Kurioses aus UK

Forscher entdeckt Sicherheitslücke und wird mit Urheberrechtsklage bedroht

Ein Forscher entdeckt eine Sicherheitslücke in einer Software, die schnell gestopft wird. Statt einem Dankeschön wird mit einer Urheberrechtsklage gedroht.

Facepalm-Symbolbild

© shutterstock/Ollyy

Forscher findet Sicherheitsleck, ihm droht eine Urheberrechtsklage.

Das muss man sich mal vorstellen: Durch die Arbeit eines Sicherheitsforschers bekommt ein Software-Hersteller mit, dass eines seiner Programme eine kritische Sicherheitslücke hat. Über diese könnten sämtliche Nutzerdaten gestohlen werden. Die betroffene Firma veröffentlichte schnell einen Hotfix. Und statt einer Würdigung oder gar Belohnung für den Fund drohten die Anwälte des Unternehmens mit einer Klage wegen Urheberrechtsverletzung und Computermissbrauch.

Das spielte sich in den vergangenen Wochen im Vereinigten Königreich ab. Der Sicherheitsforscher heißt Zammis Clark, das Unternehmen hört auf den Namen Impero und ist verantwortlich für die Software Impero Education Pro. Mit dieser können IT-Beauftragte in Schulen das Surfverhalten von Schülern überwachen und einschränken. Das Programm ist auf der Insel weit verbreitet.

Anfang Juni berichtete Clark von seinem Fund auf Twitter, mit einem Link zur Plattform Github, auf der er einen sogenannten Proof-of-Concept-Code veröffentlichte. Dieser dient dazu, Angriffsmöglichkeiten zu belegen. Bei dem Vorgehen, einen solchen Code öffentlich zu machen, handelt es sich um gängige Praxis in der Sicherheitswelt.

Warum wird mit einer Anzeige gedroht?

Was Clark zum Verhängnis wurde: nicht direkt und vertraulich mit Impero kommuniziert zu haben. Doch auch das ist eigentlich kein Grund, jemanden zu verklagen, der praktisch im eigenen Haus für mehr Sicherheit sorgt und die Verantwortlichen somit vor potenziell noch schlimmeren Folgen bewahrt - noch nicht mal bei Apple. Clark fehlte nach eigenen Angaben unter anderem die Kenntnis, an welche Stelle er sich hätte wenden sollen. Zudem sind Clarks Fragen zum Thema Sicherheit auf einer Technologiemesse im Januar bei Impero auf taube Ohren gestoßen, wie er auf Github schrieb (über Google Cache).

Nachdem Impero über Umwege über das Leck im eigenen Programm erfuhr, wurde schnell ein Hotfix herausgegeben - der Umweg war übrigens, dass sich Clark im Forum von Impero über Kontaktmöglichkeiten zu den entsprechenden Verantwortlichen informierte und diese dann von Nutzern bekam. Abgesehen davon, dass die Ausspielung bei den Schulen eher schlecht als recht verläuft, wie The Guardian herausgefunden hat, sei der Patch laut Clark auch nicht effektiv. Die Lücke bestehe weiter, wenn man Clarks Fund leicht anpasst.

Was wird ihm zur Last gelegt?

Anstatt nun mit dem Sicherheitsforscher zusammen zu arbeiten, um eine Lösung zu finden, hörte Clark als nächstes von Imperos Anwälten. Ein Brief erreicht ihn: Er habe die Lizenzvereinbarungen verletzt, indem er die Software ohne Erlaubnis modifizierte - ohne dem Ziel, eine höhere Kompatibilität des Programms mit anderen Plattformen zu erreichen. Zudem lasten die Anwälte ihm an, vertrauliche Informationen über das Programm online gestellt zu haben.

Dadurch könne jeder Angreifer die Lücke ausnutzen und schädliche Programme erstellen. Clarks Vorgehen habe für die Firma zu "direktem Verlust und Schaden" geführt, dazu käme ein Reputationsverlust und potenzieller Schaden für zahlreiche IT-Systeme in Schulen. Der Fall ginge nun vor Gericht, um Clark an weiteren derartigen Aktionen zu hindern und eine finanzielle Entschädigung für die Firma zu erstreiten.

Nachdem Clark nun anwaltlichen Rat suchte, lenkten Imperos Anwälte ein und sagten, es würde reichen, wenn der Sicherheitsforscher seine online gestellten Funde und Arbeiten löscht. Das ist jetzt am Donnerstagnachmittag geschehen. Wie die Geschichte weitergeht, bleibt abzuwarten.

"Was sagen Sie dazu?"

Gegenüber dem Filesharing-Blog Torrentfreak sagte Clark, dass das Vorgehen der Firma kontraproduktiv sei. Sicherheitsforscher würden künftig zweimal überlegen, ob sie eine Lücke melden oder nicht. Angreifer würden Lücken auch ohne Leute wie ihn finden und ausnutzen.

Auch Sicherheitsexperte und ehemaliges Mitglied des "Lulzsec"-Hacker-Kollektivs - Mustafa al-Bassam - sagt, dass die Drohungen gegen Clark bizarr sind. Die Firma sollte froh sein, dass die Lücke öffentlich gemacht wurde, anstatt sie beispielsweise an Malware-Hersteller wie etwa Hacking-Team zu verkaufen. Denn solche Firmen zahlen gar nicht mal so schlecht.

Mehr zum Thema

Nach Abmahnwelle: Das Bundesjustizministerium vertritt klare Ansicht.
Nach Porno-Abmahnungen

Streaming - das Betrachten geschützter Videos - stelle keine Urheberrechtsverletzung dar. Dies antwortet die Bundesregierung auf eine Anfrage der…
Neues Urteil zum Urheberrecht: Der EuGH erlaubt die Blockade von kino.to.
Sperre für kino.to zulässig

Der EuGH erlaubt die Blockade der Website kino.to, die Raubkopien frei zur Verfügung stellt. Damit setzt man einen Punkt in der Diskussion um…
Die Redtube-Abmahnanwälte werfen das Handtuch und hören auf.
Redtube-Abmahnung

Die Anwaltskanzlei Urmann + Collegen sorgte mit der Redtube-Abmahnung für hohe Wellen. Nun wurde die Rechtsvertretung für The Archive AG aufgegeben.
how-old.net-Startseite
How-Old.net & Co. auf Azure

Uploads auf How-Old.net: Speichert Microsoft Bilder und sichert sich die vollumfänglichen Rechte daran für die Verwendung und den Weiterverkauf?
Filesharing
Filesharing-Urteile

Plattenfirmen hatten Nutzer wegen Filesharing erfolgreich verklagt. In Revisionsurteilen wurden nun Strafen bis zu 200 Euro bestätigt - pro…