Sicherheit ist in der Softwarewelt ein hohes Gut. Doch selbst große IT-Konzerne sind sich bewusst, dass auch ihre Entwickler angesichts der zunehmenden Komplexität heutiger Programme Lücken übersehen können. Daher betreiben viele Firmen sogenannte "Bug Bounty"-Initiativen.

Das Prinzip: Wer einen bislang unbekannten Fehler oder ein Sicherheitsproblem in einer Software entdeckt und meldet, wird mit Geld belohnt. Je nachdem, wie gravierend die jeweilige Lücke ist und wie gut man sie dokumentiert, fällt der Betrag aus. Für kritische Funde werden häufig zehn- bis hunderttausende Dollar ausgeschüttet. Nicht allerdings so bei einem jungen Mann aus Indien, der eine Schwachstelle beim Messenger Whatsapp aufgespürt hatte.

Lösung mitgeliefert

Worin die Lücke genau bestand, ist nicht bekannt. Jedenfalls schickte der 19-jährige Business-Tech-Student K. S. Ananthakrishna seine Erkenntnisse vor rund zwei Monaten an die Whatsapp-Mutterfirma Facebook. Der Fehler soll es ermöglicht haben, in fremde Konten einzudringen und dort Daten zu löschen, was sich allgemein wohl als "kritisch" definieren lässt.

Nicht nur das, der junge Entwickler machte auch gleich einen Vorschlag, wie man die Schwachstelle beheben könnte. Letztlich griff man diesen bei Whatsapp auch auf und implementierte ihn.

Fragwürdiges Vorgehen

Bei der Auszahlung gab sich der Konzern allerdings knausrig. Ananthakrishna landet für seine Entdeckung in einer Hall of Fame-Liste des Konzerns. Darüber hinaus zahlt man ihm 500 Dollar aus, schreibt der Financial Express. Laut den Bestimmungen für das Bug Bounty-Programm ist das der absolute Minimalbetrag für als belohnungswürdig erachtete Funde.

Dieses Vorgehen sorgt mittlerweile für Kritik. Es steht in Frage, ob Facebook mit dieser Vorgangsweise ein gutes Beispiel gesetzt hat. Denn neben den Techfirmen selbst, gibt es auch andere Unternehmen, die Geld für die Meldung von unbekannten Sicherheitslücken anbieten, die sie dann ihren Kunden zur Verfügung stellen – die etwa auch aus dem Bereich der Sicherheitsbehörden kommen. Die in Aussicht stehenden Beträge sind, soweit öffentlich gelistet, stattlich. Zerodium etwa bietet für neue "Zero Days" bis zu zwei Millionen Dollar. (gpi, 07.06.2019)