Apple startet eine Charmeoffensive, um Sicherheitsforscher und Hacker auf seine Seite zu ziehen. Offensive heißt in diesem Fall: Apple hat seinen Sicherheitschef Ivan Krstić auf die Bühne der Hackerkonferenz Black Hat nach Las Vegas geschickt. Und Charme heißt: Geld.

Krstić kündigte an, das Unternehmen werde endlich ein sogenanntes Bug-Bounty-Programm auflegen. Wer Sicherheitslücken in Apple-Produkten findet und meldet, bekommt künftig im Gegenzug bis zu 200.000 US-Dollar. Das ist mehr, als jedes andere US-Unternehmen zahlt. Einerseits.

Andererseits kommt der Schritt reichlich spät und mit einigen Einschränkungen – und möglicherweise sind auch 200.000 Dollar viel zu wenig.
Nicht jeder darf mitmachen

Zunächst die Fakten: Apple ist das letzte große US-Technikunternehmen, das Bug Bountys vergibt. Bisher hat es die Namen von externen Sicherheitsexperten, die Schwachstellen meldeten, nur lobend auf seiner Website erwähnt. Google, Facebook, Microsoft, Amazon, Uber und viele andere hingegen zahlen zum Teil seit Jahren bares Geld. Im Fall von Google waren es allein 2015 rund 550.000 US-Dollar.

Im September beginnt das Apple-Programm. Aber nicht jeder wird sofort mitmachen können. Zunächst will Apple nur mit einigen wenigen Sicherheitsforschern und Organisationen zusammenarbeiten, denen es vertraut. So will Apple verhindern, allzu viele unseriöse Angebote überprüfen zu müssen. Nach und nach soll der Zugang zum Bug-Bounty-Programm aber ausgeweitet werden.

Der Streit mit dem FBI ließ Apple umdenken

Um den Maximalbetrag für eine Sicherheitslücke zu bekommen, muss man eine Schwachstelle im Secure-Boot-Modus von Apples Firmware nachweisen, also in der Ebene noch unterhalb des Betriebssystems, in der besonders bösartige Angriffe stattfinden können. Wer einen Weg entdeckt, Informationen aus Apples speziellem Sicherheitschip, der Secure Enclave, zu extrahieren, kann mit bis zu 100.000 Dollar rechnen. Ein Hinweis, wie Unbefugte an iCloud-Daten gelangen können, ist Apple 50.000 Dollar wert. Letzteres ist ein Hinweis darauf, wie peinlich Apple der Hack der iCloud-Konten mehrerer Hollywood-Promis vor zwei Jahren war, auch wenn das Unternehmen damals jede Schuld von sich wies.

Dass Apple sich nun endlich bereit erklärt, externe Hilfe bei der Sicherung seiner Produkte anzunehmen und dafür zu bezahlen, liegt auch am Streit des Unternehmens mit dem FBI nach dem Attentat von San Bernardino. Die US-Bundespolizei wollte Apple gerichtlich dazu zwingen lassen, ein iPhone des Täters zu hacken. Sie verlangte die Entwicklung einer speziellen Version des Betriebssystems iOS, die Apples eigene Sicherheitsmaßnahmen aushebeln würde. Apple sah das als gefährlichen Präzedenzfall an und wehrte sich juristisch und mit großem PR-Aufwand dagegen. Letztlich fand und bezahlte das FBI eine Firma, die das iPhone auch ohne Apples Hilfe knackte.

Tags: