Danke für die Information *bang*

30.September 2006 . Angels Sin

hasta la vista, baby

Man kann als Unternehmen, das im Internet etwas betreibt, auf eine Meldung von Sicherheitslücken verschieden reagieren. Da gibt's die Möglichkeit, zum Beispiel dem Melder zu danken, die Lücke so schnell wie möglich zu schließen und wieder Ruhe einkehren lassen. Manche verlangen für diese Dienste - also das finden von Sicherheitslecks - sogar Geld. Wenn da ein Tipp von kostenlos kommt, kann das einem Unternehmen eigentlich nur das Liebste sein.
Ein anderer Weg, dieses Problem zu bestreiten wäre, die Sicherheitslücke einfach links liegen zu lassen und so tun, als sei nichts. Bis nicht etwas schlimmes passiert, ist's doch sowieso egal. Wird schon keiner merken.

Die wohl ungünstigste - für das Image des Unternehmens - aber halt doch einfachste ist, dem Melder eine in die Fresse Undankbarkeit zu zeigen. Man bekommt ein Sicherheitsleck von einem externen mit, und der wird eingeschüchtert, nicht dass der da noch etwas im Blog oder so darüber schreibt und das Image des Unternehmens nachhaltig knickt. Nur... dieses Vorgehen hilft dem Image noch weniger, als die Sicherheitslücke einzugestehen und dagegen etwas zu unternehmen. Besonders, wenn man so vorgeht, wie Unister es derzeit gegen Dittes tut.

Probleme gab es am nächsten Tag dann auch, denn der Geschäftsführer von Unister, Thomas Wagner, hat mich angerufen und mich in einem alles andere als freundlichen Ton darauf aufmerksam gemacht, dass ich mich mehrfach strafbar gemacht hätte und man mich mit Klagen überschütten würde, sobald ich einen Beitrag über die Sicherheitslücke oder in irgendeiner Form negativ über Unister berichten würde.

Unister, ganz ehrlich. Das muss doch nicht sein. Auch wenn sie ein paar Tage zuvor erst groß PR gemacht haben eine Pressemitteilung veröffentlichten, dass sie auf Sicherheit viel Wert legen, und das jetzt quasi in Luft zersprungen ist - sowas macht man doch nicht. Ich schreibe auch nichts böses über euch - wieso sollte ich. Ich kenne euch nicht genug. Aber das Vorgehen ist nichts weiter als kontraproduktiv. Sicherheit kann man nicht durch Mundtotmachen erreichen - und wenn ihr einfach den Tipp angenommen hättet, gefixt und eben weiter nichts gemacht hättet, dann wäre alles in Butter. Ein Unternehmen, dem Sicherheit doch wichtig ist. Aber so... ne, da kann man eigentlich nur mit dem Kopf schütteln.
Und wieso sollte man sich strafbar machen, wenn man über Tatsachen berichtet - solange die Sicherheitslücke nicht erklärt wird, so das jeder sie ausnutzen kann, who cares? Schade, dass ihr damit versucht zu punkten, dass ihr am langen Hebel sitzt, und nur ein kleiner Student gegenüber ist. Den kann man einschüchtern, ohne Probleme... nur, dass er sich nicht wehren könnte, das nehmt bitte schnell zurück. Geht 1A ;)

Lest die ganze Geschichte bei Dittes.
Falls der Link nicht geht - DDoS-Attacken seit der Meldung, weshalb manchmal der Blog nicht geht, eine Verbindung mit Unister und den Attacken gibt es nicht! - hier ein Mirror.

Und George merkt auch an, was mir durch den Kopf gegangen ist, sofort nach dem Lesen des Artikels:

und noch eine anmerkung: wenn ich davon kenntnis erlangen würde, dass ein unternhemen meine kundendaten nicht so schützt wie es mir zugesagt wurde, wäre das auch eine grundlage zu klage, oder?

Die Einschätzung von Robert bei Basic Thinking kann ich auch nur unterschreiben, denn das Unternehmen nimmt durch so ein Vorgehen wirklich mehr Schaden, als die Sicherheitslücke einzugestehen und sie zu fixen. Ich mein, wir User sind das mit den Lücken und Lecks inzwischen gut und gerne gewohnt, ein schnelles fixen lässt uns am Ende wieder ganz gut schlafen, also was soll das?

Was Unister angeht: Wenn die Aussagen von Andreas den Tatsachen entsprechen, wovon ich ausgehe, kann ich die Reaktion des Chefs von Unister absolut nicht nachvollziehen. Erstens entzieht sich damit ein Web-Startups jeglicher Kundenunterstützung und zweitens muss man doch damit rechnen, dass sich das wie ein Lauffeuer ausbreiten wird. Jeder kann mal einen schlechten Tag haben und mehr als nur laut werden. Aber dann sollte man tief durchatmen, sich vor dem Kunden zehnmal wegen der Lautstärke, dem Tonfall und Drohaussagen verbeugen und hoffen, dass der die Entschuldigung akzeptiert. Alles andere wäre Selbstzerstörung. Ich verstehe das einfach nicht.

» Neueres in Kategorie Die GEZ auf internetfähige PCs
» Neueres im Blog Frauen verstehen lernen?!
« Älteres im Blog blog-blog... blog-o-rama!
« Älteres in Kategorie Willkommen beim Support von XY

Trackbacks (3)


wer steckt hinter den ddos-attacken?
beim samstäglichen absurfen der blogroll, bin ich auf etwas eigenartiges gestossen. gelegentlich wurde in kleinbloggersdorf über abmahnungen und klagen gegen blogger berichtet. als freund von verschwörungstheorien, greife ich jetzt mal ...
geschrieben am 30.09.06 @ 15:58
Trackback von: problematik.net

Ich mag Unister nicht
Andreas Dittes mag Unister. Ich mag Unister nicht. Unister? Kann man das essen? Muss man das kennen? Nein, man kann Unister nicht essen und man muss Unister auch nicht kennen. Unister ist eine populäre Webseite der Unister GmbH, die sich als Studente...
geschrieben am 30.09.06 @ 22:57
Trackback von: Mein Parteibuch

Unister: Sicherheitslücke wird zu PR-Gau
Unister, Konkurrent des beliebten StudiVZ, macht sich unbeliebt. Wirklich sympathisch war mir die Seite bisher nicht, aber jetzt ist sie mir richtig unsympathisch.
Andreas Dittes hat da unangenehme Erfahrungen gemacht, nachdem er auf eine Sicherheitsl&...
geschrieben am 01.10.06 @ 02:15
Trackback von: henningschuerig.de/blog
Kuroi Tenshi's darkness - Startseite