Microsoft erhöht Preispool für Zero Day Quest auf 5 Millionen US-Dollar

Microsoft stockt die Prämien für seinen Hacking-Wettbewerb Zero Day Quest auf: Beim kommenden Wettbewerb im Frühjahr 2026 stellt das Unternehmen bis zu 5 Millionen US-Dollar für entdeckte Sicherheitslücken in Cloud- und KI-Technologien zur Verfügung. Damit übertrifft Microsoft den Preispool des Vorjahres, der bei 4 Millionen US-Dollar lag.

Die Resonanz auf die letztjährige Ausgabe war groß: Mehr als 600 Sicherheitslücken wurden gemeldet, wovon Microsoft nach Abschluss der Veranstaltung im November rund 1,6 Millionen US-Dollar an Prämien auszahlte. Auch 2026 liegt der Fokus auf der Absicherung von Cloud- und KI-Diensten.

Zero Day Quest gilt laut Microsoft als die „größte öffentliche Hacking-Veranstaltung der Geschichte“. Ziel des Wettbewerbs ist es, im Schulterschluss mit der globalen Sicherheitscommunity Schwachstellen frühzeitig zu identifizieren und zu beheben. Forscher sollen dabei direkt mit Microsoft-Ingenieuren zusammenarbeiten, um den Schutz für Kunden und Partner zu verbessern.

Mit der erneuten Auflage des Wettbewerbs will Microsoft seinen kooperativen Sicherheitsansatz weiter ausbauen und auf die sich stetig wandelnde Bedrohungslage reagieren.

Microsoft startet Teilnahmephase für Zero Day Quest 2025

Microsoft hat die Teilnahmebedingungen für die diesjährige Zero Day Quest bekannt gegeben. Die Research Challenge läuft vom 4. August bis zum 4. Oktober 2025 und steht Sicherheitsforschern weltweit offen. In diesem Zeitraum können Teilnehmende für das Melden von Sicherheitslücken in definierten Szenarien mehrfach prämierte Belohnungen erhalten. Im Fokus stehen dabei Produkte wie Microsoft Azure, Copilot, Dynamics 365, die Power Platform, Identity und Microsoft 365.

Neben Geldprämien bietet der Wettbewerb auch die Chance auf eine Einladung zum exklusiven Live-Hacking-Event im Frühjahr 2026. Dieses findet auf dem Microsoft-Campus in Redmond statt und ist nur geladenen Gästen vorbehalten. Eingeladen werden Sicherheitsforscher, die durch herausragende Beiträge während der Research Challenge aufgefallen sind. Dort arbeiten sie direkt mit Produktteams und dem Microsoft Security Response Center (MSRC) zusammen. Die Veranstaltung versteht sich nicht nur als Wettbewerb, sondern als Ausdruck eines gemeinsamen Engagements zur Stärkung der IT-Sicherheit in der gesamten Branche.

Besonders wirkungsvolle Forschung wird zusätzlich belohnt: Für das Aufdecken kritischer Schwachstellen oder Szenarien mit hoher Relevanz während der Research Challenge bietet Microsoft einen Bonus von 50 Prozent auf die regulären Prämien. Dieser gilt für Einreichungen, die den Kriterien der bestehenden Bounty-Programme entsprechen – maßgeblich ist dabei stets der höhere Multiplikatorwert.

Zur Unterstützung der Teilnehmer stellt Microsoft verschiedene Trainingsangebote bereit. Dazu gehören unter anderem Schulungen durch das AI Red Team, das MSRC sowie die Dynamics-Teams. Zu den Trainingsinhalten zählen unter anderem:

• Hacking von KI-Systemen mit PyRIT

• Das Microsoft Bug-Bounty-Programm und KI-Forschung

• Sicherheitsanalysen im Copilot Studio

Mit der Zero Day Quest setzt Microsoft erneut auf enge Zusammenarbeit mit der weltweiten Sicherheitscommunity, um potenzielle Risiken frühzeitig zu erkennen und Sicherheitsstandards weiter zu erhöhen.

Microsoft betont Transparenz und verantwortungsvolle Offenlegung bei Zero Day Quest

Im Rahmen der Zero Day Quest setzt Microsoft auf einen transparenten Umgang mit entdeckten Sicherheitslücken. Forscher werden ermutigt, ihre Erkenntnisse nach der Behebung öffentlich zu teilen – unterstützt durch Formate wie Blogs, Podcasts und Videos, die Microsoft bereitstellt.

Das Unternehmen orientiert sich dabei an seiner etablierten Praxis der koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD). Im Sinne dieser Richtlinie sollen Sicherheitsprobleme verantwortungsvoll gemeldet und erst nach der Lösung öffentlich gemacht werden.

Im Rahmen der Initiative Secure Future Initiative (SFI) verpflichtet sich Microsoft zudem, kritische Schwachstellen transparent über das CVE-Programm offenzulegen, selbst wenn von Kundenseite keine unmittelbaren Maßnahmen erforderlich sind. Die Erkenntnisse aus der Zero Day Quest fließen unternehmensweit in die Weiterentwicklung der Sicherheitsstandards ein – insbesondere zur Stärkung der Cloud- und KI-Sicherheit.

Dabei orientiert sich Microsoft an den zentralen Prinzipien der SFI: Sicherheit durch Standardkonfiguration, durch Design und im laufenden Betrieb.

Autor und Quelle: Tom Gallagher, VP of Engineering, Microsoft Security Response Center (MSRC) 

Mehr zum Thema – Unsere Empfehlungen

Die jährliche Virus Bulletin Conference kehrt vom 24. bis 26. September nach Europa zurück und bringt die globale Threat-Intelligence-Community für drei Tage nach Berlin, um sich über die neuesten Entwicklungen in der Cybersicherheit auszutauschen.

---