Wer Bugs in iOS findet, kann von Apple viel Geld bekommen. Ein privates Unternehmen zahlt sogar noch mehr. Der Grund für die hohe Belohnung ist aber nicht altruistisch, das Geschäft mit den Software-Lecks ist lukrativ.

Im Bereich der Computersicherheit ist viel Geld zu holen. Cyberkriminelle setzen momentan besonders gerne auf Erpresser-Programme. Die sogenannte Ransomware gelangt oft über verseuchte Websites oder E-Mails auf den PC und verschlüsselt dort alle Dateien. Einziger Ausweg: Lösegeld zahlen. Doch auch mit dem Suchen und Finden von Sicherheitslücken kann man reich werden. Mit sogenannten Bug-Bounty-Programmen entlohnen große Software-Unternehmen wie Facebook oder Microsoft die Entdecker von Sicherheitslecks in den eigenen Diensten. Jetzt startet auch Apple ein finanzstarkes Bug-Bounty-Programm - und bekommt gleich Konkurrenz.

Apple macht's jetzt auch

Im Rahmen der "Black Hat"-Konferenz gab Apple bekannt, dass der Startschuss für sein Programm noch im September fallen werde, berichtet "Techcrunch". Wer künftig Sicherheitslücken in iOS oder Mac OS X entdeckt, wird von den Kaliforniern mit bis zu 200.000 US-Dollar entlohnt. Insgesamt soll es fünf Kategorien mit abgestufter Bezahlung geben, wie "ifun.de" aufschlüsselt:

Für Sicherheitslücken in der "secure boot firmware" der eigenen Geräte zahlt Apple demnach bis zu 200.000 Dollar. Lecks, die den Schutz von vertraulichem Material des "Secure Enclave Processor" des iPhones aushebeln, sind 100.000 Dollar wert. Wer Schad-Code mit "Kernel-Privilegien" ausführen oder Apples iCloud-Server kompromittieren kann, bekommt je 50.000 Dollar. Und Programmierer, deren Apps aus Apples Sandobx ausbrechen können, bekommen 25.000 Dollar.

Das Bug-Bounty-Programm soll natürlich als Anreiz dienen, Apple bei der Fehlersuche und -behebung zu helfen. Um teilzunehmen, muss der Fehler mit dem jeweils aktuellen Betriebssystem reproduziert werden können und ein "Proof of Concept", also ein Machbarkeitsbeleg, vorgelegt werden. Feine Geste: Wenn ein Kopfgeldjäger seine Belohnung für gute Zwecke an eine gemeinnützige Organisation spenden will, verdoppelt Apple die Summe.

Dritte zahlen noch mehr

Apple ist aber nicht das einzige Unternehmen, das für Lecks in der eigenen Firmware viel Geld bezahlt: Das private Unternehmen "Exodus Intelligence" legte jetzt eine "Hitlist" vor, aus der die Preise für Treffer auf einzelnen Software-Plattformen hervorgehen, berichtet "The Verge". Krass: Für Sicherheitslecks bei iOS 9.3 und höher zahlt die Firma bis zu 500.000 US-Dollar. Bugs bei den Browsern Google Chrome werden mit bis zu 150.000 Dollar (Chrome) und 125.000 Dollar (Edge) bezahlt. Lücken bei Adobes auslaufendem Sorgenkind Flash bringen immerhin 60.000 Dollar ein.

Die Absichten von Exodus Intelligence sind klar: Das Unternehmen will die Lücken gewinnbringend weiterverkaufen. An die betroffenen Hersteller von Geräten oder Software, an Entwickler von Sicherheitssoftware, an Regierungsorganisationen und Geheimdienste - oder auch an Kriminelle, die die Lücken für ihre Machenschaften ausnutzen. Offenbar macht die Firma mit ihren Daten gute Geschäfte: Abonnenten zahlen jährlich 200.000 Dollar aufwärts, um Zugriff auf die Datenbank zu haben. Die Kundschaft von Exodus besteht laut The Verge sowohl aus Sicherheitsunternehmen und Antivirus-Software-Herstellern als auch aus Klienten, die einen Weg in geschützte Systeme finden wollen - zum Beispiel Regierungsorganisationen.