Kasperskys Herz für Hacker: 50.000 US-Dollar für gemeldete Bugs
Als zweiter AV-Hersteller führen die Russen ein Bug-Bounty-Programm ein. Sicherheitsforscher sollen nun Geld dafür bekommen, Schwachstellen in Kaspersky-Produkten zu finden.
- Uli Ries
Antivirensoftware-Hersteller Kaspersky lobt im Rahmen eines Bug-Bounty-Programms Prämien in Höhe von 50.000 US-Dollar aus. Das Geld soll binnen sechs Monaten an Tippgeber fließen, die Lücken in Kaspersky Internet Security und Kaspersky Endpoint Security for Business entdecken. Details und Einschränkungen des Aufrufs an die Hackergemeinde sind noch nicht bekannt.
Inspiriert durch Tavis Ormandy?
Ob Kaspersky durch die im Herbst vom Google-Mitarbeiter Tavis Ormandy öffentlich gemachten Schwachstellen zu dem Programm motiviert wurde, ist unklar. Auf Nachfrage antwortete das Unternehmen ausweichend: Tavis Ormandy habe wertvolle Rückmeldung geliefert und man sehe den Vorteil, wenn Sicherheitsexperten Lücken direkt an den Hersteller melden. Das Bug-Bounty-Programm sei ein wichtiger Bestandteil, um die eigenen Produkte sicherer zu machen. Ansonsten kein Wort, ob die Ormandys Veröffentlichung ein Umdenken ausgelöst hat.
Das russische Unternehmen ist damit nach Avast und Avira erst der dritte Antivirensoftware-Hersteller, der Geldprämien an Hacker ausschüttet. Kaspersky verspricht sich nach eigener Auskunft nicht nur eine Verbesserung der Qualität seiner AV-Produkte, sondern auch einen besseren Draht zur weltweiten Hackergemeinde. Das Unternehmen zeigt sich überzeugt, dass IT-Sicherheits-Anbieter jeglicher Größe von einer solchen Zusammenarbeit mit externen Fachlauten profitieren. Nach sechs Monaten, in denen maximal 50.000 US-Dollar ausgeschüttet werden sollen, will Kaspersky entscheiden, welche Produkte in einer zweiten Phase des Bounty-Programms unter die Lupe genommen werden sollen.
In Deutschland eher unüblich
Kaspersky bedient sich zur Organisation des Programms der Plattform HackerOne, auf die auch Adobe, Uber, General Motors, das US-Verteidigungsministerium und Twitter setzen, um Programme zum Melden und Beheben von Bugs abzuwickeln. In Deutschland sind solche Prämienprogramme eher selten. Einzig die Telekom und das Stuttgarter Softwareunternehmen Nextcloud sind in der Vergangenheit mit Bounty-Programmen in Erscheinung getreten.
Update vom 3. August 2016: Ursprünglich wurde im Artikel behauptet, Avira würde Sicherheitsforschern für gemeldete Schwachstellen keine Prämie zahlen. Tatsächlich zahlt das Unternehmen über die Plattform Bugcrowd bis zu 2500 US-Dollar aus. Wir haben den Artikel korrigiert. (fab)