1786503

Microsoft setzt Prämien auf Sicherheitslücken aus

20.06.2013 | 16:09 Uhr |

Nachdem etwa Google und Mozilla schon lange Sicherheitsforschern, die Schwachstellen melden, hohe Beträge zahlen, startet nun auch Microsoft ein Bug-Bounty-Programm. Prämien soll es für Lücken in Beta-Software wie Windows 8.1 und Internet Explorer 11 geben.

Sicherheitslücken in Software-Produkten und Online-Diensten werden genutzt, um Informationen auszuspähen und Malware zu verbreiten. Unternehmen wie Google, Mozilla, Paypal, Facebook oder Twitter zahlen, zum Teil schon seit Jahren, Sicherheitsforschern hohe Prämien, wenn sie entdeckte Schwachstellen melden. Microsoft hatte sich einer solchen Vorgehensweise gegenüber bislang wenig aufgeschlossen gezeigt. Nun hat Redmond offenbar seine Meinung geändert.

Ab 26. Juni startet auch Microsoft ein Bug-Bounty-Programm , das es bereits seit längerer Zeit vorbereitet hat. Es unterscheidet sich wesentlich von den bisher üblichen Ansätzen. Microsoft will Schwachstellen in Software beseitigen, bevor diese auf den Markt kommt. Deshalb soll sich Microsofts Belohnungssystem auf Windows 8.1 und den Internet Explorer 11 beschränken, die dann als öffentliche Beta-Versionen („Preview”) zur Verfügung stehen.

Prämien gibt es für Forscher, die neue Ansätze zur Umgehung bestehender Schutzmechanismen demonstrieren können. So können sie 100.000 US-Dollar erhalten, wenn sie die in Windows 8.1 eingebauten Sicherheitsmaßnahmen austricksen können. Wer neue Wege aufzeigen kann, wie man derartige Angriffe auf Schwachstellen wirksam abwehren kann, erhält als so genannten "BlueHat Bonus" zusätzlich 50.000 Dollar.

Für gravierende Lücken in der aktuellen Beta-Version des Internet Explorer 11 für Windows 8.1 lobt Microsoft 11.000 Dollar aus. Dieses Prämienprogramm läuft jedoch nur bis zum 26. Juli.

Als Grund für den Sinneswandel nennt Microsoft aktuelle Entwicklungen bei der Vorgehensweise der Sicherheitsforscher. Bis vor Kurzem hatten viele die gefundenen Lücken in Microsoft-Produkten direkt an den Hersteller gemeldet und sich mit einer anerkennenden Erwähnung in einem Security Bulletin begnügt. Inzwischen nutzen sie jedoch mehrheitlich Zwischenhändler wie die HP-Tochter Tipping Point oder iDefense, die für neue Lücken zahlen.

Doch diese Schwachstellenmakler zahlen meist keine Prämien für Lücken in Beta-Software. Daher behalten die Forscher die gefundenen Schwachstellen so lange für sich, bis das Produkt auf den Markt kommt. Sie müssen dabei darauf hoffen, dass ihre Lücken noch nicht gestopft sind. In diese Marktlücke will Microsoft nun mit seiner Initiative stoßen, damit Windows 8.1 und IE 11 bereits zum Erscheinungstermin so sicher wie möglich sind.

0 Kommentare zu diesem Artikel
1786503