PwC: Security-Forscher erhalten statt Dank nur Anwalts-Drohungen

Während die meisten Firmen sich darüber freuen, wenn Informationen zu Sicherheitslücken bei ihnen und nicht bei Kriminellen landen, versuchen die Wirtschaftsprüfer von PricewaterhouseCoopers (PwC) die Finder einzuschüchtern. Das erlebte jetzt das Münchener Security-Unternehmen ESNC.
Emoji, Windows 10 Emojis, Mittelfinger
Emojipedia.org
Die Firma, die sich auf die Sicherheit von SAP-Installationen spezialisiert hat, entdeckte vor einiger Zeit eine Schwachstelle in einem von PwC entwickelten Tool. Dieses erlaubte Angreifern, sich Zugang zu einem SAP-System zu verschaffen und dort Daten zu stehlen und Backdoors zu installieren. Kurz nachdem ESNC die Entwickler über den Fehler informiert hatte, schickte PwC erst einmal seine Anwälte los, berichtete das US-Magazin ZDNet.

Im August gab es demnach ein Treffen zwischen ESNC und PwC, bei dem die Münchener Sicherheitsforscher detaillierte Informationen zu der Schwachstelle übergaben. Im Rahmen des üblichen Vorgehens beim so genannten "Responsible Disclosure"-Prozess kündigten sie an, nach einer dreimonatigen Frist ein entsprechendes Security Advisory zu veröffentlichen.

Statt Dankeskarten Post von Anwälten

Drei Tage später trafen die ersten juristischen Drohungen ein. In einem Schreiben der PwC-Anwälte, welche das Magazin einsehen konnte, wurden die Sicherheitsforscher aufgefordert, die Veröffentlichung eines Security Advisory oder ähnlicher Informationen zu unterlassen. Es sollten generell alle Äußerungen zu dem Thema gegenüber der Öffentlichkeit oder Nutzern der PwC-Software untersagt werden. Es folgte auch noch eine entsprechende Urheberrechtsverfügung. Der Wirtschaftsprüfungs-Konzern stellte sich hier auf den Standpunkt, dass ESNC keine Berechtigung habe, die Software, in der sie den Bug gefunden haben, überhaupt zu verwenden - immerhin würden sie nicht über entsprechende Lizenzen verfügen.

"Wir sind aber von Responsible Disclosure überzeugt", erklärte ESNC-Chef Ertunga Arsal und verwies darauf, dass man als Security-Unternehmen von SAP und dessen Kunden anerkannt ist und bis heute bereits über hundert Schwachstellen gefunden hat, ohne dass es zu solchen Reaktionen kam. Ungeachtet der Anwaltsschreiben haben die Münchener ihre Erkenntnisse inzwischen öffentlich gemacht.

Ein PwC-Sprecher verwies im Weiteren darauf, dass der Bug überhaupt nicht in aktuellen Versionen der eigenen Software zu finden sei und somit für die Kunden überhaupt keine Rolle spiele. Das ESNC-Bulletin beschreibe daher lediglich ein hypothetisches und unwahrscheinliches Szenario. Wie der Konzern nun darauf reagieren wird, dass seine Drohungen schlicht ignoriert wurden, bleibt abzuwarten.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!