Thought Leadership
Zwischen Juli 2024 und Juni 2025 hat Microsoft im Rahmen seines Bug-Bounty-Programms eine Rekordsumme von 17 Millionen US-Dollar an 344 Sicherheitsforscher aus 59 Ländern ausgeschüttet.
Diese Experten lieferten insgesamt 1.469 qualifizierte Schwachstellenberichte, die dem Unternehmen dabei halfen, über 1.000 Sicherheitslücken in verschiedenen Produkten und Diensten zu schließen.
Sicherheitslücken weltweit identifiziert
Die gemeldeten Schwachstellen betrafen zentrale Produkte wie Azure, Microsoft 365, Dynamics 365, Windows, die Power Platform, Edge und Xbox. Das höchste Einzelhonorar betrug dabei 200.000 US-Dollar – eine deutliche Wertschätzung für herausragende Beiträge zur IT-Sicherheit.
Laut Microsoft helfen diese Kooperationen mit unabhängigen Forschern dabei, Sicherheitsrisiken frühzeitig zu erkennen – insbesondere in Bereichen mit hoher Innovationsgeschwindigkeit wie Künstliche Intelligenz.
Microsoft betont, dass der Austausch mit der weltweiten Forschergemeinde wesentlich zur Stabilität und Vertrauenswürdigkeit ihrer Systeme beiträgt. Die Initiative folgt dem Prinzip der koordinierten Offenlegung: Sicherheitslücken werden verantwortungsvoll gemeldet und nach der Behebung veröffentlicht.
Schon im Vorjahr hatte Microsoft mit 16,6 Millionen US-Dollar eine vergleichbare Summe an 343 Forscher aus 55 Ländern ausgezahlt. Der Trend zeigt, wie bedeutend diese Art der Zusammenarbeit für das Sicherheitsökosystem geworden ist.
Ausweitung bestehender Programme
Im aktuellen Zyklus wurden mehrere Bug-Bounty-Programme erweitert:
- Copilot AI deckt nun auch klassische Online-Dienste ab.
- Für Dynamics 365 und die Power Platform wurde eine neue Kategorie für KI-bezogene Schwachstellen eingeführt.
- Im Windows-Programm wurden nun auch Remote-Denial-of-Service-Angriffe sowie lokale Sandbox-Escape-Szenarien prämiert.
- Das Identity-Programm umfasst zusätzliche APIs und Domänen.
- Im Defender-Programm wurden neue Bereiche aufgenommen, darunter Defender für Office, Cloud-Anwendungen und Identitätsschutz.
Neue Prämien
Besonders hervorzuheben sind die erhöhten Prämien für mittelgradige Sicherheitslücken in KI-Produkten wie Copilot sowie gesteigerte Belohnungen bis zu 40.000 US-Dollar für ausgewählte Schwachstellen in .NET und ASP.NET Core.
Microsoft plant für den diesjährigen „Zero Day Quest“, der als größtes Hacking-Event der Geschichte angekündigt wurde, Preisgelder von bis zu 5 Millionen US-Dollar auszuschütten.
Die kontinuierliche Ausweitung des Bug-Bounty-Programms zeigt, dass Microsoft strategisch auf die Expertise der globalen Sicherheitscommunity setzt. Besonders in Zeiten wachsender KI-Anwendungen ist diese Art der Zusammenarbeit entscheidend, um Sicherheitsrisiken proaktiv zu begegnen.
