IT-Security ist ja ein bisschen wie ein Arztbesuch. Der Patient ist in einer Notlage und kann nicht beurteilen, ob der Dienstleister was kann oder ein Scharlatan ist.

Wie kann man da also Vertrauen aufbauen? Es gibt ein paar einfache Indizien, die helfen können.

Erstens: Wenn der Hersteller Bugs nicht sofort schließt sondern verhandelt, dass die ja nicht so schlimm sind, dann vertraut ihm nie wieder.

Zweitens: Wenn der Hersteller in seiner Pressemitteilung das Wort Sicherheitsforscher in Air Quotes setzt, dann vertraut ihm nie wieder. Schuld an der Misere war nicht der Typ, der das offene, öffentliche API aufgerufen hat, sondern D-Trust, die dieses API überhaupt mit nacktem Arsch im Internet hatten.

Wer sein eigenes Versagen kleinzureden oder zu leugnen versucht, hat in dieser Branche meiner Ansicht nach nichts verloren.

Update: Der CCC hat auch eine Pressemitteilung dazu veröffentlicht. Viel tiefer hätte die Bundesdruckerei kaum ins Klo greifen können.