PwC: Security-Forscher erhalten statt Dank nur Anwalts-Drohungen

Emoji, Windows 10 Emojis, Mittelfinger Bildquelle: Emojipedia.org
Während die meisten Firmen sich darüber freuen, wenn Informationen zu Sicherheitslücken bei ihnen und nicht bei Kriminellen landen, versuchen die Wirtschaftsprüfer von PricewaterhouseCoopers (PwC) die Finder einzuschüchtern. Das erlebte jetzt das Münchener Security-Unternehmen ESNC. Die Firma, die sich auf die Sicherheit von SAP-Installationen spezialisiert hat, entdeckte vor einiger Zeit eine Schwachstelle in einem von PwC entwickelten Tool. Dieses erlaubte Angreifern, sich Zugang zu einem SAP-System zu verschaffen und dort Daten zu stehlen und Backdoors zu installieren. Kurz nachdem ESNC die Entwickler über den Fehler informiert hatte, schickte PwC erst einmal seine Anwälte los, berichtete das US-Magazin ZDNet.

Im August gab es demnach ein Treffen zwischen ESNC und PwC, bei dem die Münchener Sicherheitsforscher detaillierte Informationen zu der Schwachstelle übergaben. Im Rahmen des üblichen Vorgehens beim so genannten "Responsible Disclosure"-Prozess kündigten sie an, nach einer dreimonatigen Frist ein entsprechendes Security Advisory zu veröffentlichen.

Statt Dankeskarten Post von Anwälten

Drei Tage später trafen die ersten juristischen Drohungen ein. In einem Schreiben der PwC-Anwälte, welche das Magazin einsehen konnte, wurden die Sicherheitsforscher aufgefordert, die Veröffentlichung eines Security Advisory oder ähnlicher Informationen zu unterlassen. Es sollten generell alle Äußerungen zu dem Thema gegenüber der Öffentlichkeit oder Nutzern der PwC-Software untersagt werden. Es folgte auch noch eine entsprechende Urheberrechtsverfügung. Der Wirtschaftsprüfungs-Konzern stellte sich hier auf den Standpunkt, dass ESNC keine Berechtigung habe, die Software, in der sie den Bug gefunden haben, überhaupt zu verwenden - immerhin würden sie nicht über entsprechende Lizenzen verfügen.

"Wir sind aber von Responsible Disclosure überzeugt", erklärte ESNC-Chef Ertunga Arsal und verwies darauf, dass man als Security-Unternehmen von SAP und dessen Kunden anerkannt ist und bis heute bereits über hundert Schwachstellen gefunden hat, ohne dass es zu solchen Reaktionen kam. Ungeachtet der Anwaltsschreiben haben die Münchener ihre Erkenntnisse inzwischen öffentlich gemacht.

Ein PwC-Sprecher verwies im Weiteren darauf, dass der Bug überhaupt nicht in aktuellen Versionen der eigenen Software zu finden sei und somit für die Kunden überhaupt keine Rolle spiele. Das ESNC-Bulletin beschreibe daher lediglich ein hypothetisches und unwahrscheinliches Szenario. Wie der Konzern nun darauf reagieren wird, dass seine Drohungen schlicht ignoriert wurden, bleibt abzuwarten. Emoji, Windows 10 Emojis, Mittelfinger Emoji, Windows 10 Emojis, Mittelfinger Emojipedia.org
Diese Nachricht empfehlen
Kommentieren12
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 11:25 Uhr USB C Hub, USB C Typ C Hub mit HDMI 4K, USB 3.0, Typ C PD Stromversorgung, Ethernet RJ45-LAN, USB C Hub aus Aluminiumlegierung, kompatibel für Laptop/Macbook, Macbook Pro, Samsung, Huawei/Computer etcUSB C Hub, USB C Typ C Hub mit HDMI 4K, USB 3.0, Typ C PD Stromversorgung, Ethernet RJ45-LAN, USB C Hub aus Aluminiumlegierung, kompatibel für Laptop/Macbook, Macbook Pro, Samsung, Huawei/Computer etc
Original Amazon-Preis
24,59
Im Preisvergleich ab
?
Blitzangebot-Preis
19,89
Ersparnis zu Amazon 19% oder 4,70

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden