ERNW

FireEye ging mit ungewöhnlich harten Bandagen gegen deutsche Sicherheitsforscher vor

11.09.2015
Von 
Thomas Cloer war Redakteur der Computerwoche.
Nachdem die Heidelberger Firma ERNW Sicherheitslücken in Appliances von FireEye entdeckt und gemeldet hatte, reagierte der Hersteller ungewöhnlich hart.

Felix Wilhelm von ERNW aus Heidelberg hatte Mittel und Wege gefunden (PDF-Link), um mit nur zwei E-Mails die Kontrolle über Sicherheits-Appliances der an der Börse mit 6 Milliarden Dollar bewerteten Security-Firma FireEye zu übernehmen. Dass FireEye das nicht lustig fand, ist klar. Die Amerikaner versuchten dann mit rechtlichen Mitteln dagegen vorzugehen, dass Wilhelm aus ihrer Sicht allzu detailliert über die Schwachstellen berichten würde. Sie schickten ERNW zunächst eine Abmahnung und anschließend sogar eine Einstweilige Verfügung ins Haus, berichtet die "Süddeutsche Zeitung".

Die unabhängigen Experten aus Heidelberg fanden das Vorgehen ausgesprochen eigenartig. "Wir haben auf der Sachebene sehr vernünftig mit FireEye zusammengearbeitet", sagte Firmenchef Enno Rey der "SZ". "Dass parallel dazu gravierende juristische Schritte eingeleitet wurden, kam für uns aus heiterem Himmel. Dieses Verhalten empfinden wir als unprofessionell, als Vertrauensbruch." In der IT-Branche gehört es zum Standard, sich bei Sicherheitsforschern mindestens zu bedanken. Google und Microsoft zahlen mitunter sogar Geld.

Laut "Forbes" argumentierte FireEye, die von Wilhelm auf der Konferenz 44Con in London diese Woche geplante Veröffentlichung von Details der Schwachstelle verletze das geistige Eigentum von FireEye. Steve Lord, Mitorganisator der Konferenz, wertet seinerseits das Vorgehen von FireEye als Affront gegen das Recht auf freie Meinungsäußerung und bewertete die Reaktion auf die Forschungsergebnisse als "bizarr, absurd und unprofessionell".

Die von ERNW entdeckte Schwachstelle ist unabhängig von der früher in dieser Woche gemeldeten, die der Experte Kristian Erik Hermansen gefunden hat - und die angeblich schon seit eineinhalb Jahren ungepatcht ist.