Viele große Unternehmen führen spezielle Programme durch, die Sicherheitsexperten ermutigen, nach Fehlern zu suchen, ebenso wie alle anderen, die über die Erfahrung verfügen, schwerwiegende Schwachstellen oder Fehler zu entdecken, die zum Missbrauch von Benutzerdaten genutzt werden könnten. Ein solches Programm gibt es auch bei Apple, wo gerade bekannt gegeben wurde, dass die maximale Belohnung für das Aufspüren der schwerwiegendsten Fehler verdoppelt wird: von 1 Mio. $ auf 2 Mio. $ für die schwerwiegendsten Fehler, aber mit Boni für den Erfolg kann die maximale Belohnung für eine erfolgreiche Aktion sogar noch höher sein.
Die Erhöhung der Preisgelder wurde stilvoll auf der Hexacon 2025 angekündigt, einer Konferenz, bei der die Sicherheit im Mittelpunkt steht und auf der sich jedes Jahr die Besten der Besten einfinden. Nach Angaben von Apple wurden seit 2020, als das Programm zur Fehlersuche ins Leben gerufen wurde, mehr als 35 Millionen Dollar an Fachleute ausgezahlt, mehr als 800 von ihnen, die im Durchschnitt 43.750 Dollar pro Person verdienen. Die 500.000 Dollar Belohnung wurden in dieser Zeit von mehr als 800 Personen verdient, was zeigt, dass die Initiative von Apple ein durchschlagender Erfolg ist.
Der Preis von 2 Millionen Dollar erfordert natürlich eine Menge harter Arbeit, um eine ausgeklügelte Kette von Schwachstellen aufzudecken, die eine sehr ernste Bedrohung für das System oder für bestimmte Anwendungen und Sicherheitsfunktionen darstellen. Apple bietet außerdem einen Sonderbonus für diejenigen an, denen es gelingt, den Lockdown-Modus zu knacken oder Schwachstellen in Beta-Software von Apple zu finden, so dass die potenzielle Auszahlung bis zu 5 Millionen Dollar betragen kann, wenn mehr als eine Schwachstelle gefunden wird.
Für diejenigen, die die iCloud-Sicherheit knacken oder sogar einen drahtlosen Angriff über Funktechnologien durchführen können, könnte es eine Belohnung von bis zu 1 Million Dollar geben, während diejenigen, die einen Ein-Klick-Exploit erstellen können, mit dem WebKit den Sandbox-Modus umgehen kann, bis zu 300.000 Dollar erhalten könnten. Die Umgehung des Gatekeepers auf macOS wird ebenfalls mit einer saftigen Belohnung von bis zu 100.000 US-Dollar für die Glücklichen und Geschickten belohnt.
Natürlich ist Apple nicht das einzige Unternehmen in der Branche, das ein ähnliches Programm anbietet. Intel und AMD bieten bis zu 100.000 bzw. 30.000 Dollar für die gefährlichsten Entdecker von Sicherheitslücken. Microsoft hat eine Obergrenze von 250.000 Dollar, aber die Altersgrenze wurde herabgesetzt, so dass 13-Jährige an dem Programm teilnehmen können, nachdem einer ihrer Altersgenossen einen sehr guten Fang gemacht und mehr als 20 Sicherheitslücken gemeldet hat.
Meta belohnt Fehlerjäger seit 2011 mit einer maximalen Auszahlung von 300.000 Dollar, und auch hier war das Programm erfolgreich: Bisher wurden 25 Millionen Dollar an Fehlerjäger ausgezahlt. Auch Google hat ein ähnliches Programm, das Vulnerability Reward Program, das seit 2010 läuft. Das Google-Team bietet Belohnungen von einigen hundert Dollar bis zu mehreren Millionen Dollar an, je nach Schweregrad der entdeckten Fehler. 2024 wurden insgesamt 11,8 Millionen Dollar an 660 Sicherheitsforscher ausgezahlt, das sind etwa 17.800 Dollar pro Person.
Für Sicherheitsforscher, die über die notwendigen Fähigkeiten verfügen, lohnt es sich, diese Tätigkeit in ihrer Freizeit auszuüben, da sie für einen schwerwiegenden Fehler eine beträchtliche Belohnung erhalten können. Diese Programme sind auch für Unternehmen wichtig, da die Belohnungen, die bei der Wanzenjagd gezahlt werden, den potenziellen finanziellen und rufschädigenden Schaden, den ein erfolgreicher Angriff verursachen kann, in den Schatten stellen.
