Immer mehr Software-Hersteller folgen dem Beispiel Googles und führen ein Prämiensystem ein, das unabhängige Sicherheitsforscher für das Melden neuer Sicherheitslücken in ihren Programmen belohnt. Erst kürzlich hat auch Microsoft ein solches so genanntes Bug-Bounty-Programm angekündigt. Wissenschaftler der Universität Kalifornien in Berkeley haben nun untersucht, ob sich solche Belohnungssysteme rechnen. Matthew Finifter, Devdatta Akhawe und David Wagner haben sich die schon länger bestehenden Prämienprogramme der Browser-Hersteller Google und Mozilla vorgenommen, die als Testfälle dienen. Google hat in drei Jahren etwa 500 Prämien mit einer Gesamtsumme um 580.000 US-Dollar für gemeldete Schwachstellen in Chrome ausgeschüttet. Mozilla hat 570.000 Dollar für Firefox-Lücken ausgegeben, verteilt auf 190 Einzelprämien. Verglichen mit den Kosten, die eine Festanstellung mehrerer Sicherheitsfachleute für die Fehlersuche verursacht, ist dies sehr gut angelegtes Geld. Ein angestellter Fachmann kostet ein Unternehmen zumindest 100.000 Dollar Gehalt und weitere 50.000 Dollar für Nebenkosten pro Jahr. Das heißt, für die in drei Jahren ausgezahlten Prämien hätten Google oder Mozilla lediglich ein bis zwei Entwickler bezahlen können, um nach Sicherheitslücken im Browser zu suchen. Tatsächlich sind im Rahmen der Bug-Bounty-Programme mehr Lücken gemeldet worden, als der jeweils beste der bei Google oder Mozilla angestellten Entwickler gefunden hat. Während Mozilla feste Beträge für gemeldete Firefox-Lücken zahlt, ist Googles Prämienprogramm flexibler. Die weitaus meisten Prämien (84 Prozent), die Google ausgezahlt hat, betrugen lediglich 500 bis 1000 Dollar. Doch die Chance, eine erheblich höhere Summe zu erhalten, macht das Suchen nach Chrome-Lücken offenbar attraktiver als die Schwachstellensuche in Firefox. Das führt dazu, dass sich mehr Personen an der Fehlersuche in Chrome beteiligen als bei Firefox. Die Berkeley-Forscher empfehlen Mozilla deshalb auf das Google-Modell zu wechseln. Trotz der zum Teil hohen Summen, die Google und Mozilla für eine gemeldete Schwachstelle zahlen, kann ein freier Sicherheitsexperte davon kaum leben. Die meisten Lückenfinder haben lediglich einmal eine Prämie erhalten, nur wenige mehrmals. Lediglich drei der 82 Teilnehmer an Googles Prämienprogramm haben insgesamt mehr als 80.000 Dollar erhalten, weitere fünf mehr als 20.000 Dollar. Bei Mozilla hat nur ein Teilnehmer über 80.000 Dollar eingesammelt sowie ebenfalls weitere fünf mehr als 20.000 Dollar. Ein weiterer Vorteil solcher Prämienprogramme ist, dass gefundene Sicherheitslücken mit geringerer Wahrscheinlichkeit auf dem Schwarzmarkt an Online-Kriminelle verkauft werden. Software-Hersteller können Termine für Sicherheits-Updates planen und müssen seltener ad hoc auf Angriffe mit 0-Day-Exploits reagieren.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.