Apple erhöht Bug-Bounty-Belohnung auf 2 Millionen Dollar für gefährlichste Exploits
Angesichts der boomenden Söldner-Spyware-Industrie verdoppelt Apple seine Höchstprämie – mit Bonuszahlungen können Sicherheitsforscher künftig bis zu 5 Millionen Dollar erhalten
Seit der Einführung seines Bug-Bounty-Programms vor fast einem Jahrzehnt hat Apple stets mit beachtlichen Höchstauszahlungen aufhorchen lassen – 200.000 Dollar im Jahr 2016 und 1 Million Dollar im Jahr 2019. Nun erhöht das Unternehmen die Einsätze erneut dramatisch. Auf der Hexacon-Konferenz für offensive Sicherheit in Paris kündigte Ivan Krstić, Apples Vice President für Security Engineering und Architektur, am Freitag, den 10. Oktober 2025, eine neue Höchstauszahlung von 2 Millionen Dollar für Exploit-Ketten an, die für Spyware-Angriffe missbraucht werden könnten.
Diese Verdoppelung der bisherigen Maximalprämie spiegelt wider, wie wertvoll ausnutzbare Schwachstellen in Apples hochgesicherten mobilen Ökosystem geworden sind – und welche Anstrengungen das Unternehmen unternimmt, um zu verhindern, dass solche Entdeckungen in die falschen Hände geraten. Neben den individuellen Auszahlungen umfasst das Bug-Bounty-Programm auch eine Bonusstruktur: Zusätzliche Prämien gibt es für Exploits, die den besonders sicheren Lockdown-Modus umgehen können, sowie für Sicherheitslücken, die während der Beta-Testphase von Apple-Software entdeckt werden. Alles zusammengerechnet, beläuft sich die maximale Belohnung für eine potenziell katastrophale Exploit-Kette ab November 2025 auf 5 Millionen Dollar.
„Wir sind bereit, hier viele Millionen Dollar auszuzahlen, und das hat einen guten Grund“, erklärt Krstić im Interview. „Wir wollen sicherstellen, dass Forscher, die über die Fähigkeiten und das Know-how verfügen, die schwierigsten Kategorien anzugehen – die Probleme, die am ehesten den Angriffen mit kommerzieller Söldner-Spyware ähneln – für ihren Aufwand und ihre Zeit eine enorme Belohnung erhalten können.“
Mehr als 35 Millionen Dollar an über 800 Forscher ausgezahlt
Apple gibt an, dass weltweit mehr als 2,35 Milliarden seiner Geräte aktiv genutzt werden. Das Bug-Bounty-Programm des Unternehmens war ursprünglich ein Programm nur auf Einladung für prominente Sicherheitsforscher. Seit der Öffnung für die Öffentlichkeit im Jahr 2020 hat Apple nach eigenen Angaben mehr als 35 Millionen Dollar an über 800 Sicherheitsforscher ausgezahlt. Höchstauszahlungen sind zwar sehr selten, aber Krstić bestätigt, dass das Unternehmen in den letzten Jahren mehrfach 500.000 Dollar ausgezahlt hat.
Neben den höheren potenziellen Belohnungen erweitert Apple auch die Kategorien des Bug-Bounty-Programms: Jetzt sind auch bestimmte Arten von Ein-Klick-Exploits für die „WebKit“-Browser-Infrastruktur sowie drahtlose Proximity-Exploits über jede Art von Funkverbindung eingeschlossen. Eine besondere Neuerung ist das sogenannte „Target Flags“-Angebot, das das Konzept von Capture-the-Flag-Hacking-Wettbewerben in die reale Welt überträgt und es Forschern ermöglicht, die Fähigkeiten ihrer Exploits schnell und eindeutig zu demonstrieren.
Memory Integrity Enforcement: Fünf Jahre Entwicklungsarbeit gegen Spyware
Apples Bug-Bounty-Programm ist nur eine von vielen langfristigen Investitionen, die darauf abzielen, die Verbreitung gefährlicher Schwachstellen zu reduzieren oder deren Ausnutzung zu blockieren. Nach über fünf Jahren intensiver Entwicklungsarbeit kündigte das Unternehmen im September 2025 eine revolutionäre Sicherheitsfunktion für die neue iPhone 17-Reihe an, die darauf abzielt, die am häufigsten ausgenutzten iOS-Fehler zu neutralisieren.
Diese Funktion, bekannt als Memory Integrity Enforcement (MIE), ist nach Angaben von Apple „das bedeutendste Upgrade der Speichersicherheit in der Geschichte der Betriebssysteme für Endverbraucher“. MIE zielt auf Memory-Safety-Schwachstellen ab, die Spyware-Produkte wie Pegasus typischerweise verwenden, um unbefugten Systemzugriff zu erhalten. Die Technologie ist direkt in die Hardware und Software aller iPhone 17- und iPhone Air-Modelle integriert und bietet kontinuierlichen Schutz für zentrale Angriffsflächen, einschließlich des Kernels, ohne dabei Leistung oder Energieeffizienz zu beeinträchtigen.
Der große Wurf richtet sich zwar in erster Linie an eine kleine Minderheit der am stärksten gefährdeten und gezielt angegriffenen Gruppen weltweit – darunter Aktivisten, Journalisten und Politiker –, fügt aber gleichzeitig allen Nutzern neuer Geräte eine Verteidigungsebene hinzu. Um diese Bemühungen zu unterstützen, kündigte das Unternehmen am Freitag an, dass es tausend iPhone 17-Geräte an Menschenrechtsorganisationen spenden wird, die mit Personen arbeiten, die Gefahr laufen, Ziel gezielter digitaler Angriffe zu werden.
Moralische Verpflichtung im Kampf gegen Söldner-Spyware
„Man könnte sagen, das scheint ein sehr großer Aufwand zu sein, um nur diese sehr kleine Anzahl von Nutzern zu schützen, die von Söldner-Spyware ins Visier genommen werden“, räumt Krstić ein. „Aber es gibt diese unwiderlegbare Erfolgsbilanz, die von Journalisten, Technologieunternehmen und zivilgesellschaftlichen Organisationen dokumentiert wurde, dass diese Technologien ständig missbraucht werden. Und wir fühlen eine große moralische Verpflichtung, diese Nutzer zu verteidigen. Trotz der Tatsache, dass die überwiegende Mehrheit unserer Nutzer niemals von etwas Ähnlichem ins Visier genommen wird, wird diese Arbeit, die wir geleistet haben, letztendlich den Schutz für alle erhöhen.“
Die drastische Erhöhung der Bug-Bounty-Prämien ist Teil einer umfassenden Strategie von Apple, im Wettlauf mit dem lukrativen Markt für Zero-Day-Exploits zu bestehen. Während auf dem Schwarzmarkt und bei spezialisierten Exploit-Brokern Millionenbeträge für funktionierende iPhone-Exploits geboten werden, will Apple mit den neuen Prämienhöhen sicherstellen, dass ethische Sicherheitsforscher eine echte finanzielle Alternative haben – und ihre Entdeckungen dem Unternehmen melden, anstatt sie zu verkaufen.
Die Änderungen treten im November 2025 in Kraft und markieren einen neuen Meilenstein im kontinuierlichen Wettrüsten zwischen Technologieunternehmen und der wachsenden kommerziellen Überwachungsindustrie.