Durch den problematischen Kopierschutz XCP warf sich Sony BMG den zürnenden Käufern selbst zum Fraß vor. Nun kam ans Licht, dass der Konzern schon frühzeitig über die Sicherheitsrisiken Bescheid wusste und die Schäden auf beiden Seiten hätte abwenden können.
New York (bin) - Mit etwas mehr Schneid hätte der Musikkonzern Sony BMG all diese unangenehmen Dinge von sich fernhalten können: Virenübergriffe auf die Computer der eigenen Kunden, peinliche Auftritte in der Öffentlichkeit, eine teure Rückruf- und Entschädigungsaktion, zahllose Klagen (u.a. von amerikanischen Bundesstaaten) und schließlich der enorme Vertrauens- sowie Imageverlust. Denn wie das Wirtschaftsmagazin Business Week gestern aufdeckte, wusste das Label schon frühzeitig von den Sicherheitsrisiken, die sie mit ihrem Kopierschutz XCP auf die Kunden losließen.
Den Rechercheergebnissen der Zeitschrift zu Folge, sprach ein IT-Sicherheitsunternehmen bereits Anfang Oktober mit Sonymusic über die potentiellen Gefahren, die von dem Rootkit ausgingen. Doch der Musikkonzern beschloss, diese Bedenken zu ignorieren - schließlich wusste der Kunde zu diesem Zeitpunkt noch nichts von dem möglichen Risiko. Diese Taktik zog das Unternehmen bis zum bitteren Ende durch. Die Chronik des schleichenden Selbstmords lautet wie folgt:
September - Der Inhaber eines PC-Reparaturservices, John Guarino, entdeckte das Tool XCP. Wie ein hackerübliches Rootkit hatte sich der Kopierschutz an das Windowssystem eines Kunden-PCs geklettet und verursachte dort schwere Störungen. Da Guarino auf Grund anderer Vorfälle die Musik-CDs als Ursache vermutete, probierte er eine Sony-CD auf seinem eigenen, virusfreien Laptop. Und siehe da, kurz darauf bekam auch sein Rechner die Pest.
Oktober - Guarino meldete den Kopierschutz bei der finnischen Sicherheitsfirma F-Secure, die das Programm überprüften. Danach wandten sich die Spezialisten an Sony, denn XCP erwies sich auch in ihren Augen als gefährliches Rootkit. Sony jedoch wiegelte all die Warnungen ab, ein Sicherheitsproblem läge ihrer Meinung nach nicht vor.
Oktober - Trotz der angeblichen Harmlosigkeit des Programms behauptete Sony, den XCP-Hersteller First4Internet mit der Überprüfung beauftragt zu haben. Ein anderes Sicherheitsunternehmen entdeckte schließlich das Rootkit und bestätigte die Bedenken der Finnen von F-Secure. Diese stuften die belasteten Sony BMG-CDs anschließend als "ernsthaftes Sicherheitsrisiko" ein. Für das Label kein Grund zur Besorgnis.
Trotz weiteren fruchtlosen Versuchen, den Musikkonzern zum Handeln zu bringen, beschloss F-Secure, den Skandal nicht öffentlich zu machen. Ende Oktober entdeckte der IT-Sicherheitsprofi Mark Russinovich das Tool und nahm den Finnen die unangenehme Aufgabe ab. Er ging mit den deftigen Fakten über XCP an die Öffentlichkeit - von da an brauchte es nur kurze Zeit, bis Hacker ihre gefährlichen Viren für das Sony-Sicherheitsleck maßgeschneidert hatten.
Auch bis zu den ersten Millionenklagen war es nicht mehr weit. Pure Ironie, dass noch nicht mal XCP an sich aus der eigenen Feder stammt. Teile des Schädlings stammen nämlich von einem Open-Source-Programms namens "Lame", welches für die Spionageabsichten von Sonymusic ungefragt ausgeschlachtet wurde. Bei soviel Dummheit kann man eigentlich nur noch sein Beileid beisteuern, die starköpfigen US-Anwälte des Labels (Sony BMG habe im Fall XCP "alles richtig gemacht", zitiert das Magazin Spiegel) belehren jedoch eines Besseren.
Noch keine Kommentare