Categories: Sicherheit

Kaspersky Lab startet Prämienprogramm

Der russische Sicherheitsspezialist Kaspersky Lab auf der Konferenz Black Hat USA ein Prämienprogramm rund um Lücken in seinen Sicherheitsprodukten ins Leben gerufen. Die Pilotphase beginnt am 1. September und wird sechs Monate dauern. In dieser Zeit sagt Kaspersky eine Prämiensumme von 50.000 Dollar zu.

Zunächst umfasst es nur die Lösungen Kaspersky Internet Security und Kaspersky Endpoint Security. Als Plattform nutzt das Unternehmen wie viele andere die von HackerOne. Es verspricht sich davon „verbesserte Beziehungen zu externen Sicherheitsforschern“. Ein solches Programm sei eine Möglichkeit, Probleme zu beheben, „ohne die Kunden einem Risiko auszusetzen.“

Nach Abschluss der Pilotphase will das Unternehmen über eine mögliche Ausweitung entscheiden. Bislang gebe es schon interne und externe Maßnahmen, um Fehler aufzudecken, kommentiert Chief Technology Officer Nikita Shvetsov. Das neue Programm sei also eine Erweiterung: „Wir glauben, es ist an der Zeit, dass alle Sicherheitsfirmen, große wie kleine, enger mit externen Sicherheitsforschern zusammenarbeiten, indem sie Prämienprogramme als effizientes und notwendiges Werkzeug nutzen, um ihre Produkte sicher zu halten und ihre Kunden zu schützen.“

Wie andere Software auch sind Sicherheitslösungen wie die von Kaspersky nicht frei von Lücken und Fehlern – was aber besonders schwerwiegende Auswirkungen haben kann. Im September 2015 fand Sicherheitsforscher Tavis Ormandy von Google eine Zero-Day-Lücke in einer nicht genannten Sicherheitssoftware von Kaspersky. In einem Tweet sprach er von „einem System-Exploit“, der sich aus der Ferne und ohne Zutun des Anwenders für Angriffe einsetzen ließe. Er selbst habe einen Exploit für die Lücke entwickelt. Daher seien auch Cyberkriminelle ohne Weiteres in der Lage, die Sicherheit eines Systems mit darauf installierter Kaspersky-Antivirensoftware zu kompromittieren. Das Experiment mit einem Entlohnungssystem ist möglicherweise die Konsequenz.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Twitter beispielsweise hat vor zwei Monaten eine Bilanz seines Prämienprogramms auf HackerOne gezogen. Es zahlte innerhalb von zwei Jahren 322.000 Dollar an Finder von Sicherheitslücken. Ein einzelner Forscher verdiente 2015 insgesamt 54.000 Dollar mit Sicherheitslücken. Durchschnittlich schüttete das Unternehmen 835 Dollar aus. Für eine Schwachstelle, die Code-Ausführung aus der Ferne erlaubt, würde Twitter 15.000 Dollar zahlen, bisher wurde aber keine gemeldet.

Dieses Jahr haben Dropbox und Uber solche Programme ins Leben gerufen. Das von Uber umfasst seine Websites einschließlich der Testsite und jeweils beide Apps für Android und iOS. Die maximale Belohnung beträgt 10.000 Dollar. Als innovativ gilt sein Ansatz, Forschern eine „Schatzkarte“ der Architektur zu stellen, damit sie sich aufs Wesentliche konzentrieren können.

Dropbox belohnt Finder von Lücken in seinen Webanwendungen ebenso wie den Android- und iOS-Apps. Früher gemeldete Sicherheitslücken wurden nachträglich mit insgesamt 10.475 Dollar honoriert. Eine offizielle Obergrenze für Prämien gibt es nicht, in der Praxis waren es bisher 4913 Dollar.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

7 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago