**Microsoft** hat 2,3 Millionen US-Dollar an Sicherheitsforscher vergeben, nachdem es im Rahmen des diesjährigen Zero Day Quest Hacking-Wettbewerbs fast 700 Einreichungen erhalten hatte. ### Hochwirksame Schwachstellen entdeckt Laut **Tom Gallagher**, Vizepräsident für Engineering im **Microsoft** Security Response Center (**MSRC**), waren über 80 während der Live-Veranstaltung auf dem Campus von **Microsoft** in Redmond gefundene Fehler hochwirksame Cloud- und KI-Sicherheitslücken. „Während der Live-Hacking-Veranstaltung 2026 arbeitete **Microsoft** mit der globalen Sicherheitsforschungsgemeinschaft zusammen, die mehr als 20 Länder und eine breite Palette von beruflichen Hintergründen repräsentierte, von High-School-Schülern bis zu Universitätsprofessoren“, sagte Gallagher. Die Forscher führten alle Tests in autorisierten Umgebungen gemäß den **Microsoft** Rules of Engagement durch und demonstrierten potenzielle Auswirkungen, ohne auf Kundendaten oder andere Mandantensysteme zuzugreifen. Innerhalb dieser Grenzen identifizierten die Forscher kritische Pfade, die die Offenlegung von Anmeldeinformationen, SSRF-Ketten und Cross-Tenant-Zugriff betrafen. ### Erhöhter Preispool und Beteiligung Im vergangenen August kündigte **Microsoft** an, den Preispool beim diesjährigen Zero Day Quest Hacking-Wettbewerb auf 5 Millionen US-Dollar an Bounty-Prämien zu erhöhen, was das Unternehmen als „größte Hacking-Veranstaltung der Geschichte“ bezeichnete. Der Zero Day Quest 2025 generierte auch eine erhebliche Beteiligung der Sicherheitsgemeinschaft, nachdem **Microsoft** 4 Millionen US-Dollar an Belohnungen für Schwachstellen in Cloud- und KI-Produkten und -Plattformen angeboten hatte. Nach Abschluss des Hacking-Wettbewerbs gab **Microsoft** bekannt, dass es 1,6 Millionen US-Dollar an Belohnungen ausgezahlt hatte, nachdem es mehr als 600 Einreichungen von Schwachstellen erhalten hatte. ### Secure Future Initiative (SFI) Der Zero Day Quest-Wettbewerb ist Teil der Secure Future Initiative (**SFI**) von **Microsoft**, einer Bemühung im Bereich Cybersicherheits-Engineering, die im November 2023 nach einem vernichtenden Bericht des Cyber Safety Review Board des US-Ministeriums für Innere Sicherheit gestartet wurde. Dieser Bericht stellte fest, dass die Sicherheitskultur des Unternehmens „unzureichend“ sei und „überarbeitet“ werden müsse. „Als Teil unserer Secure Future Initiative (SFI) werden wir kritische Schwachstellen transparent über das CVE-Programm weitergeben, auch wenn keine Kundenaktion erforderlich ist“, sagte Gallagher im August. „Erkenntnisse aus dem Zero Day Quest werden bei **Microsoft** geteilt, um die Sicherheit von Cloud und KI im Einklang mit den Kernprinzipien von SFI zu verbessern: Sicher per Standard, per Design und im Betrieb.“ Anfang desselben Monats gab **Microsoft** bekannt, dass es zwischen Juli 2024 und Juni 2025 über sein Bug-Bounty-Programm 17 Millionen US-Dollar an 344 Sicherheitsforscher in 59 Ländern ausgezahlt hatte. Im Dezember kündigte das Unternehmen außerdem an, dass Sicherheitsforscher für das Auffinden kritischer Schwachstellen in allen Online-Diensten von **Microsoft** bezahlt würden, selbst wenn ein Drittanbieter den anfälligen Code geschrieben habe.