Knapp über der Armutsgrenze

So viel verdienen Security-Experten als Schwachstellenjäger

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Eine aktuelle Untersuchung wirft neues Licht auf ein altes Problem - und nährt den Verdacht, Software-Herstellern ist es gar nicht so wichtig, Sicherheitslücken in ihren Produkten zu schließen.

In einem von Experten des MIT verfassten Buch über neue Ansätze für Cybersecurity wurde als Teilaspekt auch eine Untersuchung veröffentlicht, wie viel freie Programmierer und Sicherheitsexperten durch die Teilnahme an offiziellen Prämienprogrammen der Hersteller für gefundene Schwachstellen verdienen können. Im Rahmen dieser "Bug Bounty"-Programme, für die es mit HackerOne, Bugcrowd, Hackenproof oder Yeswehack mittlerweile mehrere Plattformen gibt, loben Hersteller Prämien für gemeldete Sicherheitslücken aus.

Software-Herstellern Sicherheitslücken zu melden ist ehrlich und verdientvoll - lukrativ leider nur in den wenigsten Fällen.
Software-Herstellern Sicherheitslücken zu melden ist ehrlich und verdientvoll - lukrativ leider nur in den wenigsten Fällen.
Foto: Nata-Lia - shutterstock.com

Entsprechende Initiativen gibt es nicht nur von Software-Herstellern wie Microsoft und Google, sondern auch von eher für Hardware bekannten Firmen wie HP und Intel oder sogar von Fertigungs- und Dienstleistungsunternehmen wie BMW. Auch Apple hat - relativ spät - 2016 ein Bug Bounty-Programm aufgelegt. Daneben locken IT-Security-Firmen wie Avira und Kaspersky mit Belohnungen, falls ihnen Fehler in eigenen oder Sicherheitslücken in fremden Produkten gemeldet werden.

Allerdings zahlen nicht alle Anbieter solcher Programme immer oder überhaupt eine Geldprämie. Viele halten es bereits für Lohn genug, wenn der ehrliche Entdecker in eine "Hall of Fame" aufgenommen und in einer möglichen Kommunikation zu der Lücke erwähnt wird. Zum Beispiel erfüllten nur vier bis fünf Prozent der über die öffentlich zugänglichen Bug-Bounty-Programme von Google, Facebook und GitHub gemeldeten Fehler die Anforderungen an eine finanzielle Prämie. Die Erwähnung und das Lob einer großen Firma mag in einigen Fällen eine gute Werbung sein, ob es zum Leben reicht, darf der Aufstellung von Trail of Bits dagegen bezweifelt werden.

Pokerspielen könnte lukrativer sein

Mitarbeiter des auf komplexe Security-Analysen spezialisierten IT-Dienstleisters Trail of Bits haben sich das neu veröffentlichte Buch und die Untersuchungen genauer angeschaut. Das Fazit der Experten - die von ihrer eigenen Auftragsarbeit für große Konzerne ganz gut leben können - fällt ernüchternd aus: Sich auf die Suche nach Sicherheitslücken zu spezialisieren, um davon leben zu können, sei etwa so aussichtsreich wie seinen Job aufzugeben, um den Lebensunterhalt künftig mit Pokerspielen zu verdienen. Oder anders gesagt: Es ist möglich, aber schwer und funktioniert nur selten.

Seinen Job aufzugeben, um den Lebensunterhalt mit Pokerspielen zu verdienen, könnte vernünftiger sein, als sich ausschließlich auf die Suche nach Sicherheitslücken zu konzentrieren und die Prämien der Hersteller zu hoffen.
Seinen Job aufzugeben, um den Lebensunterhalt mit Pokerspielen zu verdienen, könnte vernünftiger sein, als sich ausschließlich auf die Suche nach Sicherheitslücken zu konzentrieren und die Prämien der Hersteller zu hoffen.
Foto: Kucher Serhii - shutterstock.com

Lediglich ein Prozent der besten Schwachstellenjäger gelingt es, im Durchschnitt pro Monat etwa 0,87 Lücken zu finden und damit auf ein Jahresgehalt von etwa 34.000 Dollar zu kommen (aktuell rund 29.800 Euro). Hat man neben dem Job als Hacker noch eine insgesamt vierköpfige Familie, lebt man damit knapp über der Armutsgrenze (knapp 25.000 Euro pro Jahr). Für einen gut ausgebildeten, hochspezialisierten, freiberuflich tätigenden Experten ist das nicht attraktiv.

Zum Vergleich: Im Gastgewerbe könnte er mit einem Durchschnittslohn von derzeit etwa 2.400 Euro brutto mehr verdienen und wäre auch noch sozialversichert. Und zur Erinnerung: 34.000 Dollar war das von den Spitzenleuten erzielbare Einkommen. Die übrigen 99 Prozent der Sicherheitsforscher müssten mit weitaus weniger auskommen, wenn sie sich lediglich auf die Suche nach Schwachstellen beschränkten.

Was Sicherheitslücken wert sind

Das Problem ist grundsätzlich schon länger bekannt. Neu ist, dass es nun durch belastbare Zahlen belegt ist. Insbesondere in wirtschaftlich schwächeren Ländern mit einer großen Zahl gut ausgebildeter Menschen ist daher die Versuchung groß, andere Abnehmer für die mühsam erzielten Erkenntnisse zu suchen. Schon 2014 berichteten Experten von Symantec, dass Zero-Day-Lücken auf dem Schwarzmarkt häufig für Beträge zwischen 50.000 und 100.000 Dollar veräußert werden. Inzwischen dürften die erzielbaren Einnahmen dort deutlich höher sein.

Richtig "gute Sicherheitslücken" müssen zudem nicht einmal illegal vermarktet werden. Firmen wie Exodus und Zerodium, die in einer Grauzone operieren und Wissen über Sicherheitslücken lieber an Behörden und Geheimdienste verkaufen, als an die Hersteller der betroffenen Software, zahlen zum Beispiel zwischen 500.000 und zwei Millionen Dollar für einen Exploit in iOS, 100.000 bis 125.000 Dollar für eine sofort nutzbare Schwachstelle in Microsoft Edge, 200.000 Dollar für eine Lücke im Mail-Programm Thunderbird und 225.000 in Microsoft Exchange.

Lesen Sie auch: Was bedeutet eigentlich Cyber Security?

So lange Behörden und Geheimdienste solche Lücken mit Steuergeldern teuer ankaufen und für ihre Zwecke nutzen, besteht wenig Aussicht, dass sich findige Köpfe in anderen Ländern mit den Almosen zufriedengeben, die ihnen die Hersteller anbieten. Sie müssen ja nicht einmal kriminell werden, um wesentlich mehr zu verdienen.

Dass die Prämien der Hersteller so niedrig sind, kann denen ebenfalls zum Vorwurf gemacht werden. Beträge von ein paar Tausend Euro sind ein Hohn, angesichts der Kosten, die das Unternehmen hätte, wenn es seine Produkte durch (mehr) festangestellte Experten überprüfen und nach Schwachstellen durchforsten ließe.

Zur Startseite