Magix verhindert Exploit-Veröffentlichung

Laut einem heise Security vorliegendem Schreiben ist Magix mit anwaltlicher Unterstützung gegen die Veröffentlichung eines Proof-of-Concept-Exploits vorgegangen, der eine Sicherheitslücke im Music Maker 16 demonstriert. Als Konsequenz hat der Entdecker der Lücke, der schwedischen Sicherheitsforscher "acidgen", sein Advisory ohne den Exploit veröffentlicht.

In dem Schreiben an den Forscher bedankt sich der von Magix beauftragte Anwalt zunächst noch höflich für den Fund: "Mein Mandant schätzt Ihre Bemühungen, den Music Maker zu untersuchen und wird diese Informationen nutzen, um seine Produkte zu verbessern." Doch schon im nächsten Absatz schlägt der Tonfall um: "Magix berüßt es jedoch nicht, dass sie den Exploit veröffentlichen und irreparablen Schaden anrichten wollen. Wie Ihnen vielleicht bewusst ist, ist es illegal, Software zu veröffentlichten, die für die Begehung von Computersabotage bestimmt ist." heißt es in dem englischsprachigen Schreiben. Es folgt ein Verweis auf den deutschen Hackerparagraphen (§ 202c StGB).

Mit seiner Ermahnung stellt sich der Anwalt recht deutlich gegen die Interpretation des Bundesverfassungsgerichts. Das lehnte eine Klage gegen den Hackerparagraphen mit der Begründung ab, dass die Vorschriften nur für Programme gelten, die mit illegaler Absicht entwickelt wurden. Allein die Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar. Diese illegale Absicht dürfte bei einem Exploit, der nur den Taschenrechner startet und dazu noch vom Hersteller angefordert wurde, allerdings schwer zu belegen sein.

Vor dem Einsatz des Anwalts tauschte der Sicherheitsforscher nach einer ersten Kontaktaufnahme über das Magix-Forum mehrere Mails mit dem Softwarehersteller aus. Magix forderte Details über die Sicherheitslücke, den besagten Proof-of-Concept-Exploit und schließlich auch noch mögliche Angriffsszenarien von dem Forscher an, worauf das Unternehmen mit einem Dank und dem Hinweis, man wolle das Problem intern diskutieren, reagierte. Als sich nach über einem Monat noch nichts getan hatte, fragte der Forscher bei Magix an, ob das Problem in der Zwischenzeit gelöst werden konnte und erkundigte sich nach einem Veröffentlichungsdatum für den Patch.

Der Forscher gab Magix zu verstehen, dass er selbst ein Advisory samt Exploit veröffentlichen werde. Allerdings erst, nachdem Magix das Problem behoben habe – ein durchaus übliches Vorgehen. Zudem bot er seine Hilfe bei der Behebung der Lücke an, was der Anwalt ebenfalls gegen ihn verwendete: "In Verbindung mit Ihrer Ankündigung, den Exploit veröffentlichen zu wollen, könnte man ihr Angebot, die Sicherheitslücke von Ihrem Unternehmen beheben zu lassen, als versuchte Erpressung werten", meint der Magix-Anwalt.

"Seien Sie gewiss, dass Magix in dieser Angelegenheit alle notwendigen und angemessenen rechtlichen Schritte einleiten wird", droht der Anwalt unverhohlen. Darüber hinaus wolle Magix die Hersteller von Antiviren-Software vorwarnen, dass "möglicherweise neue Viren in Umlauf gebracht werden, die auf Ihrem Code basieren". Gegenüber heise Security verteidigt Magix-Sprecher Dr. Ulrich Hepp dieses harsche Vorgehen: "Ob und inwieweit der 'security researcher' lautere Ziele verfolgte, konnte man naturgemäß nicht abschließend beurteilen. Da er darauf bestand den so genannten 'proof-of-concept exploit' zu veröffentlichen, bestand die begründete Sorge, dass dieser 'exploit' zur Herstellung von Viren oder dergleichen genutzt werden konnte."

Eine Drohung sieht Magix in den Schreiben nicht: "Es wird lediglich auf die geltende Rechtslage hingewiesen und für den Fall, dass aufgrund der Veröffentlichung Schäden entstehen, rechtliche Schritte angekündigt." acidgen hält das Vorgehen von Magix für ein Missverständnis über die Arbeitsweise eines Sicherheitsforschers. Er habe nie beabsichtigt, den Exploit vor der Veröffentlichung eines Herstellerpatches ins Netz zu stellen und damit Magix oder seinen Kunden zu schaden.

Laut Magix wurde die Lücke im Music Maker 16.0.2.4 (die man ohnehin nur ausnutzen kann, wenn das Opfer eine präparierte Datei mit dem Programm öffnet) inzwischen in der deutsch- und englischsprachigen Version des Programms geschlossen. Zudem ist zwischenzeitlich Version 17 der Musiksoftware erschienen. (rei)