Nicht jedes Unternehmen übernimmt Verantwortung

Weniger aufgeschlossen war der Elektronikhersteller Loytec Electronics GmbH aus Österreich. Er beschwerte sich nach der Kontaktaufnahme durch Golem.de darüber, dass Pereira nur eine E-Mail an die info@-Adresse des Unternehmens übermittelt habe – eine Mailadresse, die auf der Webseite des Herstellers als offizielle Kontaktadresse angegeben ist.

Mails wie jene von Pereira träfen auf der info@-Adresse täglich zuhauf ein, die meisten davon würden es nicht durch den Spam-Filter schaffen, lautete das Argument. Als Alternative verwies das Unternehmen auf seine support@-Adresse, die für technische Belange vorgesehen sei.

Obendrein zeigte sich Loytec zuversichtlich, dass seine Produkte frei von Sicherheitslücken seien: "Wir hatten schon des Öfteren derartige Anfragen. Bis jetzt war es aber im Endeffekt immer so, dass auf Betreiberseite entweder nicht die vorhandenen und dokumentierten Maßnahmen ergriffen wurden, um die Geräte abzusichern (z. B. Passwörter nicht geändert), oder keine aktuelle Firmware auf den Geräten aufgespielt war, wo die bemängelten Schwachstellen bereits behoben waren (z. B. alte SSL-Versionen)", erklärte der Hersteller.

Ob sich das auch in diesem Fall bewahrheitet, wird sich zeigen müssen. Derzeit untersucht das Unternehmen die von Pereira gemeldeten Sicherheitslücken.

Fragwürdige Reaktion seitens Loytec

Weitere Kontaktwege zu beschreiten, hätte hier für Pereira durchaus zielführend sein können. Nichtsdestotrotz zeigt Loytec mit seiner Reaktion vor allem, dass es offenbar nicht bereit ist, die Verantwortung für seine Kommunikation sowie potenzielle Sicherheitsprobleme in seinen Produkten zu übernehmen.

Wer auf seiner Webseite eine Kontaktadresse angibt, sollte dort ankommende Nachrichten ernst nehmen. Sie grundsätzlich als Spam abzutun, zeugt von mangelndem Interesse an Kontaktaufnahmen jeglicher Art, zu denen auch sicherheitsrelevante Meldungen gehören.

Dass auf einer öffentlich zugänglichen Kontaktadresse eine Menge Spam eintrifft, steht außer Frage. Jedoch ist es Aufgabe des Empfängers, damit richtig umzugehen und sicherzustellen, dass wichtige E-Mails trotzdem korrekt verarbeitet werden.

Andere Unternehmen, die Pereira ebenfalls nur über eine info@-Adresse kontaktiert hat, haben es geschafft, sie in einem angemessenen Zeitrahmen zu verarbeiten. Gewiss kann es dabei zu Fehlern kommen, wie der Fall der Berghof GmbH verdeutlicht. Entscheidend ist aber, ob das Unternehmen diese Fehler eingesteht und entsprechend handelt – oder ob es versucht, die Verantwortung abzuschieben.

Etikettendrucker bleiben bisher ungepatcht

Probleme gab es auch bei der Kommunikation mit Zebra Technologies, dem Hersteller der Etikettendrucker. Das Unternehmen setzte sich zwar mit Pereira in Verbindung, Patches gibt es aber wohl bis heute nicht. "Wir haben ein bisschen hin und her geschrieben, allerdings wurden die Schwachstellen nicht gepatcht, mit der Begründung, dass der Security-Mitarbeiter nicht verstanden hat, wie man diese Schwachstellen aus der Ferne ausnutzen kann", sagt der Forscher.

Das geht so auch aus dem E-Mail-Verkehr mit Zebra hervor, den Pereira der Redaktion vorgelegt hat. Für das Patchen der Sicherheitslücken sei das aber ohnehin nicht relevant, betont er. Selbst wenn sich die Lücken nur lokal ausnutzen ließen, müsse der Hersteller sie patchen.

Zebra hat auf Rückfrage erklärt, die von Pereira bereitgestellten Informationen seien ungenau gewesen und er habe auf Bitten um weitere Informationen nicht klar und zeitnah geantwortet. "Mehrere Mitarbeiter haben Dutzende von Stunden damit verbracht, die von Herrn Pereira zur Verfügung gestellten minimalen Informationen zu überprüfen; es war jedoch unklar, wie die spezifischen Angriffe auf den Drucker durchgeführt werden konnten", schreibt der Hersteller.

Pereira bestreitet das: Zebra habe ebenso detaillierte Informationen erhalten wie die anderen Hersteller, die offenkundig keinerlei Probleme damit hatten, entsprechende Patches bereitzustellen.

Zebra teilte weiter mit, dass Pereira einer Aufforderung, die Schwachstellen über das Vulnerability Disclosure Programm des Unternehmens zu melden, nicht nachgekommen sei. Auf die Frage, ob der Hersteller irgendeine Sicherheitslücke geschlossen habe, erklärte das Unternehmen, es habe eine der beiden von Pereira gemeldeten Schwachstellen bestätigen können – was in dem Fall wohl doch ohne Umweg über das Vulnerability Disclosure Programm möglich war. Die Behebung der genannten Schwachstelle ist nach Zebras Angaben aber bisher lediglich "geplant".