F-Secure belohnt künftig Hinweise auf Lücken in seinen Programmen

Dazu hat der Hersteller jetzt ein sogenanntes Bug-Bounty-Programm aufgelegt. Es belohnt Hinweise auf Sicherheitslücken oder Datenschutzprobleme in der Software mit bis zu 15.000 Euro. Sowohl die Business- als auch die Consumer-Varianten sollen dadurch verbessert werden
F-Secure hat ein Prämienprogramm für Hinweise auf Sicherheitslücken in seinen Programmen ins Leben gerufen. In dessen Rahmen erhofft sich der Anbieter nicht nur von Spezialisten, sondern auch von Anwendern wertvolle Anregungen für Verbesserungen. Für die werden dann je nach Bedeutung zwischen 100 und 15.000 Euro ausbezahlt.
“Wir müssen sicherstellen, dass die Nutzer vor den neuesten Bedrohungen geschützt sind und wir müssen auch sicherstellen, dass die Anwendungen selbst lückenlos sind. Dieses Programm ermöglicht es Leuten, die Software, die in die Anwendungen eingebaut ist, zu analysieren”, erklärt Jose Perez, Senior Researcher bei F-Secure Labs.
Als Sicherheitslücke ist im Rahmen des Programms ein Problem definiert, “das eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit des Dienstes oder der Daten verursacht oder auf personenbezogene Daten (private Daten) zutrifft, die gespeichert oder in einer Weise, die nicht kompatibel zu den aktuellen finnischen Datenschutzvorschriften ist, verarbeitet werden.” Interesse stehen Informationen zu Programmregeln und Offenlegungsrichtlinien auf der Webseite des Programms zur Einsicht bereit,
Das Prämienprogramm ist möglicherweise auch eine Reaktion auf das nicht ganz exzellente Abschneiden des Herstellers bei zwei Testreihen von AV-Test im Herbst 2014 und im Herbst 2015. Dabei wurden durch das unabhängige Testlabor Security-Suiten auf ihren Selbstschutz hin untersucht. Konkret ging es darum, ob und in welchem Umfang die Hersteller ihre Software mithilfe der Sicherheitstechniken ASLR und DEP vor Angriffen schützen. Auf dem Prüfstand standen 24 Suiten für Endverbraucher sowie 8 Security-Produkte für Unternehmen.
Nachdem der erste Test ziemlich schlecht ausfiel, haben zahlreiche Hersteller – darunter auch F-Secure – sich die Kritik offenbar zu Herzen genommen. Denn die zweite Überprüfung im Herbst 2015 kam zu einem deutlich besseren Ergebnis. Auch F-Secure hat dabei deutlich besser abgeschnitten.
Der Test ist wichtig, weil durchaus angenommen werden kann, dass Angreifer künftig verstärkt verbreitete Sicherheitssoftware ins Visier nehmen könnten. Da die Kontrollen der Sicherheitssoftware immer strenger werden, wird ein Angriff auf die Sicherheitssoftware selbst immer interessanter. Denn ist der erfolgreich, kann der Angreifer womöglich eine ganze Zeit lang unbemerkt schalten und walten wie es ihm beliebt. Dass die Aussicht auf Erfolg besteht, haben zum Beispiel kürzlich bekannt gemachte Lücken in Sicherheitsprodukten von Kaspersky und Fireeye gezeigt. Allerdings war die bei Kaspersky nach Angaben des Unternehmens noch nicht außerhalb des Google Labors, wo sie entdeckt worden war, bekannt und wurden inzwischen längst geschlossen.
Ähnliche Prämienprogramme wie jetzt von F-Secure aufgelegt gibt es auch schon von Firmen wie Google, Microsoft, Facebook oder auch von Mozilla. Problematisch ist, dass sie alle mit diversen Aufkäufern von Informationen zu Sicherheitslücken im Wettbewerb stehen, die diese dann weder den Herstellern mitteilen noch öffentlich machen, sondern zum Beispiel an Behörden weiterverkaufen. Und diese Aufkäufer zahlen oft deutlich höhere Beträge. Spektakulär war zum Beispiel die ausgelobte Prämie für eine zuvor unbekannte Lücke in iOS. Dafür bezahlte das Unternehmen Zerodium kürzlich eigenen Angaben zufolge eine Million Dollar.