Kaspersky Lab startet Prämienprogramm

Der russische Sicherheitsspezialist Kaspersky Lab auf der Konferenz Black Hat USA ein Prämienprogramm rund um Lücken in seinen Sicherheitsprodukten ins Leben gerufen. Die Pilotphase beginnt am 1. September und wird sechs Monate dauern. In dieser Zeit sagt Kaspersky eine Prämiensumme von 50.000 Dollar zu.

Zunächst umfasst es nur die Lösungen Kaspersky Internet Security und Kaspersky Endpoint Security. Als Plattform nutzt das Unternehmen wie viele andere die von HackerOne. Es verspricht sich davon „verbesserte Beziehungen zu externen Sicherheitsforschern“. Ein solches Programm sei eine Möglichkeit, Probleme zu beheben, „ohne die Kunden einem Risiko auszusetzen.“

Nach Abschluss der Pilotphase will das Unternehmen über eine mögliche Ausweitung entscheiden. Bislang gebe es schon interne und externe Maßnahmen, um Fehler aufzudecken, kommentiert Chief Technology Officer Nikita Shvetsov. Das neue Programm sei also eine Erweiterung: „Wir glauben, es ist an der Zeit, dass alle Sicherheitsfirmen, große wie kleine, enger mit externen Sicherheitsforschern zusammenarbeiten, indem sie Prämienprogramme als effizientes und notwendiges Werkzeug nutzen, um ihre Produkte sicher zu halten und ihre Kunden zu schützen.“

Wie andere Software auch sind Sicherheitslösungen wie die von Kaspersky nicht frei von Lücken und Fehlern – was aber besonders schwerwiegende Auswirkungen haben kann. Im September 2015 fand Sicherheitsforscher Tavis Ormandy von Google eine Zero-Day-Lücke in einer nicht genannten Sicherheitssoftware von Kaspersky. In einem Tweet sprach er von „einem System-Exploit“, der sich aus der Ferne und ohne Zutun des Anwenders für Angriffe einsetzen ließe. Er selbst habe einen Exploit für die Lücke entwickelt. Daher seien auch Cyberkriminelle ohne Weiteres in der Lage, die Sicherheit eines Systems mit darauf installierter Kaspersky-Antivirensoftware zu kompromittieren. Das Experiment mit einem Entlohnungssystem ist möglicherweise die Konsequenz.

Twitter beispielsweise hat vor zwei Monaten eine Bilanz seines Prämienprogramms auf HackerOne gezogen. Es zahlte innerhalb von zwei Jahren 322.000 Dollar an Finder von Sicherheitslücken. Ein einzelner Forscher verdiente 2015 insgesamt 54.000 Dollar mit Sicherheitslücken. Durchschnittlich schüttete das Unternehmen 835 Dollar aus. Für eine Schwachstelle, die Code-Ausführung aus der Ferne erlaubt, würde Twitter 15.000 Dollar zahlen, bisher wurde aber keine gemeldet.

Dieses Jahr haben Dropbox und Uber solche Programme ins Leben gerufen. Das von Uber umfasst seine Websites einschließlich der Testsite und jeweils beide Apps für Android und iOS. Die maximale Belohnung beträgt 10.000 Dollar. Als innovativ gilt sein Ansatz, Forschern eine „Schatzkarte“ der Architektur zu stellen, damit sie sich aufs Wesentliche konzentrieren können.

Dropbox belohnt Finder von Lücken in seinen Webanwendungen ebenso wie den Android- und iOS-Apps. Früher gemeldete Sicherheitslücken wurden nachträglich mit insgesamt 10.475 Dollar honoriert. Eine offizielle Obergrenze für Prämien gibt es nicht, in der Praxis waren es bisher 4913 Dollar.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.