Google stellt Prämien für Sicherheitsforscher auf den Kopf

KI-Flut zwingt Konzern zu radikaler Neuausrichtung seines Prämienprogramms – Hardware-Lücken werden deutlich besser bezahlt.

Google überarbeitet sein Belohnungssystem für Sicherheitsforscher grundlegend. Der Technologieriese erhöht die Prämien für Android- und Hardware-Schwachstellen drastisch, während er die Zahlungen für bestimmte Software-Kategorien senkt. Grund dafür ist die wachsende Flut KI-generierter Sicherheitsmeldungen.

Während KI-Systeme die Cybersicherheit revolutionieren, entstehen gleichzeitig völlig neue Angriffsvektoren und regulatorische Anforderungen für Unternehmen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und technologischen Bedrohungen Unternehmer jetzt im Blick behalten müssen. Neue KI-Gesetze und Cyberrisiken: Kostenlosen Report anfordern

Rekordprämien für Android-Hardware-Hacks

Die größten Sprünge gibt es im Android-Bereich. Für einen Zero-Click-Exploit, der den Titan M-Sicherheitschip des Pixel dauerhaft kompromittiert, zahlt Google künftig bis zu 1,5 Millionen Euro – eine Steigerung um 50 Prozent gegenüber der bisherigen Obergrenze von einer Million Euro.

Auch andere Kategorien wurden deutlich aufgewertet:

• Titan M-Exploit ohne Persistenz: 750.000 Euro (bisher 500.000 Euro)
• Datenextraktion aus einem Secure Element: 375.000 Euro (bisher 250.000 Euro)

„Mit diesen siebenstelligen Summen will Google verhindern, dass Top-Forscher ihre Erkenntnisse an private Exploit-Händler verkaufen", kommentieren Sicherheitsexperten. Der Konzern setzt dabei auf vollständige Einreichungen mit Patches und funktionsfähigen Proof-of-Concept-Demos.

Chrome: Weniger Geld für KI-generierte Bugs

Anders sieht es beim Chrome-VRP aus. Hier senkt Google die Basisprämien für mehrere Schwachstellenkategorien – eine direkte Reaktion auf die Flut KI-generierter Meldungen. Plattformen wie Anthropics Claude Mythos und OpenAIs GPT-5.4-Cyber hätten die Einstiegshürde für die Fehlersuche drastisch gesenkt, so Branchenkenner.

Das Problem sei nicht mehr das Finden von Bugs, sondern das „Rauschen" automatisierter Reports. KI-Meldungen seien oft kaum reproduzierbar und belasteten die Sicherheitsteams unnötig. Konsequenz: Die Basisprämie für Memory-Safety-Probleme in Chrome liegt nun bei 500 Euro – Aufschläge gibt es nur noch bei nachweislicher Ausnutzbarkeit.

Bestimmte Boni für Arbitrary-Read/Write- und RCE-Lücken wurden ganz gestrichen. Diese Schwachstellen seien zum Hauptziel von KI-Tools geworden. Ein vollständiger Chrome-Exploit bleibt mit bis zu 250.000 Euro plus 250.000 Euro Bonus für die Umgehung von MiraclePtr aber weiterhin lukrativ.

Rekordjahr 2025: 17,1 Millionen Euro ausgeschüttet

Die Neustrukturierung folgt auf ein Rekordjahr: 2025 zahlte Google insgesamt 17,1 Millionen Euro an 747 Forscher weltweit – ein Anstieg um 40 Prozent gegenüber den 12 Millionen Euro im Vorjahr.

Die Rekordsumme war durch neue Initiativen getrieben:

• Ein spezielles KI-VRP
• Gezielte Live-Hacking-Events ("bugSWAT")
• Ein KI-Event in Tokio mit 70 Meldungen und 400.000 Euro Sofortauszahlung
• Ein Cloud-Sicherheits-Event in Sunnyvale mit 130 Reports und über 1,6 Millionen Euro

Die Einzelprogramme im Überblick:

• Android & Google Devices: über 2,9 Millionen Euro
• Chrome: über 3,7 Millionen Euro an mehr als 100 Forscher
• Cloud-VRP: rund 3,5 Millionen Euro an 143 Forscher

Auch das Open-Source-Engagement bleibt hoch: Google startete ein Prämienprogramm für OSV-SCALIBR, ein Tool zur Erkennung von Schwachstellen in Software-Abhängigkeiten.

Die neue Ökonomie der Fehlersuche

Die Überarbeitung fällt in eine Zeit, in der die gesamte Bug-Bounty-Branche unter Druck steht. Das Internet Bug Bounty (IBB)-Programm musste kürzlich sogar neue Einreichungen pausieren – die KI-Flut war nicht mehr zu bewältigen.

Google setzt nun auf „umsetzbare Reports": Präzise Einreichungen mit konkreten Beweisen und Validierungsartefakten. Die Ära der Massenmeldungen ist vorbei. Qualität menschlicher Analyse schlägt Quantität automatisierter Scans.

Angesichts der zunehmenden Automatisierung von Cyberangriffen durch KI-Tools müssen Firmen ihre Schutzmaßnahmen dringend anpassen. Erfahren Sie in diesem praxisnahen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig die neuesten gesetzlichen Anforderungen an die IT-Sicherheit erfüllen. Gratis-E-Book: IT-Sicherheit ohne teure Investitionen stärken

Trotz gesenkter Einzelprämien bei Chrome rechnet Google für 2026 mit einem erneuten Anstieg der Gesamtauszahlungen. „Einfache" Bugs zahlen weniger, doch die Prämien für komplexe, tiefgehende Forschung wachsen weiter.

Ausblick: Live-Hacking-Events und Jubiläum

Zum 15-jährigen Bestehen des VRP plant Google weitere exklusive Live-Hacking-Events in Las Vegas und Mexiko-Stadt. Zusammen mit der nächsten ESCAL8-Konferenz sollen sie die Zusammenarbeit in der Forschungsgemeinschaft fördern.

Die Branche beobachtet Googles Schritt genau. Als erster großer Konzern, der sein Prämienmodell radikal an die KI-Realität anpasst, setzt das Unternehmen einen Präzedenzfall. Die Botschaft ist klar: Je besser Maschinen werden, desto wertvoller wird menschliche Expertise bei den wirklich schweren Fällen.

de | wissenschaft | 69274589 |