Kopfgeldjagt im World Wide Web

Sicherheitslücken können Webseitenbetreiber, Softwareentwickler und IT Experten letztlich den Ruf auf Dauer schädigen.

Werden Sicherheitslücken in diesen Produkten entdeckt, kann der Finder bei einigen bekannten Unternehmen eine finanzielle Belohnung abholen. Nach Meinung von Mozilla und Google ist das Kopfgeld eine Anregung und hilft, schneller Sicherheitspatches bereit zu stellen. Google befürwortet die Details zu den entsprechenden Bugs spätestens 60 Tage nach ihrer Entdeckung zu veröffentlichen, damit die Zeit ausreicht, den Fehler zu korrigieren.

Sicherheitsexperten melden sicherheitsrelevante Lücken in Programmen meist nur noch gegen finanzielle Gegenleistung an den Hersteller. Auf diesen Aspekt reagiert Mozilla und Google mit einem finanziellen Ausgleich. Mozilla und Google planen ihre Belohnungen zu erhöhen. Gerüchten zufolge wollen die Unternehmen in Zukunft etwa 3000 Dollar (etwa 2320 Euro) pro gefundene Lücke zahlen.

Doch ganz so einfach geht es nun auch wieder nicht, wer Geld sehen will, muss einige Bedingungen erfüllen.  So muss es sich beim “Mozilla Security Bug Bounty Program” um Lücken handeln, die in aktuellen Programmversionen existieren, Plugins (Erweiterungen) von Dritten für den Firefox-Browser sind dagegen ausgeschlossen.

Chrome, Firefox & Co. sind gratis erhältliche Anwendungen und die darin behobenen Sicherheitslücken kommen somit allen Benützern zugute. Die Microsoft-Taktik setzt auf das Gegenteil und lehnt das Kopfgeld für die Headhunters unter den Sicherheitsexperten ab. Microsoft erwähnt lediglich die Entdecker in ihren Security-Bulletins, die nach Meinung von Jerry Bryant, Sicherheitsbeauftragter bei Microsoft, ganz gut funktionieren würde. Doch sicherlich werden früher oder später diese Sicherheitsexperten eher den zahlenden Arbeitgeber ansteuern.

Die Meinungen gehen hier wohl auseinander: Obwohl Mozilla von ihrem Projekt überzeugt ist und die vorzeigbaren Resultate zeigen deutlich, das die finanzielle Entlohnung das zügige Auffinden von Sicherheitslücken nützt. Fraglich im Gegenzug: Gibt es bald nur noch Sicherheit gegen Bares?

Kopfgeldjagt im World Wide Web, 6.0 out of 6 based on 1 rating
Tags: Branche, Patches, Sicherheitslücken, Finanzieller Ausgleich, Mozilla Security Bug Bounty Program, Virtuelle Welten, Top Themen, Web Technik, Netzwelt