Wenn Sie über Links in unseren Artikeln einkaufen, erhalten wir eine kleine Provision. Das hat weder Einfluss auf unsere redaktionelle Unabhängigkeit noch auf den Kaufpreis.
Apples Untergang steht unmittelbar bevor. Diesen Eindruck musste man angesichts der zum Teil äußerst kruden Berichterstattung rund um den „goto fail“-Fail bekommen. Wer nach dem warum fragt, wird allerdings schnell ernüchtert, denn die Antwort ist denkbar einfach: Panik klickt gut.
Von Florian Kurzmaier
Macwelt
„Unerhört. Eine Sicherheitslücke in MEINEM iPhone. WAS? Jetzt ist auch noch in mein Mac betroffen? Das Mist-Zeug fliegt gleich aus dem Fenster und der Drecks-Laden bekommt keinen Cent mehr von mir!“ Panik, Angstschweiß oder einfach nur Wut und Entsetzten. So oder so ähnlich sehen die von vielen Autoren und Kommentatoren anscheinend erwünschten Reaktionen auf Meldungen zu Sicherheitslücken bei Apple-Produkten aus. Ereignisse, die Emotionen auslösen, klicken hervorragend – vor allem dann, wenn Sie wie im vorliegenden Fall der für Apple äußerst peinlichen „goto fail“-Sicherheitslücke einen Großteil der Smartphone- und Computernutzer betreffen.
Angesichts von Artikel-Überschriften wie „Sicherheitslücke: Apples furchtbarer Fehler“ oder Text-Passagen wie „Experten sind schockiert, weil das Update so spät erschienen ist“ konnten die weniger Technik-affinen Nutzer jedoch den Eindruck gewinnen, dass ihr digitaler Lifesyle nebst ihren Daten dem sicheren Untergang nahe sei. So manches Mal überkam den geneigten Diskurs-Teilnehmer in den letzten Tagen angesichts solcher Überschriften der Eindruck, dass es nun auch um das letzte bisschen Vertrauen in Apple und seine Produkte geschehen ist.
Hinzu kommt, dass mehrfach die „Apple hilft der NSA“-Karte gespielt und und auf den im Internet diskutierten Verschwörungstheorien herumgeritten wurde – ganz nach dem Motto: „Der Fehler ist so doof, das kann kein Versehen gewesen sein“. Das Problem der so erzeugten Stimmung ist, dass das zwar den Zugriffszahlen einer Website hilft – auch wir konnten auf macwelt.de einen Anstieg des Webtraffics auf unserer ersten Meldung zur SSL-Lücke verzeichnen –, aber nicht auch automatisch den Lesern dieser Seiten. Viel wichtiger als das bloße Wiederholen der immer gleichen Schreckensmeldungen ist die Einordnung des Geschehens und eine entsprechende Hilfestellung.
Die Geschichte von Mac OS X: 2000 bis 2014
In unserer Galerie beleuchten wir die nunmehr 20 Jahre währende Geschichte von OS X, von Version 10.0 (Cheetah) bis hin zu macOS 11 Big Sur, das auf der WWDC 2020 erstmals präsentiert wurde.
Schon etwas mehr als ein halbes Jahr vor Mac-OS X 10.0 brachte Apple eine Public Beta auf den Markt, genauer gesagt am 13. September 2000. Die Public Beta trug – entgegen der Raubkatzenbezeichnungen der Nachfolger – den Code-Namen “Kodiac”.
Offensichtlichstes Erkennungsmerkmal: Die sogenannte Aqua-Oberfläche, die bis OS X 10.4 Tiger Systemstandard bleiben sollte – und noch ohne Apfel-Menü.
Mehr zur Geschichte des Mac gefällig? Wir haben da was vorbereitet! Unser Sonderheft zum 30. Geburtstag des Macintosh erzählt spannende Geschichten aus allen Epochen der Apple-Firmengeschichte. AIn unserem Macwelt-Shop oder bei iBooks nach wie vor erhältlich.
Die Geschichte von Mac OS X: 2000 bis 2014
Mit OS X 10.0, Code-Name Cheetah, erschien am 24. März 2001 die erste finale Version
Cheetah war das erste Major-Release von OS X. Probleme mit der Performance verhinderten zunächst den großen Durchbruch. Aber immerhin: Das Apfel-Menü war jetzt dabei.
Gib mir Tiernamen: Mit OS X 10.2 werden die Code-Namen offiziell. Das am 17. Juli 2002 vorgestellte OS X 10.2 heißt “Jaguar” und kostet erstmals richtig Geld: 129 Euro rief Apple seinerzeit auf.
Die mittlerweile dritte große Version von OS X, Jaguar, führte das bis heute in macOS integrierte Adressbuch sowie die Linux-Druckertreiber “CUPS” ein.
Im Oktober 2003 kommt mit OS X 10.3 Panther die nächste Version auf den Markt. Auffällig sind Verbesserungen der Benutzeroberfläche wie beispielsweise Exposé.
Panther ist das vierte große Release von Mac-OS X und beinhaltet erstmals Apples hauseigenen Browser, Safari. Ebenfalls erstmals in Mac-OS X Panther mit dabei: X11 und die neue Finder-Oberfläche aus digitalem gebürsteten Metall.
Der Tiger ist los: Mit Mac-OS X 10.4 Tiger, das erstmals am 29. April 2005 erhältlich war, führte Apple einige bis heute zu macOS gehörige Features ein und markierte den Übergang von der Power-PC-Architektur zu Intel-CPUs.
Neu in Tiger: Die Spotlight-Suche zur schnelleren Navigation und Suche im Finder, das Dashboard als Widget-Zentrale und Automator, Apples Scripting-Tool.
Mit dem im Oktober 2007 veröffentlichten Mac-OS X 10.5 Leopard hat Apple sich nicht nur mehr Zeit als zuvor gelassen, sondern auch eine Vielzahl bedeutender Neuerungen eingeführt. Die Wichtigste dabei dürfte das in das System integrierte Backup-System Time Machine sein.
Neben dem Time-Machine-Backup bringt Mac-OS X 10.5 Leopard der sechsten Version von Mac-OS X die Stapel in das nun semi-transparente Dock. Eine wichtige Neuerung war auch Boot Camp, Apples native Lösung zur Installation von Windows-Systemen auf Macs. Genauso wie die Spaces, die ebenfalls in Leopard ihre Premiere in Mac-OS X feierten. Unter dem Strich markierte wohl der Sprung von Tiger zu Leopard den bislang größten und sichtbarsten Sprung seit der Einführung von Mac-OS X.
Apples Vorliebe für Raubkatzen geht weiter. Mit der nächsten und insgesamt siebten neuen Version von Mac-OS X, Snow Leopard (erschienen am 28. August 2009), ging Apples Philosophie wieder zurück zur Verbesserung der System-Performance – ohne größere Änderungen am GUI und zum Schnäppchenpreis von rund 30 Euro.
Wie der Name schon sagt, geschahen die meisten Änderungen unter der Haube, die äußere Ähnlichkeit zu Leopard ist deutlich größer als die von Leopard zu Tiger. Größte Neuerung: Quicktime X löst in Mac-OS X 10.6 Quicktime und Quicktime Pro ab. Wofür der Anwender bisher rund 30 Euro zahlen musste, ist jetzt größtenteils in die Multimedia-Software ab Werk integriert. Mit dem Update auf Mac-OS X 10.6.6 führte Apple zudem den Mac App Store ein.
Gut gebrüllt Löwe: OS X 10.7 Lion, das am 20. Juli 2011 erschien, ist die achte Version von OS X und die erste, die (beinahe) ausschließlich digital vertrieben wird. Unter dem Motto “Back to the Mac” bringt Lion erstmals in der Geschichte von Apples Desktop-Betriebssystemen Elemente aus den mobilen iOS-Versionen zurück auf den Desktop.
Die mittlerweile neunte Version von OS X ist Mountain Lion, das am 25. Juli 2012 auf den Markt bzw. in den App Store kam. OS X 10.8 verhält sich zu seinem Vorgänger Lion wie Snow Leopard zu Leopard. Die Veränderungen an der Oberfläche waren also eher marginal.
Im Rahmen der WWDC 2013 hat Apple mit OS X Mavericks eine neue Version des “fortschrittlichsten Computer-Betriebssystems der Welt” vorgestellt. Neben Finder-Tabs, Tags und besserem Multi-Screen-Support hat Apple auch eine Karten-App und die iCloud Keychain eingebaut. Die finale Version sollte im Herbst 2013 erscheinen …
… was es dann auch am 22. Oktober 2013 tat – und das vollkommen kostenlos und mit unzähligen kleineren und größeren Veränderungen.
Die Geschichte von Mac OS X: 2000 bis 2014
Ein späteres Mavericks-Update brachte mit Facetime Audio auch eine neue Funktion.
OS X Yosemite
OS X Yosemite folgte ein Jahr später auf Mavericks. Apple stellte damit zwei eher unscheinbare, dennoch sehr nützliche Funktionen vor: Maildrop – eine Möglichkeit, große Anhänge per Apple Server zu verschicken, hier gibt Apple bis zu 5 GB Speicher frei, diese fällt jedoch nicht dem eigentlichen iCloud-Speicher zu Lasten. Handoff – eine Fortsetzung der Programme vom iPhone, iPad und (später) Apple Watch.
Was nicht so viel Begeisterung hervorrief, war der Nachfolger von iPhoto, einfach Fotos genannt. Apple hat das neue Programm mit deutlich weniger Funktionen gebracht.
El Capitan
Windows-Management wie es sein sollte: Ab OS X El Capitan kann man zwei (unterstützte) Programme im Split View darstellen lassen – perfekt für Tabellenbearbeitung, Recherche, Schreibarbeiten.
El Capitan: neue Funktionen, neue Apps, bessere Performance ? verpackt in einer vertrauten Umgebung.
Verbesserte Notizen, Karten und eine versteckte Sicherheitsvorkehrung (SIP) kamen ebenfalls mit El Capitan mit dazu.
macOS Sierra
Endlich Siri auf dem Mac: Fünf Jahre hat Apple gebraucht, um den digitalen Assistenten auch auf den Mac zu bringen. macOS Sierra macht dies seit 2016 möglich.
iMac Pro
Apple hat bei macOS High Sierra hier und da eigene Programme verbessert und noch mehr iCloud-Funktionalität gebracht. Die meisten Neuerungen fanden unter der Oberfläche statt: Das neue Dateisystem APFS ersetzte das mittlerweile fast 30 Jahre alte HFS+. Neue Video- und Bildformate sind an Anforderungen von mobilen Geräten angepasst und liefern bessere Farbräume sowie mehr Metadaten bei weniger Dateigröße. Das bringen APFS, HEIF und HEVC unter High Sierra
Raus aus den Bergen, durch die Wüste wieder Richtung Meer: macOS 10.14 Mojave brachte unter anderem den dynamischen Desktophintergrund, einen Dunkelmodus und Stapel für mehr Ordnung auf dem Schreibtisch.
Yes, Sir, Big Sur! macOS springt nun auf Version 11 – und ist bereit für Apple Silicon. Das macht sich auch am Design bemerkbar, iPad-Apps laufen nativ auf der neuen Plattform. Doch noch unterstützt macOS Intel-Macs, bis zum nächsten Jubiläum vermutlich.
Und das alles wegen einer doppelten Zeile im Code eines Betriebssystem-Frameworks. Zugegeben: Der „goto fail“-Doppler im Code von SecureTransport ist über die Maßen peinlich und für einen erfahrenen Entwickler ein Fail vom Feinsten – ein Fehler, der schlicht und einfach nicht passieren darf. Und doch ist der Fehler passiert, allem Testing zum Trotz: Durch den besagten Zeilendoppler wurde der Validitätscheck von SSL-Verbindungen nahezu aller System-Apps von OS X und iOS ausgehebelt, da die Echtheit der SSL- bzw. TLS-Zertifikate nicht korrekt überprüft wurde.
Dass eine so genannte Man-in-the-Middle-Attacke, die durch einen fehlenden Echtheitscheck bei den Sicherheits-Zertifikaten begünstigt wird, nur unter bestimmten räumlichen Voraussetzungen möglich ist, wurde allerdings nur selten erwähnt. Um die SSL-Lücke aktiv ausnutzen zu können, müsste der Angreifer sich beispielsweise Zugang zu meinem Router verschafft haben oder mit mir im selben, unverschlüsselten WLAN-Netzwerk sitzen. Als mündiger Web-Bürger der Post-Snowden-Ära dürfte sich aber mittlerweile herumgesprochen haben, dass kritische Kommunikation (beispielsweise Online-Banking) in öffentlichen Netzwerken nicht das Geringste verloren hat. Das soll die Schwere der Sicherheitslücke nicht mindern, hilft aber dabei, die tatsächliche Gefährdungslage einzuschätzen.
Erst zu schnell, dann zu langsam
Eigentlich möchte man meinen, dass Apple vorbildlich reagiert hat: Man hat den SSL-Bug in iOS selbst ausfindig gemacht und schnell und ohne große Ankündigung einen entsprechenden Fix zur Verfügung gestellt – für einen Teil der Kommentatoren aber war das Grund zur Kritik. Denn Apples Update-Beschreibung war schmal. Dort hieß es: „Dieses Sicherheitsupdate behebt ein Problem beim Überprüfen der SSL-Verbindung.“ Ohne weiteren Kommentar. Dass Apple aber mit dem Fix für die „goto fail“-Lücke so schnell wie möglich reagieren musste und damit vielleicht einen größeren Schaden abwenden konnte, wird kaum zur Kenntnis genommen – immerhin wären knapp die Hälfte aller Smartphone- und Tablet-Besitzer auf der Welt (Quelle: Netmarketshare, Stand Januar 2014) von der Lücke betroffen.
Auf der anderen Seite ging es den Kollegen beim Bugfix für OS X dann nicht schnell genug – und das, obwohl Apple nach dem Release von OS X 10.9.2 umfangreiche Informationen zu den gefixten Problemen, Neuerungen und auch sicherheitsrelevanten Bestandteilen veröffentlichte. Ganze vier Tage hat es nach dem Erscheinen gedauert, dass im Grunde fertige Update auf OS X 10.9.2 nochmal anzupassen und den Fehler im Code zu beheben. Wir haben in unserer ursprünglichen Meldung zur SSL-Lücke schon darüber spekuliert, dass es angesichts des bereits fertigen Updates auf 10.9.2 eher unwahrscheinlich sein dürfte, dass Apple einen separaten Bugfix bereitstellt. So kam es dann auch, denn Apple verzichtete auf einen schnellen Notfall-Patch und baute die Korrektur der SSL-Sicherheitslücke gleich in OS X 10.9.2 ein.
Persönliche Einschätzung: Etwas weniger Panik, dafür mehr Information
Kritik an Apples Kommunikationspolitik ist häufig angemessen. Nach Belegen dafür braucht nicht allzu lange suchen: Die Einschränkungen bei den neuen Versionen der iWork-Apps (von denen Apple einen Teil bereits wie versprochen rückgängig gemacht hat) oder der weggefallene lokale Sync für Kontakte, Kalender und Erinnerungen waren mit Sicherheit keine PR-Meisterleistungen und erweckten auf den ersten Blick den Eindruck, Apple wolle willkürlich seine User ärgern. Auch in Sachen “goto fail” hätte Apple sich Form von Tim Cook, Craig Federighi oder Phil Schiller klar und deutlich zur Sache äußern können – stattdessen durfte eine Pressesprecherin verkünden, dass man “sehr bald” ein Update veröffentlichen würde. Optimal sieht anders aus.
Mit Blick auf die sicherheitsrelevanten Updates hat sich Apple in der „goto fail“-Geschichte aber aus meiner Sicht korrekt verhalten und die Lücke in iOS schnell geschlossen – die Entscheidung, satt eines schnellen Notfall-Fixes für Mavericks erst OS X 10.9.2 entsprechend anzupassen, war aber unglücklich. Ich würde ich mir von Apple wünschen, bei so emotionalen Themen wie der Sicherheit seiner Betriebssysteme gegenüber der nach wie vor enorm treuen Userschaft besser, offener und geradliniger zu kommunizieren. Das würde Missverständnissen vorbeugen und Vertrauen aufbauen – Vertrauen, dass nach den Snowden-Enthüllungen zu einem wichtigen Gut für Technologiekonzerne werden wird.
Die Berichterstattung zu “goto fail” in den Massenmedien hat zudem gezeigt, dass es nicht schaden würde, weniger mit den Ängsten der Nutzer zu spielen und den Fokus in der Berichterstattung neu auszurichten: Weg von Angst und Effekthascherei, hin zu Hintergründen und Hilfestellungen. Denn ob „goto fail“ wirklich ein so „furchtbarer Fehler“ war, wage ich zumindest mit Blick auf die gewählten Begriffe zu bezweifeln. Viel eher dürfte das Ganze eine dämliche und peinliche Panne eines oder mehrerer überarbeiteter Entwickler gewesen sein. Und die sind auch nur eines – Menschen.
