VDA Labs, ein Startup, das Fehler in Anwendungen aufspürt, hat durch ungewöhnliche Geschäftspraktiken auf sich aufmerksam gemacht. In den USA gilt sein Name inzwischen als Synonym für ein neues, zweifelhaftes Geschäftsmodell.
Vulnerability Discovery and Analysis (VDA) Labs wurde im April von Jared DeMott gegründet. Das Unternehmen sucht nach Bugs in Webanwendungen und benachrichtigt daraufhin den jeweiligen Betreiber. Allerdings belässt VDA es nicht nur dabei, sondern verlangt für die Entdeckung der Bugs eine Gebühr beziehungsweise einen Beratungsauftrag. Andernfalls würde der Bug an Dritte weiterverkauft werden oder der Fehler öffentlich aufgedeckt werden. „Unser Business-Modell hat schon ein paar Ecken und Kanten“, gibt DeMott zu – andere nennen es schlicht Erpressung.
Vor zwei Wochen bekam es die Social-Network-Plattform Linkedin mit VDA zu tun. Die Firma spürte eine Sicherheitslücke in der Linkedin-Internet-Explorer-Toolbar auf und bot dem Unternehmen genauere Informationen sowie weitere Beraterdienste zum Pauschalpreis von 5000 Dollar an. Gleichzeitig wurde Linkedin ein Ultimatum gesetzt.
Nachdem Linkedin auf die Forderungen nicht reagierte, verschickte VDA am Abend vor dem Ablauf des Ultimatums weitere E-Mails. Darin wurde an die Deadline erinnert und die Forderung auf 10.000 Dollar erhöht. Als auch diese Drohung unbeantwortet blieb, bot DeMott zwei Tage später nur noch die Beratungsdienste an. Linkedin hat sich zu diesem Vorfall nicht geäußert und den betreffenden Bug mittlerweile selbst bereinigt.
DeMott verteidigt derweil seine Praktiken. Sie seien nur dazu gedacht, den betroffenen Unternehmen zu helfen und eindringlich auf bestehende Sicherheitslücken hinzuweisen. „Wir haben unsere Maßnahmen niemals als Erpressung angesehen. Wir wollten Firmen lediglich auf Fehler hinweisen und unsere Hilfe anbieten.“ Als Begründung nennt er die Verfahrensweise einiger Softwarefirmen, niemals mit Sicherheitsfirmen zusammenzuarbeiten, sondern lediglich auf durch Kunden aufgedeckte Fehler zu reagieren. „Wir haben mit unserem Geschäftsmodell durchaus Erfolg. In den vergangen vier Monaten hat die Hälfte der angesprochenen Firmen für die Beseitigung der Bugs gezahlt.“
„Das ist eindeutig Erpressung. Niemand sollte mit der Veröffentlichung eines Bugs drohen und Geld fordern“, sagt Johannes Ullrich, Forschungsleiter beim Sans Institute. „VDA ist nicht die einzige Firma mit derartigen Geschäftspraktiken. Da große Firmen wie Microsoft aber im Einklang mit ihren Unternehmenswerten niemals für aufgedeckte Fehler bezahlen würden, sehen sie die Vorgehensweise als schlichte Erpressung an“, ergänzt Terri Forslof, Sicherheitsmanager bei Tipping Point, einer Tochterfirma von 3Com.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…