Xerox Skandal – 5 Jahre danach

Vor fünf Jahren deckte der Informatiker David Kriesel einen schwerwiegenden Programmfehler bei den Multifunktionsdruckern der US-amerikanischen Firma XEROX auf. Der Xerox Skandal zog weite Kreise. Doch ist der Fehler tatsächlich aus der Welt geschafft? Und welche Folgen hatte dieser Skandal für das Unternehmen?

Was war passiert?

Für alle, denen diese Nachricht damals
entgangen ist oder die Abläufe nicht mehr vertraut sind, fasse ich
kurz die Geschehnisse aus dem Jahr 2013 zusammen. Am 24. Juli 2013
erhielt David Kriesel einen Anruf von einer befreundeten Firma, die
mit Xerox WorkCentres ihre Dokumente vervielfältigt. Die Mitarbeiter
hatten bemerkt, dass auf dem gescannten Ausdruck andere Zahlen
standen, als auf dem Original. Aufgefallen war der Fehler nur, weil
in einem Bauplan ein offensichtlich kleinerer Raum, eine kleinere
Quadratmeterzahl hatte, als der kleinere daneben.

Die Geräte der Produktlinien
WorkCentre und ColorQube veränderten beim Scannvorgang durch einen
Programmfehler Zahlen und Buchstaben. Aus der Zahl „6“ wurde
beispielsweise eine „8“ und der Buchstabe „l“ wurde zu einem
„I“. Da diese Großgeräte fast ausschließlich in Behörden,
Unternehmen und Großraumbüros vorzufinden sind, hat die Tragweite,
die hinter dem aufgedeckten Programmfehler steckte, die Ausmaße
eines „Scannergate“, wie die Computerzeitschrift „c´t“
schrieb.

Ein schon fast lustige Anekdote ist,
das Xerox Vize-Päsident Rick Dastin in einem Interview versuchte die
Situaion herunterzuspielen mit den Worten: „Das ist alles halb so
schlimm, dieser Normal-Kompressionsmodus, der kann Fehler
produzieren, aber den nimmt fast keiner, nur das Militär oder
irgendwelche Ölbohrinseln.“

Der Grund für die Veränderung von
Zahlen und Buchstaben, lag unter anderem an der Zwischenspeicherung
der zu scannenden Dokumente. Diese Verfälschung war letztlich auf
den, in den Xerox-Geräten eingesetzten Kompressionsalgorithmus JBIG2
zurückzuführen. Dabei werden gleiche Zeichen nur einmal
abgespeichert, sowie die Positionen gespeichert, an welchen dieses
Zeichen einzusetzen ist. Auf ungläubiges Staunen seitens der
Serviceunternehmen und dem Unternehmen Xerox folgten Tage des
Stillschweigens.

Der weitere Verlauf

Kiesel ließ nicht locker und nachdem
der Skandal medial weltweit Aufsehen erregte, fand er sich eines
Tages in einer Telefonkonferenz mit dem Xerox Vize-Päsident Rick
Dastin und Chefingenieur Francis Tse wieder. Dabei kam heraus, dass
dieser Fehler dem Unternehmen zu dem Zeitpunkt bereits seit acht
Jahren bekannt war. Jedoch nahm Xerox an, dass der Fehler durch die
Einstellung einer höheren Auflösung behoben werden konnte.
Zumindest wies Xerox in einem dreihundertachtundzwanzig seitigem
Handbuch auf Seite einhundertsieben an zwei Punkten im Fließtext auf
diesen Umstand hin.

Während der Suche nach einer Lösung
des Problems kam heraus, dass der Programmfehler in allen
Einstellungen und bei allen Auflösungsstufen vor kam und somit
generell alle Nutzer betroffen sein konnten. Von nun an stand Kriesel
Tag und Nacht mit Xerox und den Medienvertretern im ständigen
Austausch von Informationen. Während sich die internationalen Medien
auf das Thema stürzten, reagierten die deutschen verhalten.

Nach über einem Monat, nachdem der
Programmfehler (Bug) publik geworden war, gelang es Xerox den Fehler
zu lokalisieren, zu beheben. Das Unternehmen stellte ein Update für
die betroffenen Geräte und Gerätefamilien zur Verfügung wodurch
das JBIG2-Verfahren deaktiviert wurde. Die Herausforderung bestand
jedoch darin, jeden Kunden weltweit eine neue Version (Update) der
Gerätesoftware zur Verfügung zu stellen.

Dies gestaltete sich um so schwieriger,
da Xerox keine direkten Vertriebsstrukturen besitzt, sondern mit
Drittfirmen zusammen arbeitet. Diese lokal ansässigen Betriebe
übernehmen den Vertrieb und die Wartung der Geräte. Ob dieses
Update also an jedem Gerät vorgenommen wurde, darf stark bezweifelt
werden. Es gab zwar eine weltweite Berichterstattung durch die
Medien. Aber ist diese in jedes verstaubte Behördenbüro oder Archiv
und jede Agentur vorgedrungen?

Die Folgen

Die Folgen sind nicht absehbar. Zum
Einen ist nicht gewiss, ob alle Geräte weltweit mit der neuen
Programmierung ausgestattet, sprich das Update installiert wurde, zum
Anderen alle, mit den Geräten erstellte Dokumente auf ihre
Richtigkeit hin überprüft werden. Inwieweit der Programmfehler
Gerichtsverfahren beeinflusst oder Konstruktionsfehler hervorgerufen
hat, wird wohl nie geklärt werden können. In diesem Zusammenhang
ist die Frage von Kriesel gar nicht so uninteressant, mit welchen
Geräten die Baupläne vom Flughafen BBI gescannt wurden.

Doch auch Archive, die ihre Unterlagen
mit den Multifunktionsdruckern von Xerox digitalisiert haben, stehen
vor einem Problem. In vielen Fällen wurden die Originale der
Dokumente vernichtet. Somit ist ausgeschlossen, jemals in Erfahrung
zu bringen, ob die vorhandenen Digitalisierungen fehlerbehaftet sind
oder nicht. Dies ist insbesondere bei historischen Archiven
verheerend, da die Geschichtsschreibung aufgrund eines
Programmfehlers verfälscht werden könnte.

In Folge der fehlerhaften
Parametrierung beim Kodieren in JBIG2, hat das Bundesamt für
Sicherheit in der Informationstechnik (BSI) die Nutzung von JBIG2
Verfahren untersagt. Dies betrifft alle Bildkompressionen, die
“Pattern Matching & Substitution” nutzen. Auch das
verwandte “Soft Pattern Matching” darf nicht zum Einsatz
kommen. Betroffen sind jedoch auch die Hersteller von Geräten, die
das JBIG2 Verfahren fehlerfrei zur Verfügung stellen.

Gefahr erkannt, Gefahr gebannt!?

Die Folgen für das Unternehmen Xerox
blieben überschaubar. Bislang ist im Zusammenhang mit diesem Vorfall
kein Gerichtsverfahren bekannt. Die an der Börse gehandelten Aktien
verzeichnen für den Zeitraum im Jahr 2013 und im weiteren Verlauf
einen Anstieg. Leidtragende sind somit nur die Kunden.

Abschließend kann festgehalten werden, dass laut Fachleuten die Wahrscheinlichkeit als sehr gering eingestuft werden kann, dass alle Gerätebetreiber das Programm-Update erhalten und installiert haben. Somit heißt es weiterhin: „Traue keinem Scann, den du nicht selbst gefälscht hast.“ Unter diesem Titel hält David Kriesel seinen sehr interessanten Vortrag darüber, wie er 2013 einen schwerwiegenden Bug (Programmfehler) bei Multifunktionsdruckern des US-amerikanischen Unternehmens XEROX aufdeckte.

Den Vortrag und weitere interessante
Details zu diesem Fall hat David Kriesel auf seiner Internetseite in
einem Blogbeitrag veröffentlicht: http://www.dkriesel.com/xerox/