Jede Software hat seine Schwachstelle – und weil Datensicherheit für Apple ein wichtiges Verkaufsargument ist, hat der iPhone-Konzern seine Belohnung hochgeschraubt: Wer eine Sicherheitslücke in der Software ausfindig macht, erhält künftig bis zu einer Million Dollar. Denn: Bevor kriminelle Hacker die Gerätesoftware knacken, will Apple die Lücken lieber selber finden – beziehungsweise von Hackern finden lassen.

Bisher waren von Apple direkt höchstens 200'000 Dollar zu bekommen, während auf dem Schwarzmarkt zum Teil Millionen für iPhone-Schwachstellen geboten wurden. Auch jetzt soll es die Million nur für besonders schwerwiegende Schwachstellen geben, über die ein Angreifer auf den Kern des Betriebssystems zugreifen könnte. Dafür gibt es die Belohnungen künftig nicht – wie bislang – nur für Lücken im iPhone-System iOS, sondern auch bei Software anderer Apple-Geräte.

Je schwerer der Bug, desto höher die Entlohnung

Dass Hacker für Hinweise auf Schwachstellen belohnt werden, ist unter den Tech-Riesen seit Jahren übliche Praxis – die Rede ist im Hacker-Kontext von «Bug Bounty»-Programmen. Für die «White Hats», sprich den «guten Hackern», sind diese inzwischen eine lukrative Einnahmequelle: Sie haben sich darauf spezialisiert, Sicherheitslücken zu finden und diese den Unternehmen oder Organisationen zu melden anstatt sie zu veröffentlichen oder im Darknet zu verschachern. Dafür erhalten sie eine Belohnung, die den Unternehmen schnell mehrere Hundertausend wert sein kann. Je schwerwiegender der Bug, desto höher fällt die Belohnung aus. Doch diese variiert von Unternehmen zu Unternehmen.

Anzeige

So zahlt Samsung je nach Schweregrad der Sicherheitsanfälligkeit zwischen 200 und 200'000 Dollar. Bis zu 140'000 Dollar gibt es bei Huawei, Microsoft ist das Entdecken von Schwachstellen bis zu 300'000 Dollar wert und bei Google werden Hacker je zwischen 100 Dollar und 200'000 Dollar entlohnt.

Auch bei Apple ist der Finderlohn gestaffelt. So gibt es etwa Prämien bis 100 000 Dollar, wenn man es durch den Sperrbildschirm schafft oder einen Weg findet, über eine präparierte App an wertvolle Nutzer-Daten heranzukommen. Unerlaubter Zugang zu iCloud-Kontodaten auf Apple-Servern wird ähnlich behandelt. Bis zu 500 000 Dollar lässt sich der Konzern den Hinweis auf Sicherheitslücken kosten, durch die ein Angreifer über das Netz an Nutzerinformationen kommen kann. Früher waren die Belohnungen mit 25 000 bis 200 000 quer durch die Bank deutlich niedriger.

(mit sda-Material)