Wie Hacker mit Sicherheitslücken Millionen verdienen – und wer sie dafür bezahlt
Sogenannte Zero-Day-Exploits sind Sicherheitslücken in Apps oder gar ganzen Betriebssystemen, die bislang unentdeckt geblieben sind. Die Hersteller:innen haben also keine Ahnung, dass ihr System über einen Umweg offengelegt werden kann und infolgedessen die Daten der Nutzer:innen in Gefahr geraten.
Unternehmen wie Crowdfense geben Hacker:innen für das Aufspüren solcher Exploits eine Menge Geld. Die Hacks können an Regierungsbehörden weiterverkauft werden, die damit etwa Kriminelle unerkannt tracken oder abhören können.
Millionen für Whatsapp-, iPhone- und Google-Hacks
Das meiste Geld bekommen Hacker:innen, wenn sie SMS- und MMS-Dienste per Hack aushebeln können. Hier reicht die Belohnung – je nach Schwere des Exploits – von sieben bis neun Millionen US-Dollar.
Mobile Betriebssysteme erzielen ebenfalls hohe Preise. Für einen Zero-Day-Exploit in Android gibt es fünf Millionen Dollar, für iOS sogar bis zu sieben Millionen Dollar.
Browser stehen bei Hacker:innen auch hoch im Kurs. So gibt eine Sicherheitslücke in Google Chrome bis zu drei Millionen Dollar. Wer den Code des Apple-Browsers Safari knacken kann, bekommt bis zu 3,5 Millionen Dollar.
Zu guter Letzt gibt es für Messenger eine Menge Geld. Whatsapp steht mit drei bis fünf Millionen Dollar Belohnung genauso hoch im Kurs wie Apples iMessage. Andere Dienste wie Telegram oder Threema stehen zwar ebenfalls in der Übersicht, aber ohne konkrete Belohnung.
Preise für Hacks steigen weiter an
Bereits 2019 hatte Crowdfense eine Liste mit Preisen für Zero-Day-Exploits veröffentlicht, wie Security Affairs berichtete. Damals lag die höchste Belohnung bei drei Millionen Dollar. In der Zwischenzeit sind die Preise also stark angestiegen.
Der Grund: Unternehmen wie Google, Apple und Meta machen es immer schwerer, ihre Systeme zu umgehen. Sie haben ihre ganz eigenen internen Cybersecurity-Teams, die solche Lücken aufspüren und beheben, bevor jemand davon weiß.
Zudem bieten viele Firmen eigene „Bug Bounty“-Programme an. In diesen bieten sie ebenfalls finanzielle Belohnungen, wenn die Exploits von Außenstehenden gemeldet werden.
Wie Security Week berichtet, bezahlen die Firmen jedes Jahr große Summen für die Programme. So hat Apple seit 2019 etwa 20 Millionen Dollar ausgezahlt, Microsoft zahlt knapp 13 Millionen Dollar pro Jahr und Google kommt im Jahr auf etwa zwölf Millionen Dollar.