Google: 17,1 Millionen US-Dollar im Bug-Bounty-Programm 2025 ausgezahlt

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Google hat Zahlen zu seinem Bug-Bounty-Programm „Vulnerability Reward Program“ (VRP) für das Jahr 2025 veröffentlicht. Mehr als 17 Millionen US-Dollar konnten IT-Sicherheitsforscher in dem Jahr einheimsen, ein neuer Höhepunkt.

In einem Blog-Beitrag schreibt Google weiter, dass die Prämien an mehr als 700 IT-Forscher quer über den Globus verteilt ausgezahlt wurden. Im abgelaufenen Jahr haben genauer gesagt 747 IT-Forscher insgesamt 17,1 Millionen US-Dollar erhalten, 2024 bekamen demnach 660 Analysten zusammen 11,8 Millionen US-Dollar. Die ausgezahlte Summe liegt damit um mehr als 40 Prozent höher und ist die höchste seit Start des VRP.

Das VRP untergliedert sich in mehrere Einzelprogramme, etwa für Android und Geräte, Chrome, Cloud, KI oder Open-Source-Software. Das Android-Programm alleine hat rund 2,9 Millionen US-Dollar ausgeschüttet. Google investiert dem eigenen Bekunden nach in die Härtung der Plattform. Der Einsatz von speichersicheren Sprachen und Hardware-Maßnahmen habe zu einer Verschiebung der Taktiken der Angreifer geführt – die müssen ihre bösartigen Werkzeugkästen dadurch anpassen. Die ausgeklügeltsten Exploits setzten mehr auf Logikfehler anstatt auf Code-Schwachstellen. KI stellt eine Erweiterung der Angriffsfläche dar, hier haben Forscher etwa Logikfehler in der Gemini-Implementierung auf den Geräten entdeckt, etwa um den Sperrbildschirm zu umgehen.

Interessante Zahlen aus den Teil-Programmen von VRP

In Google Chrome haben mehr als 100 IT-Forscher Prämien erhalten, zusammen mehr als 3,7 Millionen US-Dollar. Die Sandbox der JavaScript-Engine v8 war einer der Schwerpunkte, darin fanden sich neue Möglichkeiten zum Ausbruch. Google hebt zwei IT-Sicherheitsforscher hervor, die Logikfehler in der Interprozesskommunikation gefunden, deren Missbrauch demonstriert und dafür schließlich sogar 250.000 US-Dollar erhalten haben.

Das Cloud-Bug-Bounty-Programm hat noch mehr IT-Forscher angezogen. 143 Experten haben für gemeldete Schwachstellen mehr als 3,5 Millionen US-Dollar erhalten. Insgesamt 1774 Sicherheitsmeldungen hat Google für die Cloud-Dienste im Jahr 2025 verarbeitet. Seit vergangenem Oktober betreibt Google zudem ein Bug-Bounty-Programm speziell für KI-Anwendungen. Alleine dabei konnten IT-Forscher bereits 390.000 US-Dollar an Prämien einstreichen; insgesamt flossen 2025 für KI-Schwachstellen sogar 890.000 US-Dollar. Bei der ersten KI-Sicherheitsveranstaltung „AI bugSWAT“ von Google in Tokio kamen demnach alleine schon 70 gültige Meldungen zusammen, die ihren Entdeckern 400.000 US-Dollar einbrachten. Der Open-Source-Software-Bereich fällt dagegen stark ab. Von 192 eingereichten Fehlermeldungen konnten 62 eine Prämie erhalten – insgesamt gab es knapp 330.000 US-Dollar.

Im Jahr 2026 plant Google weitere Veranstaltungen vergleichbar mit der in Tokio, die das Unternehmen „bugSWAT“ nennt. Außerdem steht eine IT-Sicherheitskonferenz mit dem Namen „ESCAL8“ auf dem Programm.

Einen detaillierten Bericht hatte Google zuletzt für das Jahr 2023 vorgelegt. Dort hatten 632 IT-Forscher zusammen 10 Millionen US-Dollar an Prämien erhalten.

(dmk)