ArcSight: Micro Focus untersagt Quellcode-Zertifizierung für einzelne Staaten

Micro Focus, Anbieter der Security Software ArcSight, und auch HPE müssen eine gute Antwort auf eine selten öffentlich diskutierte Frage finden: Welcher Kaufinteressent darf den Source Code einer Security-Software überprüfen und welcher nicht?
 
Der Hintergrund: Die russische Regierung liess den Quellcode von ArcSight überprüfen und zertifizieren, bevor man die Lösung für sich selbst einkaufte. Dadurch hätten die Russen gleichzeitig Wissen erhalten, mit dem Hacker die Security-Systeme des US-Pentagons knacken könnten, das ArcSight ebenfalls einsetzt. Dies hat die Nachrichtenagentur 'Reuters' vor einigen Tagen berichtet.
 
Zitiert wurde dabei Rob Joyce, Cyber Security Coordinator des Weissen Hauses, der die Offenlegung des ArcSight-Codes für zumindest "problematisch" hält: Das könne Konsequenzen für die Sicherheit haben, aber auch urheberrechtlich bestünden Risiken. Je nach befragtem Experten ist die Beurteilung, welches Risiko gravierender sei, unterschiedlich.
 
Nun hat Micro Focus die Reissleine gezogen: Man werde die Offenlegung des Quellcodes beschränken, so das britische Unternehmen. "Micro Focus erlaubt keine Überprüfung des Quellcodes, wenn wir vernünftigerweise davon ausgehen, dass Regierungen von Hoch-Risiko-Ländern Zugang zu dieser Überprüfung haben".
 
Welches Land nun keine Einsicht mehr in welchen Code erhält, wurde bislang nicht kommuniziert. Micro Focus sagt auf Nachfragen von 'Reuters' heute ebensowenig, ob Russland nun auf einer "Schwarzen Liste" stehe.
 
Jedenfalls sei die Bewilligung zur Offenlegung nun Chefsache, so ein Micro Focus-Sprecher. Ein weiterer Firmenvertreter verteidigte zudem die Praxis. Diese externe Überprüfung würden Produkte vieler Unternehmen durchlaufen, um in einem Behörden-Markt zugelassen zu werden.
 
HPE erklärt die Hintergründe
HPE ist von der Debatte auch betroffen: ArcSight war in HPE-Besitz, als eine russische Verteidigungsorganisation Zugang zum Quellcode erhielt. Laut unbestätigten Aussagen ist Echelon mit dem Code-Review beauftragt gewesen; der Firma wird eine grosse Nähe zum russischen Militär nachgesagt.
 
HPE sagt, der Code sei von einer akkreditierten Firma überprüft worden, ausserhalb Russlands und unter enger Kontrolle durch HPE selbst: "Unser Quellcode und unsere Produkte wurden in keiner Weise kompromittiert", so eine HPE-Sprecherin laut 'Reuters'. Ausserdem durchlaufe kein HPE-Produkt aktuell den Prüfungsprozess für den russischen Behördenmarkt.
 
HPE informierte das Pentagon nicht über die Offenlegung und den Review durch Russen, sagte eine Vertreterin der Defense Information Systems Agency (DISA). Und kurz danach verkaufte HPE ArcSight an Micro Focus, der Deal wurde erst kürzlich abgeschlossen
 
Über die Usanz anderer Security-Software-Anbieter ist wenig bekannt. (mag)