xerox pixabay

Xerox Skandal – 5 Jahre danach

Vor fünf Jahren deckte der Informatiker David Kriesel einen schwerwiegenden Programmfehler bei den Multifunktionsdruckern der US-amerikanischen Firma XEROX auf. Der Xerox Skandal zog weite Kreise. Doch ist der Fehler tatsächlich aus der Welt geschafft? Und welche Folgen hatte dieser Skandal für das Unternehmen?

Was war passiert?

Für alle, denen diese Nachricht damals entgangen ist oder die Abläufe nicht mehr vertraut sind, fasse ich kurz die Geschehnisse aus dem Jahr 2013 zusammen. Am 24. Juli 2013 erhielt David Kriesel einen Anruf von einer befreundeten Firma, die mit Xerox WorkCentres ihre Dokumente vervielfältigt. Die Mitarbeiter hatten bemerkt, dass auf dem gescannten Ausdruck andere Zahlen standen, als auf dem Original. Aufgefallen war der Fehler nur, weil in einem Bauplan ein offensichtlich kleinerer Raum, eine kleinere Quadratmeterzahl hatte, als der kleinere daneben.

Die Geräte der Produktlinien WorkCentre und ColorQube veränderten beim Scannvorgang durch einen Programmfehler Zahlen und Buchstaben. Aus der Zahl „6“ wurde beispielsweise eine „8“ und der Buchstabe „l“ wurde zu einem „I“. Da diese Großgeräte fast ausschließlich in Behörden, Unternehmen und Großraumbüros vorzufinden sind, hat die Tragweite, die hinter dem aufgedeckten Programmfehler steckte, die Ausmaße eines „Scannergate“, wie die Computerzeitschrift „c´t“ schrieb.

Ein schon fast lustige Anekdote ist, das Xerox Vize-Päsident Rick Dastin in einem Interview versuchte die Situaion herunterzuspielen mit den Worten: „Das ist alles halb so schlimm, dieser Normal-Kompressionsmodus, der kann Fehler produzieren, aber den nimmt fast keiner, nur das Militär oder irgendwelche Ölbohrinseln.“

Der Grund für die Veränderung von Zahlen und Buchstaben, lag unter anderem an der Zwischenspeicherung der zu scannenden Dokumente. Diese Verfälschung war letztlich auf den, in den Xerox-Geräten eingesetzten Kompressionsalgorithmus JBIG2 zurückzuführen. Dabei werden gleiche Zeichen nur einmal abgespeichert, sowie die Positionen gespeichert, an welchen dieses Zeichen einzusetzen ist. Auf ungläubiges Staunen seitens der Serviceunternehmen und dem Unternehmen Xerox folgten Tage des Stillschweigens.

Der weitere Verlauf

Kiesel ließ nicht locker und nachdem der Skandal medial weltweit Aufsehen erregte, fand er sich eines Tages in einer Telefonkonferenz mit dem Xerox Vize-Päsident Rick Dastin und Chefingenieur Francis Tse wieder. Dabei kam heraus, dass dieser Fehler dem Unternehmen zu dem Zeitpunkt bereits seit acht Jahren bekannt war. Jedoch nahm Xerox an, dass der Fehler durch die Einstellung einer höheren Auflösung behoben werden konnte. Zumindest wies Xerox in einem dreihundertachtundzwanzig seitigem Handbuch auf Seite einhundertsieben an zwei Punkten im Fließtext auf diesen Umstand hin.

Während der Suche nach einer Lösung des Problems kam heraus, dass der Programmfehler in allen Einstellungen und bei allen Auflösungsstufen vor kam und somit generell alle Nutzer betroffen sein konnten. Von nun an stand Kriesel Tag und Nacht mit Xerox und den Medienvertretern im ständigen Austausch von Informationen. Während sich die internationalen Medien auf das Thema stürzten, reagierten die deutschen verhalten.

Nach über einem Monat, nachdem der Programmfehler (Bug) publik geworden war, gelang es Xerox den Fehler zu lokalisieren, zu beheben. Das Unternehmen stellte ein Update für die betroffenen Geräte und Gerätefamilien zur Verfügung wodurch das JBIG2-Verfahren deaktiviert wurde. Die Herausforderung bestand jedoch darin, jeden Kunden weltweit eine neue Version (Update) der Gerätesoftware zur Verfügung zu stellen.

Dies gestaltete sich um so schwieriger, da Xerox keine direkten Vertriebsstrukturen besitzt, sondern mit Drittfirmen zusammen arbeitet. Diese lokal ansässigen Betriebe übernehmen den Vertrieb und die Wartung der Geräte. Ob dieses Update also an jedem Gerät vorgenommen wurde, darf stark bezweifelt werden. Es gab zwar eine weltweite Berichterstattung durch die Medien. Aber ist diese in jedes verstaubte Behördenbüro oder Archiv und jede Agentur vorgedrungen?

Die Folgen

Die Folgen sind nicht absehbar. Zum Einen ist nicht gewiss, ob alle Geräte weltweit mit der neuen Programmierung ausgestattet, sprich das Update installiert wurde, zum Anderen alle, mit den Geräten erstellte Dokumente auf ihre Richtigkeit hin überprüft werden. Inwieweit der Programmfehler Gerichtsverfahren beeinflusst oder Konstruktionsfehler hervorgerufen hat, wird wohl nie geklärt werden können. In diesem Zusammenhang ist die Frage von Kriesel gar nicht so uninteressant, mit welchen Geräten die Baupläne vom Flughafen BBI gescannt wurden.

Doch auch Archive, die ihre Unterlagen mit den Multifunktionsdruckern von Xerox digitalisiert haben, stehen vor einem Problem. In vielen Fällen wurden die Originale der Dokumente vernichtet. Somit ist ausgeschlossen, jemals in Erfahrung zu bringen, ob die vorhandenen Digitalisierungen fehlerbehaftet sind oder nicht. Dies ist insbesondere bei historischen Archiven verheerend, da die Geschichtsschreibung aufgrund eines Programmfehlers verfälscht werden könnte.

In Folge der fehlerhaften Parametrierung beim Kodieren in JBIG2, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzung von JBIG2 Verfahren untersagt. Dies betrifft alle Bildkompressionen, die “Pattern Matching & Substitution” nutzen. Auch das verwandte “Soft Pattern Matching” darf nicht zum Einsatz kommen. Betroffen sind jedoch auch die Hersteller von Geräten, die das JBIG2 Verfahren fehlerfrei zur Verfügung stellen.

Gefahr erkannt, Gefahr gebannt!?

Die Folgen für das Unternehmen Xerox blieben überschaubar. Bislang ist im Zusammenhang mit diesem Vorfall kein Gerichtsverfahren bekannt. Die an der Börse gehandelten Aktien verzeichnen für den Zeitraum im Jahr 2013 und im weiteren Verlauf einen Anstieg. Leidtragende sind somit nur die Kunden.

Abschließend kann festgehalten werden, dass laut Fachleuten die Wahrscheinlichkeit als sehr gering eingestuft werden kann, dass alle Gerätebetreiber das Programm-Update erhalten und installiert haben. Somit heißt es weiterhin: „Traue keinem Scann, den du nicht selbst gefälscht hast.“ Unter diesem Titel hält David Kriesel seinen sehr interessanten Vortrag darüber, wie er 2013 einen schwerwiegenden Bug (Programmfehler) bei Multifunktionsdruckern des US-amerikanischen Unternehmens XEROX aufdeckte.

Den Vortrag und weitere interessante Details zu diesem Fall hat David Kriesel auf seiner Internetseite in einem Blogbeitrag veröffentlicht: http://www.dkriesel.com/xerox/

image_pdfimage_print

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.