Original-URL des Artikels: https://www.golem.de/news/keeper-security-passwortmanager-hersteller-verklagt-journalist-dan-goodin-1712-131805.html    Veröffentlicht: 21.12.2017 15:55    Kurz-URL: https://glm.io/131805

Keeper Security

Passwortmanager-Hersteller verklagt Journalist Dan Goodin

Wenige Tage, nachdem in der Browsererweiterung des Passwortmanagers Keeper eine kritische Sicherheitslücke gefunden wurde, verklagt dessen Hersteller den Journalisten Dan Goodin. Es ist offenbar nicht das erste Mal, dass Keeper juristisch gegen die Veröffentlichung von Schwachstellen vorgeht.

Die Firma Keeper Security, die den gleichnamigen Passwortmanager entwickelt, geht juristisch gegen den Journalisten Dan Goodin vor. Dieser hatte in einem Artikel auf Ars Technica über eine Sicherheitslücke in der Browsererweiterung von Keeper berichtet, die der Google-Mitarbeiter Tavis Ormandy entdeckt hatte. Auch Golem.de hatte über die Lücke berichtet. Keeper wurde bei einigen Anwendern von Windows 10 vorinstalliert.

Journalisten, die Produkte "zerstören"

In der Klageschrift wirft Keeper Security Goodin und Ars Technica vor, Fakten absichtlich falsch und unter "rücksichtsloser Missachtung der Wahrheit" dargestellt zu haben. Mit seinem Artikel habe Goodin Keeper Security bewusst Schaden zufügen und dessen Produkte "zerstören" wollen. Zuvor hatte Goodin seinen Text zweimal ergänzt, um auf die Kritik des Herstellers einzugehen.

Insbesondere argumentiert Keeper Security, Nutzer müssten "spezifische Bedingungen" erfüllen, um von der Schwachstelle betroffen zu sein. So müssten sie die Browsererweiterung zuerst einmal installieren, sich dann bei Keeper anmelden und anschließend das Programm auch noch benutzen, um angreifbar zu sein. Man könnte auch sagen: Nur Nutzer, die Keeper auch wirklich nutzen, sind von einem möglichen Passwortdiebstahl betroffen.

Erzwungen oder nicht?

Das Unternehmen kritisiert außerdem Goodins Darstellung, Microsoft habe Nutzer dazu "gezwungen", den Passwortmanager zu installieren. Ormandy, der die Sicherheitslücke entdeckt hat, hatte gemeldet, dass Keeper in einem von ihm gerade frisch aus Microsofts Developer Network (MSDN) heruntergeladenen Windows 10 vorinstalliert war. Andere Nutzer hatten dies bereits Monate vorher gemeldet.

Auch Goodins Satz "Wenn ein Außenstehender so schnell und einfach eine 16 Monate alte Lücke finden kann, scheint es naheliegend, dass die Entwickler der Firma sie schon längst hätten finden sollen" zählt laut Keeper Security zu den Falschaussagen. Insgesamt listet das Unternehmen in seiner Klage 11 angeblich falsche und irreführende Aussagen des Ars-Technica-Journalisten auf.



Wer hat Recht?

Streitpunkt ist zudem die Frage, ob Keepers Browsererweiterung, in der Ormandy die Sicherheitslücke entdeckt hatte, ein vom Passwortmanager Keeper unabhängiges Produkt ist. Diese Position vertritt der Hersteller und argumentiert daher, die Aussage "Sicherheitslücke in Passwortmanager Keeper" sei technisch inkorrekt.

Ormandys Angaben zufolge versuchte Keeper Security auch ihn dazu zu bewegen, seinen ursprünglichen Bugreport zu ändern, um Passwortmanager und Browsererweiterung als zwei separate Produkte darzustellen. Der Google-Mitarbeiter ließ sich davon aber offenbar nicht beeindrucken.

"Keepers Browsererweiterung wird als Teil des Standard-Setup-Flows von Keeper installiert", schreibt Ormandy zusammen mit einem Screenshot, der das Installationsfenster zeigt. "Nutzer sind automatisch von der Lücke betroffen, es sei denn sie klicken 'Skip' in diesem Fenster. Ich stehe daher zu meiner ursprünglichen Darstellung des Problems und gehe davon aus, dass 'Skip' klicken hier keine Default-Option ist."

Viel Unterstützung für Goodin

Im Internet hagelt es derweil Kritik an dem Vorgehen von Keeper Security. Viele bekannte Sicherheitsforscher und Journalisten haben sich öffentlich hinter Goodin gestellt. Sie kritisieren vor allem, dass die juristische Verfolgung von Personen, die Sicherheitslücken aufdecken, einen Chillingeffekt auf alle anderen habe.

Suing a journalist for reporting on a security vulnerability, especially in a security product, has the potential to harm valuable research and chill free speech https://t.co/pljakUNioN

— EFF (@EFF) December 20, 2017


Andere kündigten an, Keeper von nun an als Passwortmanager nicht mehr zu empfehlen und warnten den Hersteller vor dem Streisand-Effekt.

In my professional opinion, suing those who discuss software vulnerabilities is itself a reliable indication of dangerously vulnerable software and incompetent security practices. For that reason, I will be avoiding Keeper Security products. https://t.co/hJVHHisTyL

— matt blaze (@mattblaze) December 20, 2017


Nicht das erste Mal

Offenbar ist es nicht das erste Mal, dass Keeper Security versucht, gefundene Sicherheitslücken mit Hilfe von Anwälten unter den Teppich zu kehren. Im April 2013 berichtete das niederländische IT-Sicherheitsunternehmen Fox-IT in einem Blogpost, dass es von Keeper Security mit einer Klage bedroht wurde, nachdem es dem Hersteller eine Sicherheitslücke gemeldet hatte.

"Damals hat Fox-IT mehrere E-Mails und Briefe von Keepers Anwälten bekommen, in denen das Unternehmen drohte, Fox-IT zu verklagen, sollten wir mit unseren Ergebnissen an die Öffentlichkeit gehen", bestätigt eine Pressesprecherin von Fox-IT im Gespräch mit Golem.de. "Bei Fox-IT haben wir uns dennoch dafür entscheiden zu veröffentlichen. Nach dem Posten des Advisory haben wir nie wieder von Keeper gehört." Zu einer Klage sei es nicht gekommen.

Wir haben Keeper Security und Microsoft um Stellungnahme gebeten und werden den vorliegenden Text gegebenenfalls aktualisieren.

Nachtrag vom 22. Dezember 2017, 12:28 Uhr

Nach den weitgehend negativen Reaktionen der IT-Sicherheits-Community auf das Verhalten von Keeper Security hat sich nun dessen CEO Darren Guccione in einem Blogeintrag zu Wort gemeldet. Darin verteidigt er die Klage gegen den Ars-Journalisten Dan Goodin und besteht auf der Darstellung, dieser habe es versäumt, das Unternehmen vorab zu kontaktieren und den Passwortmanager Keeper von seiner Browsererweiterung Keeper Fill zu unterscheiden.  (jaw)


Verwandte Artikel:
Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager   
(18.12.2017, https://glm.io/131725 )
Sicherheit: Tag der unsinnigen Passwort-Ratschläge   
(01.02.2018, https://glm.io/132533 )
Siri: Apple wird wegen Patentverletzung verklagt   
(11.03.2018, https://glm.io/133268 )
Always Connected PCs: Vielversprechender Windows-RT-Nachfolger mit Fragezeichen   
(09.03.2018, https://glm.io/133094 )
Smartphones: Android-Nutzer sind loyaler als iPhone-Besitzer   
(12.03.2018, https://glm.io/133273 )

© 1997–2020 Golem.de, https://www.golem.de/