“Security by juridical intimidation”

Ein für die Blackhat-Konferenz angekündigter Vortrag wurde wegen angeblicher Patentverletzungen abgesagt. Der Referent Chris Paget wollte das Klonen von RFID-Chips vorführen; der Smartcard-Hersteller HID (dessen Chips schon bei früheren Vorträgen von Paget zum Einsatz kamen) drohte nun kurzfristig mit Patentklagen sowohl gegen Paget als auch dessen Arbeitgeber: Angeblich würde das Gerät, das Paget für die Demonstration gebaut hätte, gegen zwei Patente der Firma verstoßen. HID ist ein namhafter Hersteller von Zugangssystemen und hatte erst unlängst ein neues RFID-basiertes Produkt zur Zugangssicherung vorgestellt.

Erstaunlich ist, daß HID vorgibt, sehr genau über den Versuchsaufbau bescheid zu wissen (sonst könnten sie wohl kaum punktgenau zwei Patente benennen, die angeblich verletzt werden); zusammen mit der Tatsache, daß das erwähnte neue Produkt gerade frisch vorstellt wurde, drängt das die Vermutung auf, daß hier (erfolgreich) versucht wurde, in letzter Sekunde "den Stecker zu ziehen": Man zückt die juristische Keule und droht dem Forscher mit hohen Schadensersatzklagen und (indirekt) dem Verlust des Arbeitsplatzes. Klonbare Zutrittsausweise wären ja in der Tat kein Ruhmesblatt für die Firma...
Ist also nach "Security by obscurity" der nächste Schritt "Security by juridical intimidation"? Klar, es ist schwierig für das Marketing, ein Produkt zu verkaufen, über das man nur sagen kann: "Ok, die Security ist Schei**e, aber hey: Es ist cool, es funktioniert mit RFID!" Besser wäre es doch, wenn man von vornherein der Sicherheitstechnik mehr Gewicht zu kommen läßt, anstatt Forscher mundtot zu machen und ein potentiell unsicheres Produkt zu verkaufen...

comments powered by Disqus