Apple verspricht bis zu einer Million Dollar für Sicherheitslücken

Der 19-jährige Argentinier Santiago Lopez hat noch 1670 verschiedene Bugs aufstöbern müssen, um der erste Bug-Bounty-Millionär zu werden. Wenn es nach dem iPhone-Konzern geht, ist dies ab sofort viel schneller möglich.
 
Denn Apple hat die Belohnung für das Auffinden von Sicherheitslücken in seiner Software deutlich von bisher maximal 200'000 auf nun bis zu einer Million Dollar hochgeschraubt. Dazu muss man allerdings besonders schwerwiegende Schwachstellen entdecken, die Angreifer erlauben, ohne Zutun des Nutzers auf den Kern des Betriebssystems zuzugreifen.
 
Die Erhöhung der "Bug-Bounty" kommt, während auf dem Markt zum Teil Millionen für iPhone-Schwachstellen geboten wurden. Apple gibt die Belohnungen künftig auch nicht nur für Lücken im iPhone-System iOS, sondern auch bei Software anderer Apple-Geräte.
 
Für Schwachstellen, die in Vorabversionen neuer Betriebssysteme gefunden werden, legt Apple noch einmal 50 Prozent drauf, wie der zuständige Manager Ivan Krstic auf der IT-Sicherheitskonferenz Black Hat in Las Vegas ankündigte.
 
Zudem sollen Experten vom kommenden Jahr an für ihre Nachforschungen speziell vorbereitete iPhones mit freierem Zugang zum System als in Verbrauchergeräten bekommen können.
 
Der Finderlohn ist nach Schwere der Schwachstellen gestaffelt. So gibt es etwa Prämien von bis zu 100'000 Dollar, wenn man es durch den Sperrbildschirm schafft oder einen Weg findet, über eine präparierte App an wertvolle Nutzer-Daten heranzukommen. Auch unerlaubter Zugang zu iCloud-Kontodaten auf Apple-Servern wird ähnlich behandelt. Bis zu 500'000 Dollar lässt sich der Konzern den Hinweis auf Sicherheitslücken kosten, durch die ein Angreifer über das Netz an Nutzerinformationen kommen kann. Früher waren die Belohnungen mit 25'000 bis 200'000 Dollar quer durch die Bank deutlich niedriger.
 
Für Apple ist die Datensicherheit vor allem bei iPhones ein wichtiges Verkaufsargument. Der Konzern betreibt dafür einen hohen Aufwand, unter anderem mit einem separaten Datentresor im Prozessor. Apple riskierte deswegen 2016 auch einen Rechtsstreit mit dem FBI: Das Unternehmen weigerte sich, eine Software zu schreiben, mit der man ein gesperrtes iPhone aufknacken könnte.
 
Zugleich gibt es Unternehmen, die behaupten, dank entdeckter Sicherheitslücken Schutzmechanismen der iPhones aushebeln zu können. Solche Firmen bieten ihre Dienste typischerweise Sicherheitsbehörden an. Auch dem FBI gelang es seinerzeit nach eigenen Angaben mit der Hilfe eines solchen Dienstleisters, ein iPhone zu knacken. (vri/Keystone-sda)