In der IT-Branche hat sich mittlerweile die Erkenntnis durchgesetzt, dass hauseigene Bugs nicht ausschließlich von internen Sicherheitsforschern gefunden werden können. Gleichzeitig sind Geheimdienste genauso wie Cyberkriminelle darauf erpicht, Lücken in Betriebssystemen und Apps auszunutzen – und zahlen teilweise hohe Summen für das Wissen über Bugs. Deshalb setzen fast alle großen Firmen – etwa Microsoft, Google und Facebook – auf sogenannte Bug Bounty-Programme, mit denen Hacker für die Entdeckung von Bugs belohnt werden.

Invite-Only

Jetzt ist nach jahrelanger Wartezeit auch Apple zu dieser Riege hinzugestoßen. Der Konzern kündigte auf der Sicherheitskonferenz Black Hat ein Bug Bounty Programm an, über das bis zu 200.000 Dollar ausgeschüttet werden sollen. Allerdings geht Apple nach wie vor einen Sonderweg: So lädt der iPhone-Hersteller nur einen gewissen Personenkreis an Hackern ein, nach Fehlern zu suchen. Das schränkt die Sinnhaftigkeit des Programms natürlich etwas ein und sorgt auch für Stirnrunzeln.

"Schwierige Beziehung"

"Apple hatte in der Vergangenheit immer wieder eine schwierige Beziehung zu Forschern", sagt der Sicherheitsforscher Rich Mogull zu TechCrunch. Diese habe sich in den vergangenen zehn Jahren aber stetig verbessert. Gleichzeitig gab es in den vergangenen Jahren immer mehr Bugs in Apples Betriebssystemen iOS und OS X. Dass Apple mit den Summen, die zwischen 25.000 Dollar und 200.000 Dollar rangieren, in Konkurrenz zu FBI, NSA und Konsorten treten kann, ist unwahrscheinlich.

Anreize schaffen

Allerdings geht es dem Konzern wohl darum, den Kontakt zu Hackern zu erleichtern und einen Anreiz für die Meldung von Lücken zu schaffen. Eine unübliche Vorgehensweise hat sich Apple übrigens auch überlegt: Spenden Hacker die Belohnung an eine wohltätige Organisation, wird der Betrag von Apple verdoppelt. (red, 5.8.2016)