Das renommierte Hacker-Event Pwn2Own Berlin 2025 startete mit einem bemerkenswerten Erfolg für die Teilnehmer, die am ersten Tag insgesamt 260.000 US-Dollar für ihre erfolgreichen Exploits erhielten. Die Veranstaltung, organisiert von Trend Micros Zero Day Initiative (ZDI), brachte die internationale Cybersicherheitsszene in der deutschen Hauptstadt zusammen und präsentierte eine neue Dimension des Hackings mit Fokus auf Künstliche Intelligenz (KI) und systemübergreifende Schwachstellen. Pwn2Own ist bekannt dafür, Sicherheitslücken in weit verbreiteter Software und Hardware aufzudecken und dadurch Hersteller zur schnellen Behebung von Schwachstellen zu bewegen. In Berlin 2025 standen unter anderem Systeme von Red Hat, Microsoft Windows, Oracle VirtualBox, Docker Desktop und innovative KI-Technologien im Visier der Experten.
Dieses Jahr zeigte sich besonders das aufkommende Potenzial im Bereich der KI-Hacks, die im Wettbewerb erstmals explizit adressiert wurden. Der Teilnehmer Sina Kheirkhah vom Summoning Team brillierte mit zwei erfolgreichen Exploits. Für die Kompromittierung der Datenbank der Chroma Open Source AI-App erhielt er 20.000 Dollar. Ein weiterer Exploit gegen die NVIDIA Triton Inference Server brachte ihm 15.
000 Dollar ein, wurde jedoch als „Kollision“ eingestuft, da die Schwachstelle bereits bekannt war, aber noch nicht gepatcht wurde. Solche Kollisionen signalisieren den laufenden Wettlauf zwischen Forschern und Herstellern bei der Schwachstellenbehebung. Das Team Viettel Cyber Security erzielte ebenfalls 15.000 Dollar für einen ungepatchten Fehler im NVIDIA Triton Server, was verdeutlicht, wie kritisch die Sicherheit von AI-Inferenzsystemen im Zeitalter wachsender KI-Anwendungen ist. KI-Systeme übernehmen immer mehr Verarbeitungsschritte in diversen Branchen, weshalb ihre Absicherung zunehmend an Bedeutung gewinnt.
Den höchsten Einzelpreis am ersten Tag sicherten sich die Hacker von Star Labs mit 60.000 Dollar durch einen Exploit, bei dem eine Schwachstelle im Linux-Kern ausgenutzt wurde, um aus der Docker Desktop-Umgebung auszubrechen und auf den darunterliegenden Betriebssystemkern zuzugreifen. Solche Angriffsszenarien zeigen, wie Angreifer potenziell Containertechnologien aushebeln können, was erhebliche Sicherheitsrisiken für Unternehmensinfrastrukturen und Cloud-Anwendungen birgt. Das Team Prison Break erhielt 40.000 Dollar für das Umgehen der Sicherheitsmechanismen von Oracle VirtualBox, wodurch es gelang, Schadcode auf dem Wirts-Betriebssystem auszuführen.
Diese Art von virtuellen Umgehungstechniken stellt eine gravierende Bedrohung für Umgebungen dar, die auf Virtualisierung zur Isolation von Anwendungen oder Entwicklungsumgebungen setzen. Auch weitere erfolgreiche Exploits betrafen Red Hat Systeme sowie Windows 11. Dabei lagen die Belohnungen für die Hacker zwischen 15.000 und 30.000 Dollar.
Solche Ergebnisse unterstreichen die anhaltende Wichtigkeit von Sicherheitsforschung in bekannten Betriebssystemen, die noch immer Ziel häufig auftretender Sicherheitsverletzungen sind. Im Verlauf der nächsten Wettkampftage richten sich die Angriffe gegen prominente Systeme und Plattformen wie Microsoft SharePoint, VMware ESXi und Workstation, den Browser Firefox, den In-Memory-Datenbank-Server Redis, sowie weitere Komponenten von VirtualBox, Red Hat und Windows 11. Die Wahl der Ziele zeigt die Vielfalt und Komplexität der heutigen IT-Landschaft, aber auch, wie angreifbar selbst etablierte Systeme noch sein können. Diese Vielfalt an Zielen verdeutlicht, dass Cybersicherheit kein statisches Feld ist. Stets müssen neue Angriffsmethoden und Schwachstellen proaktiv erkannt und adressiert werden.
Veranstalter wie Trend Micro und deren ZDI spielen eine Schlüsselrolle in diesem Ökosystem, indem sie verantwortungsbewusst entdeckte Schwachstellen melden und so zum Schutz der globalen IT-Infrastruktur beitragen. Neben der technischen Dimension betont das Event zugleich die Rolle von ethischem Hacking und verantwortlicher Sicherheitsforschung. Wettbewerbe wie Pwn2Own bieten eine Plattform, um Schwachstellen sicher und transparent aufzudecken, damit Hersteller schnell reagieren können, bevor Cyberkriminelle die Lücken ausnutzen. Die dadurch geförderte Zusammenarbeit zwischen Forschern und Unternehmen führt zu stabileren und sichereren IT-Systemen. Innovationen im Bereich der Künstlichen Intelligenz stellen jedoch neue Herausforderungen dar, wie die eingeführte Kategorie für KI-Hacks bei Pwn2Own Berlin 2025 zeigt.
Die Komplexität und Neuartigkeit von KI-Anwendungen erfordern spezialisierte Kenntnisse und erhöhen den Handlungsdruck für Entwickler und Sicherheitsverantwortliche, angemessene Schutzmechanismen zu entwickeln. Darüber hinaus verdeutlicht die große Summe an Preisgeldern den hohen Wert, den die Branche auf entdeckte Schwachstellen legt. Hacker-Teams und Sicherheitsforscher profitieren von den finanziellen Anreizen, was wiederum zu mehr Engagement und Forschungstiefe führt. Diese Dynamik trägt dazu bei, dass kritische Systeme zunehmend gegen vielfältige Angriffe besser gewappnet werden. Pwn2Own Berlin 2025 hebt somit nicht nur die aktuelle Bedrohungslage hervor, sondern setzt auch Maßstäbe für zukünftige Sicherheitsstandards.
