Bug Bounty: Microsoft zahlt Prämien für Sicherheitslücken in fremdem Code
-
Martin Geuß
- 15. Dezember 2025
Wer in einer Software eine Sicherheitslücke findet und diese an den zuständigen Hersteller meldet, kann dafür eine Belohnung erhalten. Alle renommierten Hersteller betreiben zu diesem Zweck sogenannte „Bug Bounty“ Programme. Microsoft führt bei seinen Produkten eine interessante Neuerung ein.
„In scope by default“ – wörtlich übersetzt „standardmäßig im Umfang“ – heißt das neue Prinzip, welches auf dem Microsoft Security Blog angekündigt wurde.
Das bedeutet: Ab sofort zahlt Microsoft eine Belohnung, sobald erwiesen ist, dass eine entdeckte Sicherheitslücke einen unmittelbaren Einfluss auf einen Microsoft-Onlinedienst hat. Dabei spielt es keine Rolle, ob es sich dabei um Code handelt, den Microsoft selbst geschrieben hat, ob dieser von einem Drittanbieter oder aus einer Open-Source-Quelle stammt.
Bislang hat sich Microsoft im Rahmen der Bug Bounty Programme nur für den eigenen Code „haftbar“ gemacht. Jetzt zahlt man die Prämie also auch für fremden Code und verpflichtet sich, alles dafür zu tun, dass der Fehler beseitigt und die Sicherheitslücke geschlossen wird.
Zudem spielt es künftig keine Rolle mehr, ob für einen Microsoft-Onlinedienst ein explizites Belohnungsprogramm existiert. Eine Prämie gibt es in jedem Fall.
Im vergangenen Geschäftsjahr hat Microsoft über seine Bug Bounty Programme 17 Millionen Dollar ausgeschüttet. Gut investiertes Geld, denn der Schaden, den eine Sicherheitslücke in den falschen Händen anrichten kann, geht weit darüber hinaus.
Thema:
- Sicherheit
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 19 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!
