Google belohnt erfolgreiche Sicherheitsforscher

Google hat im Jahr 2023 einen neuen Rekord aufgestellt und insgesamt 632 Personen aus 68 verschiedenen Ländern für ihre erfolgreiche Meldung von Sicherheitslücken geehrt. Diese beeindruckende Leistung wurde mit einer Gesamtsumme von zehn Millionen US-Dollar belohnt, was derzeit etwa 9,15 Millionen Euro entspricht. Das Programm, das Google für solche Meldungen anbietet, nennt sich Vulnerability Reward Program (VRP) und erfreut sich großer Beliebtheit bei Sicherheitsforschern weltweit.

Mit dieser großzügigen Summe stellt Google den zweithöchsten Wert in der Geschichte des VRP dar. Im Jahr zuvor, 2022, zahlte Google den bisherigen Rekordbetrag von zwölf Millionen US-Dollar an 703 IT-Sicherheitsforscher aus, die insgesamt 2.900 Sicherheitslücken gemeldet hatten. Das zeigt, dass die Nachfrage nach sicheren Produkten und Dienstleistungen immer größer wird und die Sicherheitsforscher fleißig an der Aufdeckung von Schwachstellen arbeiten.

Allerdings gibt Google in seiner Statistik keine Informationen über die Gesamtzahl der von den 632 erfolgreichen Teilnehmern im Jahr 2023 gemeldeten Lücken bekannt. Es bleibt also ein Geheimnis, wie viele Sicherheitslücken insgesamt aufgedeckt wurden. Seit dem Start des Programms im Jahr 2010 hat Google insgesamt beeindruckende 59 Millionen Dollar für erfolgreich gemeldete Sicherheitslücken ausgezahlt. Das zeigt, dass Google die Sicherheit seiner Produkte und Dienstleistungen ernst nimmt und bereit ist, dafür angemessene Preise zu zahlen.

Um die Aufmerksamkeit der Sicherheitsforscher auf sich selbst und auf spezifische Bereiche zu lenken, hat Google stetig neue Anreize geschaffen. Es wäre vermutlich erheblich kostspieliger, die Sicherheitslücken ausschließlich durch interne Mitarbeiter zu identifizieren. Deshalb hat Google im Jahr 2023 beschlossen, Bug Bountys einzuführen, um Sicherheitsprobleme bei Wear OS und bestimmten Android-Apps aus dem Alphabet-Konzern zu beheben. Alphabet umfasst neben Google auch Fitbit, Nest Labs und Waymo. Das zeigt, dass Google nicht nur an der Sicherheit seiner eigenen Plattformen interessiert ist, sondern auch an der Sicherheit der Produkte seiner Tochterunternehmen.

Um die Sicherheit von Android weiter zu verbessern, hat Google die maximale Belohnung für einen einzelnen Beitrag auf 15.000 US-Dollar erhöht. Das ist ein deutliches Signal an die Sicherheitsforscher, dass ihre Bemühungen geschätzt werden und dass es sich lohnt, nach Schwachstellen zu suchen und diese zu melden. In anderen Bereichen werden sogar noch höhere Preise angeboten, um die Forscher dazu zu ermutigen, Schwachstellen zu finden und zu melden. Dies zeigt, dass Google bereit ist, angemessene Summen zu zahlen, um die Sicherheit seiner Produkte zu gewährleisten.

Insgesamt ist das Vulnerability Reward Program von Google eine Win-Win-Situation für alle Beteiligten. Die Sicherheitsforscher erhalten eine angemessene Belohnung für ihre Arbeit und Google kann seine Produkte und Dienstleistungen kontinuierlich verbessern und sicherer machen. Es ist eine gute Möglichkeit, die besten Köpfe der Branche anzuziehen und gleichzeitig einen Beitrag zur Sicherheit des Internets zu leisten. Wir können gespannt sein, wie das Programm in Zukunft weiterentwickelt wird und welche neuen Rekorde aufgestellt werden.

Schlagwörter: Googles Bug Bounty + Google + Program

Wie bewerten Sie den Schreibstil des Artikels?