Microsoft erweitert Bug-Bounty-Programm
Microsoft weitet sein Bug-Bounty-Programm deutlich aus und reagiert damit auf veränderte Angriffsrealitäten in Cloud- und KI-Umgebungen. Künftig sollen Sicherheitslücken standardmäßig als relevant gelten, selbst wenn sie nicht direkt im eigenen Code liegen.
Microsoft hat eine grundlegende Änderung seiner Sicherheitsforschungspolitik angekündigt. Unter dem neuen Leitprinzip "In Scope by Default" erweitert das Microsoft Security Response Center (MSRC) den Geltungsbereich seines Bug-Bounty-Programms auf alle Onlinedienste des Unternehmens. Ziel ist es, Sicherheitsforschung stärker an realen Angriffspfaden auszurichten und Schwachstellen dort zu adressieren, wo sie für Kunden tatsächlich relevant werden.
Software-Abhängigkeiten im Blick
Hintergrund der Neuausrichtung ist die Beobachtung, dass Angreifer längst nicht mehr zwischen einzelnen Produkten, Anbietern oder Codebasen unterscheiden. In cloud- und KI-zentrierten Architekturen entstehen Sicherheitsprobleme häufig an Schnittstellen, in Abhängigkeiten oder durch das Zusammenspiel mehrerer Komponenten. Microsoft will daher gezielt Forschung fördern, die auch Drittsoftware, kommerzielle Abhängigkeiten und Open-Source-Komponenten einbezieht, sofern diese direkten Einfluss auf Microsofts Onlineservices haben.
Konkret bedeutet dies: Wird eine kritische Schwachstelle entdeckt, die nachweislich Auswirkungen auf Microsoft-Dienste hat, kann sie künftig für eine Prämierung infrage kommen – unabhängig davon, ob der betroffene Code von Microsoft selbst, einem Drittanbieter oder aus einem Open-Source-Projekt stammt. Damit schließt Microsoft eine bisherige Lücke, da viele externe Komponenten bislang nicht unter ein formales Bug-Bounty-Programm fielen, obwohl sie integraler Bestandteil moderner Clouddienste sind.
Neue Dienste automatisch an Bord
Zusätzlich dehnt Microsoft den erweiterten Geltungsbereich auf eigene Domains und Cloudinfrastrukturen aus. Sicherheitsforscher sollen explizit ermutigt werden, diese Umgebungen aus einer Angreiferperspektive zu analysieren, sofern sie sich an die festgelegten Regeln für verantwortungsvolle Sicherheitsforschung halten. Neue Onlinedienste fallen automatisch ab dem Zeitpunkt ihrer Veröffentlichung unter den erweiterten Scope, ohne dass separate Programme definiert werden müssen.
Microsoft verweist in diesem Zusammenhang auch auf die wirtschaftliche Dimension der Zusammenarbeit mit der Sicherheitscommunity. Im vergangenen Jahr wurden über Bug-Bounty-Programme und das Live-Hacking-Event "Zero Day Quest" mehr als 17 Millionen US-Dollar für sicherheitsrelevante Forschung ausgezahlt. Mit dem neuen Ansatz will das Unternehmen die Anreize weiter erhöhen und Sicherheitsforschung dort bündeln, wo das Risiko für Kunden am höchsten ist.