Totaler Realitätsverlust? Apples Belohnungsprogramm für Sicherheitslücken verbittert Forscher

Da kommen sie einfach nicht zusammen: Für Apple ist sein Bug County-Programm zum Ankauf von Sicherheitslücken in seiner Software bahnbrechend, extraordinär und geradezu richtungsweisend in der Branche. Betrachtet man die Schilderungen von Sicherheitsforschern, die diesem Programm beitraten und beitreten wollten, mag man Apple einen drastischen Realitätsverlust bescheinigen.

Eins vorweg: Bei Geschichten wie dieser mit zwei Seiten sind deutlich auseinanderliegende Positionen die Regel, als die Ausnahme. Klar ist auch, dass Schilderungen frustrierter Parteien ein wenig relativiert gesehen werden sollten und das ein beteiligtes Unternehmen seine eigenen Maßnahmen selten öffentlich kritisch beurteilen wird. Vor diesem Hintergrund sind Äußerungen von Sicherheitsforschern wie Tian Zhang zu sehen, der Sicherheitslücken in Apple-Software nach Cupertino meldete.

Dennoch ist es möglich, zu einer halbwegs begründeten Einschätzung von Apples Bug Bounty-Programm zu gelangen, indem etwa ein vergleichender Ansatz verfolgt wird.

Worum geht’s?

Apple, Facebook, Microsoft oder Google, sie alle unterhalten sogenannte Bug Bounty-Programme. Daran können Sicherheitsexperten und alle anderen fähigen Fachleute teilnehmen und wenn sie kritische Schwachstellen in Unternehmenslösungen finden, erhalten sie Geld dafür. Apple war lange bekannt dafür, ausnehmend wenig bis gar nichts für solche Informationen zu zahlen. 2019 änderte sich das ein wenig: Das Programm wurde aufgerüstet und finanziell besser ausgestattet.

Für Apple ist das zwei Jahre danach Grund zu der Aussage, das eigene Bug Bounty-Programm sei ein geradezu überwältigend erfolgreiches Projekt und quasi für die ganze Branche ein leuchtendes Vorbild. Von Apple ist man eine solch überdrehte Unternehmenskommunikation gewohnt und weiß sie einzuordnen. Nun jedoch sprach die andere Seite.

Apple zahlt spät und schikaniert Forscher

Kommen wir zurück zu Tian Zhang: Dieser ist mit Apples wegweisendem Programm überhaupt nicht glücklich. Aus dem Developer-Programm habe man ihn geworfen, statt ihm eine aus seiner Sicht verdiente Belohnung auszuzahlen, erklärte der Experte bitter im Gespräch mit der Washington Post. Hatte er die Belohnung für einen gemeldeten Bug tatsächlich verdient? Das wissen wir ohne weitergehende Information nicht. Tatsache ist: Zhang behauptet, zwei Lücken an Apple gemeldet zu haben, in beiden Fällen erfolgte keine Reaktion. Eine Schwachstelle wurde behoben, die andere nicht.

Apple reagiert kaum auf gemeldete Schwächen

Tian Zhang ist nicht der einzige Unzufriedene, der von der Zeitung zitiert wird. Und neben den sich häufenden Vorwürfen, Apple würde Zahlungen oftmals verweigern oder endlos spät veranlassen, gibt noch ein weiterer Aspekt der Schilderungen zu denken. Übereinstimmend erwähnen viele Experten, Apple würde gemeldete und teils auch kritische Fehler über Jahre nicht beheben.

Dass Apples Programm offenbar nicht so branchenführend ist, zeigt überdies ein simpler Vergleich: Facebook zahlte 2020 rund 13,6 Millionen Geld als Belohnung für gemeldete Lücken aus, Google immerhin noch rund 6,7 Millionen Dollar. Bei Apple wurden nur 3,7 Millionen Dollar ausgeschüttet.

Übrigens: Apples Bug Bounty-Programm soll dieses Jahr einen neuen Chef bekommen. Wer das sein wird, ist noch nicht bekannt.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!