Sicherheit bei HP: Schweigen statt Handeln

Eigentlich wollte Kurt Grutzmacher die bereits im August entdeckten Sicherheitslücken im Netzwerk-Equipment von Huawei und H3C auf der Sicherheitskonferenz Toorcon 14 veröffentlichen. Doch zwei Tage vor Beginn der Konferenz hat HP, der Mutterkonzern von H3C, schuldbewusst und freundlich um einen weiteren Aufschub gebeten. Dies geht aus einem Blog-Beitrag des Experten hervor. Eigentlich gibt es eine gemeinschaftlich geschlossene Vereinbarung, nach der Hersteller eine Schonfrist von 45 Tagen erhält, um die Lücken vor Veröffentlichung zu schließen.

Da Grutzmacher die von ihm entdeckten Sicherheitslücken als kritisch einstuft, wollte er bei der Präsentation auch die passenden Workarounds  mitliefern. Darüber hatte er HP und H3C schon im Vorfeld informiert. Die kurzfristige Bitte um Aufschub verleitet den Entdecker deshalb zu einem gewissen Spott. So tippt er darauf, dass die Mitarbeiter von HP wohl schlicht den Termin verschlafen hätten oder die Lücken für die Mitarbeiter anscheinend "zu groß" seien.

Möglicherweise hat HP aber auch kurzfristig neue Erkenntnisse gewonnen, die im Falle einer Veröffentlichung eine konkrete Bedrohung für die Nutzer darstellen. Grutzmacher verzichtet deshalb auf Veröffentlichung. Er spricht davon, dass ihm dies auch von Dritten empfohlen worden sei. Wer das ist, verrät er nicht.

Fazit: HP fällt nicht das erste Mal unangenehm im laxen Umgang mit schweren Sicherheitslücken auf. Wie com-magazin.de bereits im September berichtete, ließ die Zero Day Initiative (ZDI) dem Unternehmen sage und schreibe sechs Monate Zeit, bis sie im vergangenen September fünf ungestopfte Sicherheitslücken mit der höchsten Gefahrenstufe 10 veröffentlichte. Doch offenbar hat HP es bis heute nicht für nötig befunden, diese für Nutzer hochriskanten Lücken zu schließen.