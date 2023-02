Große Technologieunternehmen betreiben oftmals ein Bug-Bounty-Programm, bei dem sie Belohnungen für Sicherheitslücken an die meldenden Personen auszahlen. Google hat 2022 für mehr als 2.900 gemeldete Sicherheitslücken in diesem Rahmen über 12 Millionen US-Dollar ausgeschüttet.

Stetig wachsendes Bug-Bounty-Programm

Google nennt sein Belohnungsprogramm "Vulnerability Reward Program" (VRP). Das zugehörige Google-Team fasst in einem Blog-Beitrag die Ergebnisse vom vergangenen Jahr zusammen. Nicht ohne Stolz verkündet das Unternehmen dort, dass in 2022 mehr als 12 Millionen US-Dollar an Belohnungen an 703 IT-Sicherheitsforscher ausgezahlt wurde. Diese hätten mehr als 2.900 Sicherheitslücken aufgespürt und damit dazu beigetragen, dass die Google-Produkte jetzt sicherer für die Nutzer rund um die Welt seien.

Über die Jahre wächst die ausgezahlte Summe an Belohnungen für gemeldete Sicherheitslücken stetig. (Bild: Google)

Der Konzern schlüsselt noch einzelne Bereiche auf. So gingen etwa im Bereich "Android and Devices" etwa 4,8 Millionen US-Dollar an Bug-Bounty-Prämien an externe IT-Forscher. Die hatten mehr als 200 Schwachstellen im Handy-Betriebssystem gemeldet. Die Abteilung "Chrome", die den Browser und das Betriebssystem ChromeOS umfasst, kam auf 470 gültige Sicherheitsmeldungen, die 4 Millionen US-Dollar wert waren. Allein auf den Browser entfielen davon 363 Lücken und 3,5 Millionen US-Dollar.

Google hat zur Schulung von interessierten Sicherheitslücken-Jägern sogar eine Bug Hunter University eröffnet. Dahinter verbergen sich Anleitungen und Hilfestellungen zur Erstellung von gültigen Meldungen von Sicherheitslücken. Jetzt liegen dort auch Anleitungsvideos vor, wie Google erklärt. Für besonders eifrige externe IT-Sicherheitsforscher und spezielle, eingeladene IT-Experten hat Google zudem ein "Vulnerability Research Grant"-Programm aufgesetzt, in dessen Rahmen die Beteiligten einen "Zuschuss für Vulnerabilitätsforschung" erhalten können, selbst, wenn sie keine Sicherheitslücken finden. 170 IT-Sicherheitsforscher haben 2022 insgesamt 250.000 US-Dollar aus diesem Programm erhalten.

Ausgelagerte Qualitätssicherung

Beim Nachrechnen, was den Konzern fest angestellte, kompetente Mitarbeiter in der Qualitätssicherung und der IT-Sicherheit kosten würden, fällt auf, dass sie für das Geld nicht einmal einen kleinen Bruchteil der IT-Spezialisten beschäftigen könnten. Das Unternehmen macht einen guten Schnitt und kommt so äußerst günstig an wertvolle und professionelle Arbeit – immerhin gibt es sogar Vorgaben an die Form und Inhalte der Fehlermeldung, in denen sich die IT-Forscher schulen sollen.

Auch Intel schüttet im Rahmen eines Bug-Bounty-Programms Prämien an externe IT-Sicherheitsforscher aus. (Bild: Screenshot/Intel)

Kein Wunder, dass auch andere Unternehmen wie Intel auf solch ein Bug-Bounty-Programm setzen. Die Prozessorschmiede hat im vergangenen Jahr rund 935.000 US-Dollar im Rahmen seines Programms an 151 externe IT-Sicherheitsexperten verteilt. In dem Produkt-Sicherheitsbericht erläutert Intel jedoch, dass es intern einen starken Fokus auf IT-Sicherheit lege und neben Mitarbeiterschulungen auch mehrere IT-Security-Teams beschäftige. Sogar externe Sicherheitsuntersuchungen von Drittanbietern lasse das Unternehmen vornehmen. Dabei wurden im vergangenen Jahr jedoch lediglich acht Schwachstellen entdeckt. 2019 kamen dabei noch 57 Lücken zum Vorschein.

Ein Bug-Bounty-Programm ist aber nicht nur ein kostensparendes Unterfangen für die Unternehmen – grundsätzlich bietet es auch eine Möglichkeit für externe IT-Experten, sich erste Sporen zu verdienen, wichtige Einträge im Lebenslauf zu erhalten und sich etwas bekannter zu machen.

