Microsoft zahlt 100.000 US-Dollar für Sicherheitslücken
Microsoft legt ein Programm auf, das die Sicherheit des kommenden Updates seines Betriebssystems, Windows 8.1, verbessern soll. Die Firma zahlt jedem, der „eine wirklich neue“ Lücke im Update zu Windows 8 findet, 100.000 US-Dollar; für gute Ideen zum Schließen der Lücke steigt die Summe um weitere 50.000 US-Dollar.
Microsoft, bisher eher nicht bekannt für die Zahlung von Prämien für entdeckte Sicherheitslücken, bietet mit dem neuen „Bug Bounty“-Programm für entdeckte Programmfehler nun die höchsten Summen der Branche. Damit schließt sich der Softwarekonzern aus Redmond einem Trend an, mit dem Unternehmen wie Facebook, Google, Mozilla und Twitter gute Erfahrungen gemacht haben. Deren Prämiensysteme schütten Gelder für aufgedeckte Sicherheitsrisiken im Rahmen von bis zu einigen tausend US-Dollar aus.
Das Programm startet am 26. Juni, bezieht sich auf Windows 8.1 Preview und läuft 30 Tage. Zusätzlich bietet Microsoft bis zu 11.000 US-Dollar Prämie für kritische Fehler in der Vorschau des Internet Explorer 11, die mit der Windows 8.1 Preview ausgeliefert wird.
Das Belohnungs-Programm ist generell auf Vorschau-Versionen von Microsofts Produkten beschränkt und soll potenzielle Gefahren beseitigen, bevor die Software zum Kunden gelangt. Das schließe aber nicht aus, so Mike Reavey, Direktor von Microsofts „Security Response Center“, dass im Rahmen des Programms gefundene Lösungen auch für bereits am Markt befindliche Produkte rückwirkend zur Anwendung gelangen.
Weitere Programme dieser Art will Microsoft auch für kommende Produkte in der Vorschau-Phase anbieten und hofft, damit Sicherheitsforscher zu motivieren, ihre aufgefundenen Lücken an Microsoft zu schicken, und nicht, wie in der Vergangenheit häufig zu beobachten, darauf sitzen zu bleiben, bis das Produkt am Markt ist. Das Programm ergänzt die Bemühungen Microsofts, zusammen mit den Behörden Botnetze stillzulegen. Lücken, die im Vorfeld geschlossen sind, verursachen im Nachhinein keine Kosten bei den Anwendern oder bei Microsoft.