998995

Das war die Woche: Mit Sicherheit darf man nicht spaßen

01.08.2008 | 14:51 Uhr |

"Wir sprechen nicht über nicht angekündigte Produkte", heißt es bei Apple Mantra artig. Das mag angehen, wenn um neue Macbooks oder iPods spekuliert wird, nicht aber, wenn es um die Sicherheit geht.

icon Sicherheit systemeinstellung
Vergrößern icon Sicherheit systemeinstellung

Das Sicherheitsbewusstsein auch der Mac-User hat zugenommen. Mittlerweile hat es sich rumgesprochen, dass Phisher eher unbeholfene E-Mails schicken, mit der Aufforderung, seine Kontodaten samt TAN oder sein eBay-Passwort auf einer gefälschten Seite aufzugeben. Ein Blick auf die Adresszeile des Browsers sollte genügen, um zu erfahren, dass man auf der Datenautobahn falsch abgebogen ist. Eine Sicherheitslücke im DNS-System, jeder zentralen Übersetzungstechnik im Internet, die aus numerischen Adressen wie 17.149.160.31 die verständlich URL www.apple.com macht, hätte sich auch beinahe als fatal erwiesen. Der Sicherheitsexperte Dan Kaminsky hatte diese eher zufällig im Mai entdeckt. Mit einer Technik hätte es Angreifern gelingen können, die Caches von DNS-Servern zu "vergiften" und diese so falsch Übersetzungsdaten ausliefern zu lassen. Im schlimmsten Fall wären Internetanwender auf einer Website von Kriminellen gelandet, auch wenn sie die Adresse ihrer Bank oder ihres Auktionshauses korrekt eingegeben hätten. Der Schaden ist kaum vorstellbar. Kaminsky warnte unverzüglich Softwarehersteller, die bis zum 8. Juli mit Patches aufwarteten, dem Tag, an dem Kaminsky die Sicherheitslücke veröffentlichte. Ein Betriebssystemhersteller fehlte am 8. Juli mit einem Patch: Apple. Erst am gestrigen Donnerstag, 23 Tage nach der Veröffentlichung, brachte der Mac-Hersteller ein Sicherheitsupdate heraus, das auch den DNS-Fehler behob. Ein Unding, meint etwa der Leitende Systemadministrator der Zimmerman Agency John C. Welch auf der Website unserer US-Schwester Macworld . Wenn es um die Sicherheit geht, dürfe Apple nicht seine Politik des Schweigens fortführen. Alles, was man zwischen dem Alarm im Mai und dem Patch Ende Juli aus Cupertino erfahren habe, wären die üblichen Floskeln wie "We don’t talk about future products" oder "Wir nehmen Sicherheit sehr ernst". Selbst Microsoft, das Apple-Anwender jahrelang nur mit Spot ob der Sicherheitsprobleme von Windows bedachten, habe schneller und akkurater reagiert und Sicherheitsforscher stets über den Stand der Dinge informiert.

Nimmt es Apple mit der Sicherheit doch nicht so ernst? Schon im April deckte eine Studie der ETH Zürich auf, dass Apple zu langsam auf Sicherheitsprobleme reagiere, selbst Microsoft arbeite schneller am Lückenschluss. Schon die Schweizer hatten Apples Verhalten gegenüber freundlich gestimmten Hackern moniert, ein Austausch mit den Experten finde nicht statt. Fast scheint es, als sehe Apple in Sicherheitslücken Gefahren für das Image seines Betriebssystems. Die Befürchtung ist nicht von der Hand zu weisen, denn neben seiner Eleganz und Stabilität ist die hohe Sicherheit von Mac-OS X ein wichtiger Verkaufsgrund. Nur wird Apples Schweigen und Zögern erst recht die Marke beschädigen. Auch nicht gut ankommen dürfte die Absage des Security-Spezialisten Charles Edge, der auf der Black-Hat-Konferenz nun doch nicht über ein Problem in der Verschlüsselungstechnologie File Vault sprechen wird. Es ist zwar durchaus üblich, über eine neue Entdeckung erst dann öffentlich zu sprechen, wenn der Hersteller mit dem Patch fertig ist, wahrscheinlich liegt die Absage daran. Da Apple und Edge sich aber die Gründe ausschweigen, verleiht mit Sicherheit ein schlechtes Gefühl.

0 Kommentare zu diesem Artikel
998995