Intel bietet für Side-Channel-Lecks bis zu 250.000 Dollar

Intel gibt Neuerungen am dem Programm bekannt, bei dem Fehler gegen eine Belohnung an den Hersteller gemeldet werden können. Sicherheitsforscher können jetzt mit entdeckten Lecks bis zu 250.000 Dollar verdienen. Diese Summe lobt Intel jetzt für so genannte Side-Channel-Lecks aus. In diese Kategorie fallen auch die drei Fehler, die allgemein als Spectre und Meltdown bezeichnet werden. Dieses gesonderte Programm läuft noch bis Ende des Jahres.

Wer bislang an Intels Bug-Bounty-Programm teilnehmen wollte, musste dafür eine Einladung bekommen. Jetzt öffnet Intel das Programm für alle Interessierten. Damit wächst natürlich auch der Pool der möglichen Informanten. Intel hatte dieses Programm im März 2017 gestartet.

Intel will damit einen Prozess koordinieren, um Sicherheitslecks möglichst schnell schließen zu können, bevor diese in die Öffentlichkeit gelangen. Intel kämpft derzeit mit den Sicherheitslecks Meltdown und Spectre. Und offenbar versucht Intel die Sicherheit der Produkte auch über die Community zu verbessern. Für Intel ist dies auch ein Weg, das angekratzte Image wieder zu polieren. Kritiker werfen dem Unternehmen vor, bei der Veröffentlichung der genannten Fehler, die den überwiegenden Teil sämtlicher PCs und Server betreffen, zahlreiche Fehler gemacht zu haben.

Daher stockt Intel auch den Betrag für gefundene Sicherheitsrisiken auf 100.000 Dollar auf. Künftig werde Intel das Programm auch weiter entwickeln, verspricht der Hersteller. Dieser Schritt ist Teil einer Strategie, die für mehr Sicherheit bei den Produkten sorgen soll. „Wir glauben, dass diese Änderungen es uns erlauben, auf breiterer Ebene mit der Sicherheits-Community zusammenzuarbeiten und so bessere Anreize für koordinierte Antworten und Veröffentlichungen zu schaffen, was letztlich einen besseren Schutz für die Anwender und ihre Daten bedeute“, so Rich Echevarria, Vice Presiden und General Manager der Platform Security bei Intel.

Dennoch macht Intel sehr genaue Vorgaben, auf welche Weise und unter welchen Bedingungen Sicherheitsexperten Sicherheitslecks melden können. So müssen die Fehler beispielsweise verschlüsselt übertragen werden und Angestellte müssen die schriftliche Erlaubnis des Arbeitgebers vorweisen können. Neben Intel-Hardware und Firmware können auch Fehler in verschiedenen Software-Produkten wie Treiber, Anwendungen oder Tools gemeldet werden. Bislang hat Intel in dem Programm über 90.000 Dollar als Belohnungen ausbezahlt. Ein Finder bekommt mindestens 500 Dollar. Im Schnitt werden jedoch 5000 Dollar ausbezahlt. Die höchsten Prämien bewegten sich bislang im Bereich zwischen 10.000 und 30.0000 Dollar, wie Intel auf dem Bug-Bounty-Portal HackerOne mitteilt.