoft-Programm dürfte auch eien Reaktion auf die im Frühjahr von verschiedenen Seiten angeprangerte Tatsache sein, dass sich ein Schwarzmarkt entwickelt hat, auf dem Zero-Day-Lücken gehandelt werden. Nach einem Bericht der MIT Technology Review kaufen dort Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden bislang unentdeckten Schwachstellen, die durch Malware auszunutzen sind.

In der Folge war aus der Hackerszene von einer dramatisch reduzierten Zahl offengelegter Bugs zu hören. Christopher Soghoian, Technologieexperte der Bürgerrechtsorganisation ACLU, führte dies auf den Aufkauf der Sicherheitslücken durch Regierung und Industrie zurück. Er erfolge inzwischen im ganz großen Stil. Für die Entdecker sei diese Vermarktung ihrer Erkenntnissse einerseits finanziell wesentlich attraktiver, als wenn sie sich direkt den Herstellern anvertrauen, andererseits wesntlich risikoloser als sie selbst auszunutzen oder an Kriminelle weiterzugeben.

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen