Der Softwarekonzern reagiert auf wachsende Cybergefahren und setzt auf „In Scope by Default“ – ein Paradigmenwechsel für Sicherheitsforscher weltweit.
Die zunehmende Komplexität der Bedrohungslage und der rasante Vormarsch Künstlicher Intelligenz zwingen Microsoft zum Handeln. Anfang Mai 2026 unterstrich der Konzern die Bedeutung seiner ausgebauten Prämienprogramme für Sicherheitsforscher. Zeitgleich vermeldete Microsoft die allgemeine Verfügbarkeit neuer KI-Plattformen sowie solide Quartalszahlen, die die schiere Größe seines digitalen Ökosystems widerspiegeln.
Während Großkonzerne wie Microsoft massiv in Bug-Bounty-Programme investieren, rücken auch kleine und mittelständische Unternehmen verstärkt ins Visier von Cyberkriminellen. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Ihre IT-Sicherheit ohne teure Investitionen stärken und neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Leitfaden für Unternehmen jetzt gratis herunterladen
„In Scope by Default“ – neuer Standard für Schwachstellensuche
Das Herzstück der aktuellen Strategie ist das Modell „In Scope by Default“. Es nimmt automatisch jeden neuen Microsoft-Onlinedienst ab dem Moment seines Starts in das Prämienprogramm auf. Schluss mit bürokratischen Verzögerungen und unklaren Zuständigkeiten: Sicherheitsforscher müssen nicht länger auf manuelle Freigaben warten, um neue Dienste auf Lücken zu prüfen.
Ein zentrales Element: Die erweiterte Regelung schließt nun auch Drittanbieter- und Open-Source-Komponenten ein. Die Begründung des Konzerns ist einleuchtend: Moderne Angreifer unterscheiden nicht zwischen eigenem und fremdem Code. Microsoft belohnt daher kritische Schwachstellen in externen Bibliotheken, sofern sie direkte Auswirkungen auf Microsoft-Produkte haben.
Tom Gallagher, Vizepräsident des Microsoft Security Response Center (MSRC), betonte kürzlich, das Ziel sei es, Forschung in Hochrisikobereichen zu fördern – genau dort, wo Angreifer ihre Hebel ansetzen. Durch die automatische Aufnahme aller Dienste sollen die Anreize für Forscher mit den tatsächlichen Risiken in Einklang gebracht werden, insbesondere in Cloud- und Identitätsdiensten.
Zero Day Quest 2026: 2,3 Millionen Dollar Prämien ausgeschüttet
Die Wirksamkeit der neuen Anreize zeigte sich Mitte April 2026 bei der „Zero Day Quest“, einem hochkarätigen Live-Hacking-Event auf dem Microsoft-Campus in Redmond. Der Konzern zahlte 2,3 Millionen Euro an Sicherheitsforscher aus – bei einem gesamten Preispool von rund 4,8 Millionen Euro.
Weiße Hacker aus über 20 Ländern reichten mehr als 700 Schwachstellenmeldungen ein. Das Ergebnis: 80 hochriskante Sicherheitslücken in Cloud- und KI-Diensten wurden aufgespürt. Besonders kritisch: Mehrere Funde offenbarten Schwachstellen in Identitätskontrollen und der Mandantenisolierung. Fehler in autorisierten Testumgebungen hätten theoretisch auf andere Kunden übergreifen können.
Die „Zero Day Quest“ ist Teil eines größeren Trends: Microsoft zahlte im vergangenen Jahr über 16 Millionen Euro an Forscher weltweit aus. Ziel ist es, verantwortungsvolle Offenlegung finanziell attraktiver zu machen als den Verkauf von Exploits an Cyber-Söldner.
Sicherheit für die KI-Ära
Der Ausbau des Prämienprogramms kommt zu einem entscheidenden Zeitpunkt. Am 1. Mai 2026 gab Microsoft die allgemeine Verfügbarkeit von Microsoft Agent 365 bekannt – einer Plattform zur Steuerung und Sicherung KI-gestützter Agenten in lokalen, SaaS- und Cloud-Umgebungen.
Die rasante Entwicklung von KI-Systemen schafft nicht nur neue Chancen, sondern auch komplexe rechtliche Verpflichtungen durch den EU AI Act. Erfahren Sie in diesem kompakten Umsetzungsleitfaden alles über Risikoklassen, Fristen und Dokumentationspflichten für Ihr Unternehmen. Kostenloses E-Book zum EU AI Act sichern
Die Sicherheitsinfrastruktur, einschließlich des Microsoft Defender Bounty Program, wird für „agentische“ Arbeitsabläufe angepasst. KI-Agenten, die eigenständig im Namen von Nutzern handeln, schaffen neue Angriffsvektoren wie indirekte Prompt-Injection oder unbefugten Datentransfer. Amy Hogan-Burney, Konzernvize für Kundensicherheit, erklärte Anfang Mai, dass fortschrittliche KI-Modelle die Entdeckung von Schwachstellen drastisch beschleunigen – und damit eine proaktivere Verteidigung erzwingen.
Ab Sommer 2026 plant Microsoft, detailliertere Kontextinformationen in seine Sicherheitstools zu integrieren. Sicherheitsteams und Forscher sollen dann besser abschätzen können, welche Schäden ein kompromittierter KI-Agent anrichten könnte – indem sie die Identitäten und Cloud-Ressourcen kartieren, auf die er Zugriff hat.
Strategische Perspektive und Forscher-Anerkennung
Das Ausmaß der Herausforderung zeigt sich in den aktuellen Kennzahlen: Der KI-Geschäftsbereich von Microsoft hat eine jährliche Umsatzrate von über 35 Milliarden Euro überschritten, das Cloud-Geschäft wächst zweistellig. Diese gigantische Infrastruktur wird von einem Sicherheitsteam mit umgerechnet 34.000 Vollzeitkräften gestützt, das täglich über 100 Billionen Sicherheitssignale verarbeitet.
Um die globale Forscher-Community bei der Stange zu halten, überarbeitet Microsoft sein Anerkennungssystem. Ab Juli 2026 wird die Rangliste der Forscher auf Basis der ausgezahlten Prämien geführt – nicht mehr nach einem separaten Punktesystem. So soll die Anerkennung direkt an die Schwere und die tatsächlichen Auswirkungen der gemeldeten Lücken gekoppelt werden.
Doch das Programm bleibt nicht ohne Kritik. Im Frühjahr äußerten einige Forscher Frust über den Offenlegungsprozess. Ein verärgerter Akteur veröffentlichte sogar Proof-of-Concept-Code für eine Windows-Zero-Day-Lücke nach einem Streit mit dem MSRC-Team. Microsoft reagierte mit dem Versprechen größerer Transparenz, unter anderem durch regelmäßige Veröffentlichung von CVE-Berichten für Cloud-Schwachstellen, die zuvor stillschweigend behoben wurden.
Der Konzern bleibt dabei: Innovation und Sicherheit sind kein Gegensatz. Die Frage sei vielmehr, wie man beide durch robuste Partnerschaften mit der globalen Sicherheits-Community wechselseitig stärken könne.
