Menü

Cisco: 8,6 Millionen US-Dollar wegen unsicherer Software zur Videoüberwachung

Cisco hat sich mit der US-Regierung außergerichtlich geeinigt und muss nun zahlen, nachdem ein Whistleblower auf große Sicherheitslücken hingewiesen hatte.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge
Von

Cisco kommt eine wissentlich lange Zeit offen gelassene Angriffsfläche in einer Software zur Videoüberwachung vergleichsweise teuer zu stehen. Der Netzwerkausrüster hat sich außergerichtlich mit dem US-Justizministerium sowie 15 Bundesstaaten nebst dem Regierungsbezirk Washington darauf geeinigt, wegen des Verkaufs des unsicheren Programms an Krankenhäuser, Flughäfen, Schulen, Gefängnisse, Polizeiämter und andere Regierungseinrichtungen sowie das Militär an die Kläger 8,6 Millionen US-Dollar zu zahlen.

Der Whistleblower James Glenn hatte den kalifornischen Konzern 2008 darauf hingewiesen, dass der von ihm vertriebene Video Surveillance Manager (VSM) eine gefährliche Sicherheitslücke aufweise. US-Berichten zufolge soll es Angreifern darüber auf einfachste Weise möglich gewesen sein, Kameras an- und auszuschalten, Videoaufnahmen zu löschen sowie potenziell andere angeschlossene Sicherheitssysteme wie Alarmanlagen unbemerkt auszuschalten.

Glenn arbeitete zu dem Zeitpunkt, als er detaillierte Hinweise auf die Schwachstelle an Cisco schickte, bei der Vertragsfirma NetDesign. Die entließ ihn 2009, angeblich aber nicht als Vergeltung für den offengelegten Fehler. Der Gefeuerte legte zwei Jahre später eine Klage an einem Gericht in New York ein und warf dem Konzern dabei falsche Behauptungen und Ansprüche vor. Erst 2013 gab Cisco daraufhin eine Sicherheitswarnung für die VSM-Software heraus und stufte die Verwundbarkeiten dabei als kritisch ein. Zeitgleich lieferten die Kalifornier Updates, mit denen Nutzer die Angriffsmöglichkeiten endlich abdichten konnten.

Der Vergleich markiert den erstmaligen Abschluss eines Verfahrens, in dem eine Firma auf Basis eines US-Gesetzes zum Schutz von Whistleblower zahlen muss, weil sie keine ausreichenden Vorkehrungen für die Cybersicherheit getroffen hat. Die Regierung und die Bundesstaaten, die sich der Klage angeschlossen haben, erhalten 80 Prozent des Geldes, der Rest geht an Glenn und seine Anwälte. Cisco zeigte sich erleichtert, den Streit vom Tisch zu haben. Ein Sprecher des Unternehmens betonte, dass es keine Anschuldigungen oder Hinweise darauf gegeben habe, dass sich Hacker aufgrund der Schwachstellen unautorisierten Zugang zu den Videoaufnahmen von Kunden verschafft hätten. (mho)