oder hat hier schonmal jemand etwa ein Wort des Dankes gelesen?
Hier, hier (schnips) ... ich.
Ich habe tatsächlich schon E-Mails von AVM erhalten (ich könnte es auch "beweisen"), die mit den Worten
vielen Dank für Ihre PGP-Verschlüsselte Email.
begannen.
Da kannst Du nicht meckern ... zu weiterem Gedankenaustausch muß das aber auch noch nicht zwangsläufig führen; jedoch den Vorwurfs des "Undanks" kann man so eigentlich nicht stehen lassen.
Wenn die Leute "in der Entwicklungsabteilung" die E-Mails dann nicht lesen, kann auch niemand sich beschweren ... denn die bleiben ja weitgehend "im Dunklen". Man kann zwar an einigen wenigen Stellen ein paar "Benutzernamen" aus Pfadangaben extrahieren, aber ansonsten werden die schon gut abgeschirmt und wenn so eine Mail dann nicht versehentlich tatsächlich beim richtigen Bearbeiter landet, bin ich mir teilweise nicht einmal mehr sicher, ob die überhaupt gelesen werden.
Nach 3-4 weiteren Nachfragen zum Stand der Bearbeitung so einer Meldung (in aller Regel kriegt man eine "Incident-Nummer", damit man sich auf irgendetwas beziehen kann) erhält man auch eine weitere (leider meist auch ausweichende bzw. ziemlich windelweiche) Antwort, auch da brennt nichts an.
Bei meinen E-Mails an AVM bzgl. irgendwelcher Sicherheitsprobleme bin ich entweder von Beginn an so ausführlich und präzise, daß die geschilderten Probleme ohne weiteres nachvollzogen werden können oder es dauert tatsächlich extrem lange, bis die bei AVM dann mal "durchdringen". Ich habe jedenfalls (wenn ich mich richtig erinnere) noch zu keiner einzigen Meldung eines Sicherheitsproblems nach dem April 2015 eine Nachfrage von AVM erhalten.
Irgendwann hatte ich dann mal die Nase voll und habe meinerseits an die Stelle ständiger "Nachfragen" die einmalige Feststellung gesetzt, daß ich innerhalb von 4 Wochen nach Meldung so einer Lücke eine Bewertung erwarte, seitdem kommen die (mehr oder weniger aussagekräftig) dann auch zurück. Die Kommunikation bei der (unaufgeforderten) Meldung von Sicherheitsproblemen steckt bei AVM definitiv noch in den Kinderschuhen ... aber das wird ja vielleicht noch.
Beispiel:
- Meldung eines Problems an AVM am 02.06.2016 per E-Mail
- Antwort von AVM (mit einem oben zitierten "danke") am 03.06.2016, mit dem folgenden Text:
Sehr geehrter Herr XXX,
vielen Dank für Ihre PGP-Verschlüsselte Email. Ich habe Ihr Anliegen unter
Incident-ID: #nnnnnn erfasst und Ihre Daten und Informationen an die AVM
Entwicklungsabteilung zur Prüfung weitergeleitet.
Ich melde mich bei Ihnen wieder, sobald mir Informationen vorliegen.
- dieser Text ist vermutlich ein Baustein, ich habe ihn in exakt derselben Formulierung von zwei verschiedenen AVM-Mitarbeitern vorliegen und auch mehr als einmal
- dann zwei Wochen "bedeutungsschwere Stille"
- nach 14 Tagen (20.06.) habe ich die Spannung dann kaum noch ausgehalten und einfach einmal nachgefragt, wann denn nun "Informationen vorliegen" würden.
- am 24.06. dann gleich noch einmal, da die erste Nachfrage nicht einmal mehr einer Eingangsbestätigung für würdig befunden wurde
- auf diese Nachricht erhielt ich dann (noch an demselben Tag, denn ich hatte noch vormittags geschrieben) folgende Antwort:
Sehr geehrter Herr XXX,
vielen Dank für Ihre erneute Nachfrage.
Ich kann Ihnen mitteilen, dass der Issue zu Incident #nnnnnn im kommenden
Major-Release gefixt sein wird. Wir planen das Release ca. Q3/2016.
Auch hier ist also der Dank keineswegs zu kurz gekommen, auch wenn er sich halt auf meine hartnäckigen Nachfragen und nicht auf die Meldung (und Geheimhaltung) einer potentiellen Lücke in der Firmware bezieht. Insofern stimmt es auf der anderen Seite tatsächlich, daß sich AVM grundsätzlich zwar für "die Post" bedankt (auch die Support-Mails werden bestimmt einen passenden Textbaustein enthalten), aber eine Kommunikation mit den Leuten, die in ihrer Firmware Sicherheitsprobleme entdecken (oder auch generelle Fehler aufzeigen) und diese an AVM melden, ist offensichtlich weder erwünscht noch findet sie wirklich in nennenswertem Umfang statt.
Nicht daß jetzt jemand denkt, ich hätte aus den E-Mails von AVM irgendetwas Wichtiges unterschlagen ... danach kommt dann nur noch die Grußformel, der Name des Mitarbeiters oder der Mitarbeiterin und dann noch die Angaben im "Impressum" zur Firma - so knackig und präzise wird dort kommuniziert. Das nehme ich auch nicht übel, schließlich wurde vermutlich schon genug Zeit in die Lektüre des Posteingangs investiert und Zeit ist bei AVM wahrscheinlich ein äußerst knappes Gut (die haben wahrscheinlich auch nicht mehr als 24 Stunden pro Tag zur Verfügung).
Das war hier als Beispiel zwar nur ein kleineres Problem (der Jugendschutz der Firmware kann unter bestimmten Umständen ausgehebelt werden), aber auch bei größeren Problemen wird man eher als lästiger Bittsteller behandelt (wenn man dann gar noch wissen will, ob oder wann das gefixt sein wird, damit man es gefahrlos veröffentlichen kann) und von einer aktiven Kommunikation von AVM-Seite aus kann ich nichts berichten (zumindest nicht aus eigener Erfahrung).
Selbst eine Meldung eines eher schweren Problems (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:U/RC:U/CR:X/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H) - der Text der Eingangsbestätigung vom 04.07. unterscheidet sich, mit Ausnahme der Nummer, tatsächlich nicht von dem oben bereits zitierten - am 02.07.2016 brachte bis zum 01.08. dann nichts anderes als "bleierne Stille" (ich schickte dann am 15.07. noch einen weiteren PoC hinterher, der das noch einmal eindringlicher demonstrierte) und dann kam die folgende Antwort (ich hatte deutlich verkündet, daß ich nach 4 Wochen ohne Reaktion meinerseits zur Veröffentlichung schreite, weil das vermutete Problem dann wohl nur ein Hirngespinst meinerseits war):
Sehr geehrter Herr XXX,
der von Ihnen gemeldete Punkt unter Incident-ID #nnnnnn wird aktuell noch
untersucht.
Sobald eine Einschätzung unserer Entwicklung vorliegt, melden wir uns
wieder bei Ihnen.
Inzwischen wurde mir am 10.08. (mit den Worten: "BTW: der Fehler wird mit dem nächsten geplanten Major Release behoben sein.") mitgeteilt, daß man sich des Problems anzunehmen geruhte. Allerdings ist das tatsächlich die einzige aktuelle E-Mail, in der dann einmal die Worte vorkommen:
Vielen Dank nochmals fur Ihre Meldung von Incident #515119.
Nun weiß ich zwar nicht (auch nicht nach der Kontrolle des gesamten Mailverkehrs zu diesem "Incident"), was da das Wort "nochmals" zu suchen hat, denn es war tatsächlich die erste Erwähnung eines "Dankes", die sich nicht auf den reinen Versand einer E-Mail bezog und das gilt ausdrücklich auch für die anderen vier offenen "Incidents" seit der ersten Meldung am 02.06.2016.
Fazit: Rein formal hast Du an dieser Stelle unrecht ... aber inhaltlich könnte man das tatsächlich so sehen.
.
