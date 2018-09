Mit einem Vergleich und der wohl ersten rechtsverbindlichen Vereinbarung über die verantwortungsbewusste Veröffentlichung von Software-Schwachstellen endete am Mittwoch ein Verfahren vor dem Landgericht Nürnberg-Fürth. Geklagt hatte die Promon AG, die eine Sicherheitssoftware für Banken vertreibt, gegen Wissenschaftler der Friedrich-Alexander-Universität Erlangen und der TU München. Die Forscher hatten mehrfach Schwachstellen in der Software Promon Shield entdeckt und öffentlichkeitswirksam darüber berichtet.

Sicherheitsforschung – unfair oder einfach unbequem?

Mit einer urheberrechtlichen Abmahnung und einer anschließenden einstweiligen Verfügung hatte die Promon AG insgesamt acht Wissenschaftler zu Zugeständnissen bei der Veröffentlichung erkannter Softwareschnittstellen zwingen wollen. Das Unternehmen war der Ansicht, willkürlich herausgegriffen worden zu sein, obwohl Wettbewerber vergleichbare Probleme hätten. Die Wissenschaftler unterstrichen, die starke Marktposition des Unternehmens im deutschen Bankensektor habe sie zu Promon geführt.

Vor allem aber kritisierte Promon die Art der Kommunikation. Man habe jeweils erst durch Presseveröffentlichungen von den Lücken erfahren, technische Details, etwa die Art des Exploits seien die Erlanger Forscher bis zuletzt schuldig geblieben, kritisierte der CTO der Promon AG. Die Übergabe eines Teils des Source Codes von Nomorp, des für den Exploit von Promon Shield genutzten Tools, gehörte für ihn damit am Ende zur Verhandlungsmasse.

Zähe Verhandlungen über "responsible disclosure“

Die dritte Zivilkammer unter dem Vorsitz von Ulrich Dettenhofer erkannte das wirtschaftliche Interesse der Firma an, Schwachstellen ohne großes Aufsehen schließen zu können. Zugleich stellte Dettenhofer klar, dass eine Universität auch auf der Basis möglicherweise berechtigter Urheberrechtsansprüche nicht verpflichtet werden kann, still zu halten, wenn sie für die Öffentlichkeit schädliche Sicherheitsschwachstellen aufdecken will.

Nach fast sieben Stunden zäher Verhandlungen stand ein Vergleich, bei dem sich das Gericht darauf konzentrierte, ein Verfahren für die künftige „responsible Disclosure“ festzuzurren. Promon-Vertreter und Wissenschaftler einigten sich auf ein mehrschrittiges Vorgehen: Die Forscher informieren das Unternehmen über die Schwachstelle. Zugleich machen sie einen Vorschlag, wie lange sie die Veröffentlichung zurückhalten, um dem Unternehmen Gelegenheit zu geben, die Lücke zu schließen. Das Unternehmen erhält ein Gegenvorschlagsrecht bezüglich der Frist. Eine feste Frist vorzugeben hielt die Kammer nicht für sinnvoll, da Schwachstellen sehr unterschiedlich sein können und daher auch unterschiedlich schnell geschlossen werden müssen.

Die Wissenschaftler behalten in dieser Hinsicht das Heft in der Hand, auch wenn am Ende das Hinzuziehen von Journalisten „als Moderatoren“ während der Stillhaltezeit auf Drängen von Promons Anwälten aus dem Text wieder gestrichen wurde. Die Wissenschaftler begründeten das Hinzuziehen vertrauenswürdiger Journalisten als Absicherung gegen mögliche Klagen durch die Firma. Am Ende einigte man sich darauf: solange während der Stillhaltezeit nicht gerichtlich vorgegangen wird, verzichten die Wissenschaftler auf die Rückendeckung.

Signalwirkung?

„Sie (können) hier als Väter eines 'responsible disclosure'-Verfahrens rausgehen“, hatte der Vorsitzende Richter geworben. Die Erfolgsaussichten der Klägerin bei einer Entscheidung im Eil- oder Hauptsacheverfahren versah er demgegenüber mit deutlichen Fragezeichen, nicht zuletzt angesichts eines klaren Anspruchs der Öffentlichkeit auf Schließen von Softwareschwachstellen.

Julian Kirsch vom Lehrstuhl IT Security an der TU München sagte im Anschluss, der Vergleich greife im Prinzip auf, was man dem Unternehmen im Verlauf der voran gegangenen Verhandlungen bereits angeboten habe. Zentral aus Sicht der Wissenschaftler war die Übernahme sämtlicher Kosten für das Verfahren durch Promon. Denn allein die Aussicht teurer Verfahrenskosten könne abschreckend für die Wissenschaft werden.

Auch Promon war am Ende zufrieden, bestätigte Geschäftsführer Gustaf Sahlman. Ein fairer Umgang bei der Aufdeckung von Schwachstellen sei, was man gewollt habe. Die vereinbarten Regeln für die verantwortliche Veröffentlichung von Schwachstellen sind zwar erst einmal nur für die acht Beklagten verbindlich, könnten aber, so Sahlman, als „Nukleus für ein kooperatives Vorgehen von Wissenschaft und Wirtschaft“ dienen. (Monika Ermert) / (axk)