1909905

Kommentar: Goto-Fail, die SSLpokalypse

28.02.2014 | 15:56 Uhr |

Apples Untergang steht unmittelbar bevor. Diesen Eindruck musste man angesichts der zum Teil äußerst kruden Berichterstattung rund um den „goto fail“-Fail bekommen. Wer nach dem warum fragt, wird allerdings schnell ernüchtert, denn die Antwort ist denkbar einfach: Panik klickt gut.

„Unerhört. Eine Sicherheitslücke in MEINEM iPhone. WAS? Jetzt ist auch noch in mein Mac betroffen? Das Mist-Zeug fliegt gleich aus dem Fenster und der Drecks-Laden bekommt keinen Cent mehr von mir!“ Panik, Angstschweiß oder einfach nur Wut und Entsetzten. So oder so ähnlich sehen die von vielen Autoren und Kommentatoren anscheinend erwünschten Reaktionen auf Meldungen zu Sicherheitslücken bei Apple-Produkten aus. Ereignisse, die Emotionen auslösen, klicken hervorragend – vor allem dann, wenn Sie wie im vorliegenden Fall der für Apple äußerst peinlichen „goto fail“-Sicherheitslücke einen Großteil der Smartphone- und Computernutzer betreffen.

Angesichts von Artikel-Überschriften wie „Sicherheitslücke: Apples furchtbarer Fehler“ oder Text-Passagen wie „Experten sind schockiert, weil das Update so spät erschienen ist“ konnten die weniger Technik-affinen Nutzer jedoch den Eindruck gewinnen, dass ihr digitaler Lifesyle nebst ihren Daten dem sicheren Untergang nahe sei. So manches Mal überkam den geneigten Diskurs-Teilnehmer in den letzten Tagen angesichts solcher Überschriften der Eindruck, dass es nun auch um das letzte bisschen Vertrauen in Apple und seine Produkte geschehen ist.

Hinzu kommt, dass mehrfach die „Apple hilft der NSA“-Karte gespielt und und auf den im Internet diskutierten Verschwörungstheorien herumgeritten wurde – ganz nach dem Motto: „Der Fehler ist so doof, das kann kein Versehen gewesen sein“. Das Problem der so erzeugten Stimmung ist, dass das zwar den Zugriffszahlen einer Website hilft – auch wir konnten auf macwelt.de einen Anstieg des Webtraffics auf unserer ersten Meldung zur SSL-Lücke verzeichnen –, aber nicht auch automatisch den Lesern dieser Seiten. Viel wichtiger als das bloße Wiederholen der immer gleichen Schreckensmeldungen ist die Einordnung des Geschehens und eine entsprechende Hilfestellung.

Der Mittelsmann will freies WLAN

Und das alles wegen einer doppelten Zeile im Code eines Betriebssystem-Frameworks. Zugegeben: Der „goto fail“-Doppler im Code von SecureTransport ist über die Maßen peinlich und für einen erfahrenen Entwickler ein Fail vom Feinsten – ein Fehler, der schlicht und einfach nicht passieren darf. Und doch ist der Fehler passiert, allem Testing zum Trotz: Durch den besagten Zeilendoppler wurde der Validitätscheck von SSL-Verbindungen nahezu aller System-Apps von OS X und iOS ausgehebelt, da die Echtheit der SSL- bzw. TLS-Zertifikate nicht korrekt überprüft wurde.

Dass eine so genannte Man-in-the-Middle-Attacke, die durch einen fehlenden Echtheitscheck bei den Sicherheits-Zertifikaten begünstigt wird, nur unter bestimmten räumlichen Voraussetzungen möglich ist, wurde allerdings nur selten erwähnt. Um die SSL-Lücke aktiv ausnutzen zu können, müsste der Angreifer sich beispielsweise Zugang zu meinem Router verschafft haben oder mit mir im selben, unverschlüsselten WLAN-Netzwerk sitzen. Als mündiger Web-Bürger der Post-Snowden-Ära dürfte sich aber mittlerweile herumgesprochen haben, dass kritische Kommunikation (beispielsweise Online-Banking) in öffentlichen Netzwerken nicht das Geringste verloren hat. Das soll die Schwere der Sicherheitslücke nicht mindern, hilft aber dabei, die tatsächliche Gefährdungslage einzuschätzen.

Erst zu schnell, dann zu langsam

Eigentlich möchte man meinen, dass Apple vorbildlich reagiert hat: Man hat den SSL-Bug in iOS selbst ausfindig gemacht und schnell und ohne große Ankündigung einen entsprechenden Fix zur Verfügung gestellt – für einen Teil der Kommentatoren aber war das Grund zur Kritik. Denn Apples Update-Beschreibung war schmal. Dort hieß es: „Dieses Sicherheitsupdate behebt ein Problem beim Überprüfen der SSL-Verbindung.“ Ohne weiteren Kommentar. Dass Apple aber mit dem Fix für die „goto fail“-Lücke so schnell wie möglich reagieren musste und damit vielleicht einen größeren Schaden abwenden konnte, wird kaum zur Kenntnis genommen – immerhin wären knapp die Hälfte aller Smartphone- und Tablet-Besitzer auf der Welt (Quelle: Netmarketshare, Stand Januar 2014) von der Lücke betroffen.

Auf der anderen Seite ging es den Kollegen beim Bugfix für OS X dann nicht schnell genug – und das, obwohl Apple nach dem Release von OS X 10.9.2 umfangreiche Informationen zu den gefixten Problemen, Neuerungen und auch sicherheitsrelevanten Bestandteilen veröffentlichte. Ganze vier Tage hat es nach dem Erscheinen gedauert, dass im Grunde fertige Update auf OS X 10.9.2 nochmal anzupassen und den Fehler im Code zu beheben. Wir haben in unserer ursprünglichen Meldung zur SSL-Lücke schon darüber spekuliert, dass es angesichts des bereits fertigen Updates auf 10.9.2 eher unwahrscheinlich sein dürfte, dass Apple einen separaten Bugfix bereitstellt. So kam es dann auch, denn Apple verzichtete auf einen schnellen Notfall-Patch und baute die Korrektur der SSL-Sicherheitslücke gleich in OS X 10.9.2 ein.

Persönliche Einschätzung: Etwas weniger Panik, dafür mehr Information

Kritik an Apples Kommunikationspolitik ist häufig angemessen. Nach Belegen dafür braucht nicht allzu lange suchen: Die Einschränkungen bei den neuen Versionen der iWork-Apps (von denen Apple einen Teil bereits wie versprochen rückgängig gemacht hat) oder der weggefallene lokale Sync für Kontakte, Kalender und Erinnerungen waren mit Sicherheit keine PR-Meisterleistungen und erweckten auf den ersten Blick den Eindruck, Apple wolle willkürlich seine User ärgern. Auch in Sachen "goto fail" hätte Apple sich Form von Tim Cook, Craig Federighi oder Phil Schiller klar und deutlich zur Sache äußern können – stattdessen durfte eine Pressesprecherin verkünden, dass man "sehr bald" ein Update veröffentlichen würde. Optimal sieht anders aus.

Mit Blick auf die sicherheitsrelevanten Updates hat sich Apple in der „goto fail“-Geschichte aber aus meiner Sicht korrekt verhalten und die Lücke in iOS schnell geschlossen – die Entscheidung, satt eines schnellen Notfall-Fixes für Mavericks erst OS X 10.9.2 entsprechend anzupassen, war aber unglücklich. Ich würde ich mir von Apple wünschen, bei so emotionalen Themen wie der Sicherheit seiner Betriebssysteme gegenüber der nach wie vor enorm treuen Userschaft besser, offener und geradliniger zu kommunizieren. Das würde Missverständnissen vorbeugen und Vertrauen aufbauen – Vertrauen, dass nach den Snowden-Enthüllungen zu einem wichtigen Gut für Technologiekonzerne werden wird.

Die Berichterstattung zu "goto fail" in den Massenmedien hat zudem gezeigt, dass es nicht schaden würde, weniger mit den Ängsten der Nutzer zu spielen und den Fokus in der Berichterstattung neu auszurichten: Weg von Angst und Effekthascherei, hin zu Hintergründen und Hilfestellungen. Denn ob „goto fail“ wirklich ein so „furchtbarer Fehler“ war, wage ich zumindest mit Blick auf die gewählten Begriffe zu bezweifeln. Viel eher dürfte das Ganze eine dämliche und peinliche Panne eines oder mehrerer überarbeiteter Entwickler gewesen sein. Und die sind auch nur eines – Menschen.

0 Kommentare zu diesem Artikel
1909905