FireEye wegen Umgang mit Sicherheitsforschern in der Kritik
Ein deutscher Forscher, der Lücken in Sicherheits-Gateways der Firma FireEye entdeckt hat, wurde per einstweiliger Verfügung dazu gezwungen, seinen Vortrag zu zensieren. Sein Firmenchef spricht von unprofessionellem Verhalten seitens FireEye.
(Bild: Alejandro Mallea, CC-BY-SA-2.0)
- Fabian A. Scherschel
Die Sicherheitsfirma FireEye kommt momentan aus der Kritik der Security-Gemeinde nicht heraus. Der Umgang der Firma mit Forschern, die Lücken in ihren Produkten aufzeigen, scheint einiges zu wünschen übrig zu lassen. Erst vor kurzem hatte ein Forscher Sicherheitslücken in den HX-Gateways der Firma veröffentlicht, die FireEye nach seinen Angaben 18 Monate lang unbeantwortet gelassen hatte. Nun soll ein Forscher der deutschen Sicherheitsfirma ERNW, der Details weiterer Lücken in FireEye-Produkten offen legen wollte, daran gehindert worden sein.
Wie die Süddeutsche Zeitung berichtet, hatte ERNW-Mitarbeiter Felix Wilhelm auf der Londoner Sicherheitskonferenz 44CON zeigen wollen, wie er es mit zwei E-Mails schaffte, eine NX-Appliance von FireEye zu kapern. Dann konnte er den ganzen Mailverkehr lesen, der darüber wandert. Eine E-Mail mit seinem Schadcode löst dabei auf dem Weg durch das E-Mail-Gateway eine Sicherheitslücke aus, der Schadcode wurde ausgeführt. Damit wird die Sicherheits-Appliance zum Gehilfen des Hackers und alle E-Mails im Firmennetz können nach Informationen für weitere Angriffe durchsucht werden. Laut der Süddeutschen soll FireEye allerdings eine Verfügung erwirkt haben, so dass Wilhelm nur eine stark zensierte Version seines Vortrags halten konnte.
Ein unprofessioneller Vertrauensbruch
FireEye beruft sich nach dem Bericht darauf, dass man sein geistiges Eigentum habe schützen wollen. Auch ERNW zeigte dafür Verständnis und so hatten beide Firmen auf der Black-Hat-Konferenz im August eine entsprechende Vereinbarung getroffen. ERNW-Chef Enno Rey sagte gegenüber der Süddeutschen: "Wir haben auf der Sachebene sehr vernünftig mit FireEye zusammengearbeitet." Die Entscheidung von FireEye, die eigenen Forscher später juristisch anzugehen, empfinde seine Firma "als unprofessionell, als Vertrauensbruch."
Der ERNW-Forscher hatte die Lücken mit ausreichender Vorwarnungszeit im April an FireEye gemeldet und die Firma hat sie mittlerweile geschlossen. Trotz alledem erwirkte die Firma wohl die einstweilige Verfügung beim Landgericht Hamburg. Von außen betrachtet scheint das in der Tat bemerkenswert und ist nicht ganz der Umgang mit Sicherheitslücken, den man von Firmen wie etwa Google und Microsoft gewöhnt ist. Ganz im Gegenteil, diese Firmen zahlen oft handfeste Belohnungen für das Finden ähnlicher Lücken. Und so scheinen viele Mitglieder der Security-Gemeinde Rey nun Recht zu geben. Eine entsprechende Twitter-Suche fördert viel Spott und Unverständnis über FireEye zu Tage. (fab)
