ERNW

FireEye ging mit ungewöhnlich harten Bandagen gegen deutsche Sicherheitsforscher vor

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Nachdem die Heidelberger Firma ERNW Sicherheitslücken in Appliances von FireEye entdeckt und gemeldet hatte, reagierte der Hersteller ungewöhnlich hart.

Felix Wilhelm von ERNW aus Heidelberg hatte Mittel und Wege gefunden (PDF-Link), um mit nur zwei E-Mails die Kontrolle über Sicherheits-Appliances der an der Börse mit 6 Milliarden Dollar bewerteten Security-Firma FireEye zu übernehmen. Dass FireEye das nicht lustig fand, ist klar. Die Amerikaner versuchten dann mit rechtlichen Mitteln dagegen vorzugehen, dass Wilhelm aus ihrer Sicht allzu detailliert über die Schwachstellen berichten würde. Sie schickten ERNW zunächst eine Abmahnung und anschließend sogar eine Einstweilige Verfügung ins Haus, berichtet die "Süddeutsche Zeitung".

Foto: FireEye

Die unabhängigen Experten aus Heidelberg fanden das Vorgehen ausgesprochen eigenartig. "Wir haben auf der Sachebene sehr vernünftig mit FireEye zusammengearbeitet", sagte Firmenchef Enno Rey der "SZ". "Dass parallel dazu gravierende juristische Schritte eingeleitet wurden, kam für uns aus heiterem Himmel. Dieses Verhalten empfinden wir als unprofessionell, als Vertrauensbruch." In der IT-Branche gehört es zum Standard, sich bei Sicherheitsforschern mindestens zu bedanken. Google und Microsoft zahlen mitunter sogar Geld.

Laut "Forbes" argumentierte FireEye, die von Wilhelm auf der Konferenz 44Con in London diese Woche geplante Veröffentlichung von Details der Schwachstelle verletze das geistige Eigentum von FireEye. Steve Lord, Mitorganisator der Konferenz, wertet seinerseits das Vorgehen von FireEye als Affront gegen das Recht auf freie Meinungsäußerung und bewertete die Reaktion auf die Forschungsergebnisse als "bizarr, absurd und unprofessionell".

Die von ERNW entdeckte Schwachstelle ist unabhängig von der früher in dieser Woche gemeldeten, die der Experte Kristian Erik Hermansen gefunden hat - und die angeblich schon seit eineinhalb Jahren ungepatcht ist.