Sicherheit: Microsofts Bug Bounty nun auch für Windows 10

Michael Schäfer 6 Kommentare
Sicherheit: Microsofts Bug Bounty nun auch für Windows 10
Bild: Brett_Hondow | CC0 1.0

Um das eigene Betriebssystem sicherer zu machen und Sicherheitslücken schneller zu finden, hat Microsoft den Start des Bug-Bounty-Programms für Windows 10 bekannt gegeben. Damit werden zukünftig gefundene Sicherheitslücken mit bis zu 250.000 US-Dollar belohnt. Das Programm schließt zudem weitere OS-Versionen von Microsoft ein.

Hohe Belohnungen in diversen Kategorien möglich

Jede gefundene Lücke erhält im neuen Programm eine Prämie, für die Höhe der Belohnung ist die Komplexität und Schwere der gefundenen Schwachstelle in den Windows-Versionen Windows 10, Windows Server 2012 und Windows Server 2012 R2 sowie den Insider Previews von Windows 10 und Windows Server ausschlaggebend. Der Softwarehersteller legt den Fokus vor allem auf wichtige und kritische Ausführungen von Remote Code Execution (Fernausführung von Code), Elevation of Privilege (Rechteausweitungen) sowie sonstige Designmängel, welche in jeglicher Form die Sicherheit oder Privatsphäre von Nutzern gefährden.

Microsoft unterscheidet dabei in fünf Kategorien mit unterschiedlichen Auszahlungshöhen, wovon die letzten drei ausschließlich den Slow Ring betreffen:

  • Sicherheitslücken in Hyper-V in Windows Server sowie Windows 10 bilden die einträglichste Gruppe, gefundene Fehler lässt sich Microsoft zwischen 5.000 und 250.000 US-Dollar kosten. Dieses Programm ist bereits seit Mai 2017 aktiv.
  • Für gefundene Sicherheitsfehler in Windows gibt es immerhin noch zwischen 500 und 200.000 US-Dollar.
  • Für einen Fehler im Windows Defender Application Guard können Finder noch auf bis zu 30.000 US-Dollar hoffen
  • Für kritische Bugs in Edge gibt es bis zu 15.000 US-Dollar
  • Das Auffinden von generell sicherheitsrelevanten Fehlern in der Windows Insider Preview wird ebenfalls mit bis zu 15.000 US-Dollar belohnt.

Microsoft macht strenge Vorgaben

Voraussetzung für den Erhalt einer Belohnung ist neben einer ausführlichen Dokumentation mit nachvollziehbaren Schritten des Vorgehens das Vorhandensein der Lücke in der jeweils aktuellen Inside Preview, zudem darf der Fehler noch nicht veröffentlicht worden sein. Sollte sich die Meldung eines gefundenen Problems mit der Behebung durch Microsoft überschneiden, erhält der Finder zumindest noch 10 Prozent der eigentlichen Prämie.

Ergänzung für laufende Prämiensysteme

Das neue System ergänzt bereits vorhandene Belohnungs-Programme, wie es sich für den Windows Defender bereits seit 2013 bewährt hat. Für den Vorgänger Windows 8.1 hatte das Unternehmen aus Redmond im September 2013 ebenfalls ein entsprechendes Programm aufgelegt. Im September des letzten Jahres legte Microsoft zudem das Bug-Bounty-Programm für .NET Core und ASP.NET Core neu auf.

Erfolg nicht immer garantiert

Dass ein solches Vorhaben nicht immer von Erfolg gekrönt sein muss, ist am Beispiel Apples zu erkennen: Das ebenfalls im September 2016 gestartete Prämienprogramm stieß auf wenig Resonanz. Der Hauptgrund für das geringe Interesse soll in den vergleichsweise niedrigen Honoraren, die Apple für gefundene Sicherheitslücken zahlt, liegen – auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.