Microsofts ambitioniertes Sicherheitsprogramm zeigt Erfolg: Der Konzern zahlte 2,3 Millionen Dollar Preisgelder für die Entdeckung von kritischen Schwachstellen beim Zero Day Quest 2026 aus. Tom Gallagher, Vice President des Microsoft Security Response Center (MSRC), bestätigte, dass die Forscher während des Live-Hacking-Events über 80 hochrisikante Sicherheitslücken in Cloud- und KI-Produkten aufdeckten.
Das Hacking-Wettbewerb markiert einen bedeutenden Fortschritt in Microsofts Reaktion auf die Kritik des Cyber Safety Review Board des U.S. Department of Homeland Security aus dem Jahr 2023, das die Sicherheitskultur des Unternehmens als unzureichend bezeichnete. Der Zero Day Quest ist nun zentraler Bestandteil der Secure Future Initiative (SFI), die Microsoft im November 2023 ins Leben rief.
Die Teilnehmer stammten aus über 20 Ländern und repräsentierten eine breite Palette von Fachleuten – von Gymnasiasten bis zu Universitätsprofessoren. Alle Tests fanden in autorisierten Umgebungen statt und hielten sich streng an Microsofts Rules of Engagement. Die Forscher zeigten potenzielle Sicherheitsrisiken auf, ohne auf Kundendaten oder andere Mandantensysteme zuzugreifen. Identifiziert wurden kritische Angriffswege mit Credential Exposure, SSRF-Ketten (Server-Side Request Forgery) und Cross-Tenant-Zugriffsmöglichkeiten.
Der Wettbewerb folgte auf ein erfolgreiches 2025er Event, bei dem Microsoft 1,6 Millionen Dollar für über 600 Einreichungen ausschüttete. Die Preissteigerung auf 2,3 Millionen Dollar in diesem Jahr unterstreicht Microsofts wachsendes Engagement für Sicherheitsforschung. Im August hatte der Konzern angekündigt, die Gesamtprämie auf 5 Millionen Dollar zu erhöhen – beschrieben als das größte Hacking-Event der Geschichte.
Die Erkenntnisse aus dem Zero Day Quest werden gezielt in Microsofts Produktentwicklung integriert. Gallagher betonte, dass die Learnings für die Verbesserung der Cloud- und KI-Sicherheit genutzt werden, um die Kernprinzipien der SFI umzusetzen: Sicherheit durch Design, durch Standards und im operativen Betrieb. Microsoft verpflichtet sich auch, kritische Schwachstellen transparent durch das CVE-Programm zu veröffentlichen, selbst wenn kein unmittelbarer Kundenhandlungsbedarf besteht.
Die Initiative zahlt sich aus: Zwischen Juli 2024 und Juni 2025 zahlte Microsoft 17 Millionen Dollar an 344 Sicherheitsforscher aus 59 Ländern. Im Dezember kündigte das Unternehmen an, Forscher auch für kritische Lücken in Fremdcode zu belohnen, falls dieser in Microsofts Online-Services integriert ist. Diese konsequente Investition in externe Sicherheitsexperten positioniert Microsoft als Vorreiter in transparenter Sicherheitsforschung.