News

:!: Aus aktuellem Anlass – Eine Auflistung der SpiegelMining-Artikel gibt es unter der folgenden URL: http://www.dkriesel.com/spiegelmining :!:

Warum es nicht zielführend gewesen wäre, von Xerox Geld zu verlangen

Es gibt noch eine weitere Frage, die im Nachgang zur Xerox-Saga häufig gestellt wird - und die ich hiermit öffentlich beantworten möchte. Die Frage lautet, ob ich von Xerox Geld (oder geldwerte Vorteile) angenommen habe. Die Antwort lautet: Nein, habe ich nicht. Ich habe mir nicht einmal meine DHL-Expressmarke erstatten lassen, mit der ich die Originale zu Francis Tse gesendet habe.

Auf diese Antwort hin ernte ich manchmal ungläubige Blicke oder Nachfragen. „Wirklich nicht?“ – „Wirklich nicht. Keinen Cent.“ Bis jetzt war das okay für mich, aber auf Basis des aktuellen Artikels zur Xerox-Saga in der Computerzeitschrift c't und einiger anderer Fachartikel ging mir folgende Ansicht eines Wirtschaftsmanagers zu, die mich überrascht hat. Die pointierte Kurzfassung lautet: Ich wäre schön blöd, wenn ich Xerox für meine Dienste nicht wenigstens einige Zigtausend Euro in Rechnung gestellt hätte, in Anbetracht der Tragweite des Problems mutmaßlich deutlich mehr. Gut, soweit waren wir schon. Die Überraschung für mich war: Im Übrigen würde das jeder c't-Leser angesichts meines engen Kontaktes zur oberen Xerox-Etage in dieser Zeit sowieso annehmen.

Ich will diese Ansicht überhaupt nicht verteufeln. Man kann sie mit stichhaltigen Argumenten stützen, und derjenige, der dieses Urteil abgab, hat dem Vernehmen nach genug praktische Erfahrung wirtschaftlichen Erfolg vorzuweisen, um ein sicheres Gespür für die Sachlage zu haben. Zudem ist eine größere Finanzspritze ja für einen 29jährigen am Anfang des Berufslebens nicht immer unpraktisch. Also lege ich einfach mal meine Ansicht und die Begründung für meine Vorgehensweise offen. Jeder kann sich dann entscheiden, ob ich blöd gewesen bin, oder eben nicht. Für jedes Feedback bezüglich meiner Blödheit bin ich natürlich dankbar. :-)

Xerox-Scankopierer verändern geschriebene Zahlen

Vorabanmerkungen:

  • Eine (lange nicht erschöpfende) Presseschau habe ich anlässlich meiner Gastvorlesung zum Thema hier zusammengestellt. Ich bin selbst überrascht, wie viele Artikel es gibt.
  • Eine Zeitleiste der ganzen Angelegenheit gibt es weiter unten. Darin kann man sich einen Überblick verschaffen, und findet auch die relevanten Blogartikel verlinkt. Daraus geht auch klar hervor, dass ich Xerox sehr viel Zeit gelassen habe, also nicht einfach mit der Sache an die Öffentlichkeit gegangen bin. Das ist mir wichtig, weil ich erstmal versuche, im nicht-öffentlich auf Leute zuzugehen, wenn ich etwas zu beanstanden habe.

Video und Folien zu meinem Vortrag "Traue keinem Scan, den du nicht selbst gefälscht hast" (31C3)

Hier gibt es auch noch die Vortragsfolien.

Hier könnt ihr mir Feedback über den Vortrag geben! Das ist mir wichtig, danke! :-) (Achtung: 5 ist das beste, 1 ist das schlechteste, das sind keine Schulnoten.)

Einleitung

In diesem Artikel dokumentiere ich ausführlich, wie weit verbreitete Firmen-Scankopierer der Firma Xerox bei gescannten Seiten Ziffern, Zahlenreihen oder andere Bildfragmente unvorhersehbar vertauschen/ersetzen – und zwar nicht aufgrund irgendwelcher Texterkennung, sondern richtig hart in den Pixeldaten. Das Ergebnis sind Dokumente, die subtil falsch sind, aber perfekt aussehen – so, dass man es auf den ersten Blick nicht bemerkt. So etwas kann extrem gefährlich sein oder sogar Menschenleben kosten. Der Phantasie sind keine Grenzen gesetzt:

  1. Abrechnungen, die plötzlich nicht mehr stimmen.
  2. Baupläne mit vertauschten Quadratmeterzahlen.
  3. Falsche Ingenieurspläne, die wiederum Menschenleben gefährden würden (stellt euch vor, eine Autobahnbrücke hat in der Statik einen Zahlendreher verbaut).
  4. Arzneimitteldosierungen mit Zahlendrehern, eigentlich noch schlimmer.

Ihr seht schon: Was sich zunächst locker anhört, ist absolut kritisch und kann schnell lebensgefährlich werden. Es handelt sich um einen acht (!) Jahre alten Bug, der nach Händlerinformationen hunderttausende Xerox-Multifunktionskopierer weltweit betrifft. Mehrere große Gerätefamilien sind betroffen (eine Liste gibt es weiter unten). Jeder, der diese in den letzten acht Jahren eingesetzt hat oder jetzt noch einsetzt, muss sich fragen:

  • Wieviele fehlerhafte Unterlagen, die auf den ersten Blick richtig aussehen, habe ich in den letzten Jahren gespeichert oder gar an dritte herausgegeben?
  • Sind durch diese denkbaren Fehler Menschen oder Vermögenswerte gefährdet?
  • Kann ich für diese Fehler verantwortlich gemacht werden?

Bis zur Behandlung des Fehlers in meinem Blog war er nicht entdeckt oder veröffentlicht. Seine Tragweite entfaltete sich auch erst in Laufe meiner verschiedenen Blogartikel, die von den Massenmedien aufgegriffen und verbreitet wurden. In welcher Reihenfolge was geschah, lässt sich anhand der nachfolgenden Zeitleiste sehen. Es waren zwei interessante Wochen, das kann ich euch versprechen. :-)

Der Rest des Artikels ist wie folgt gegliedert.

  • Es wird an einer Zeitleiste beschrieben, wie die Angelegenheit sich entfaltet hat
  • Es wird an konkreten Beispielen beschrieben, wie der Fehler entdeckt wurde, und wie subtil er auftritt. Weil schwer zu glauben ist, dass ein Scankopierer Zahlen verdreht, liefere ich natürlich Beweismaterial mit.
  • Danach kommt eine Liste der betroffenen Kopierer.
  • Es folgt eine grobe Anleitung, wie sich der Fehler reproduzieren lässt.
  • Zuletzt gibt es eine kurze, laienhafte rechtliche Würdigung der rechtlichen Folgen. Kurzform: Die letzten 8 Jahre an PDF-Scans von betroffenen Geräten kann nicht nur Fehler enthalten, sie sind anscheinend auch rechtlich komplett wertlos, und zwar unabhängig davon, ob Fehler tatsächlich nachgewiesen werden.