Kommentar zur SSL-Lücke: Apple muss besser werden – und zwar flott

Inhaltsverzeichnis

Mehr Infos

Mehr zur SSL-Lücke in Apple-Systemen:

• "Ein Sicherheitsdesaster": Hintergründe zu Apples schwerwiegendem SSL-Problem
• Sicherheitsupdate für iOS 6 und 7
• "goto fail": Demo-Exploit für SSL-Schwachstelle in iOS und OS X
• "goto fail": Mac OS X 10.9.2 beseitigt SSL-Schwachstelle Update
• Fix für SSL-Lücke: iOS 7.0.6 verbreitet sich offenbar schnell
  
• SSL-Lücke in Apple-Systemen: Was Sie jetzt tun können

Apple hat eine aufregende Woche hinter sich. Am vergangenen Freitag wurde eine schwerwiegende Lücke in iOS 6 und 7 geschlossen, mit der es möglich war, praktisch jeden mit dem Standardverfahren SSL verschlüsselten Datenverkehr mitzulesen – beispielsweise in offenen WLAN-Netzen. Kurz darauf stellte sich dann noch heraus, dass das gleiche Problem auch in Apples jüngstem Mac-Betriebssystem, OS X Mavericks, steckt – aber von Apple noch nicht behoben wurde.

Anschließend ließ Apple die Nutzer fast vier Tage lang ohne Patch dastehen. Sicherheitsexperten reagierten – völlig berechtigt – entnervt. "Apple, was zur Hölle machst Du da?", frage etwa die ehemalige Apple-Security-Mitarbeiterin Kristin Paget, "hast du gerade echt einen SSL-Zero-Day auf Deine andere Plattform fallen lassen?"

Selbst das deutsche BSI, sonst leider nicht immer die schnellste Institution, wenn es um Warnungen vor Sicherheitsproblemen geht, brachte ein in harschen Worten formuliertes Advisory heraus. "Auf den betroffenen Mac-OS-X-Geräten steht derzeit kein Update zur Verfügung. Auf diesen Geräten sollte auf die Nutzung von betroffenen Anwendungen, die über SSL-Verbindungen auf Dienste im Internet zugreifen (u.a. Safari, iMessage, Facetime und Apple Mail), verzichtet werden." Sprich: Ein ungepatchter Mac mit Mavericks war von vorigen Freitag bis Dienstagabend eigentlich nur noch als Briefbeschwerer zu gebrauchen, während erste Demo-Exploits die Runde machten.

Apple schweigt eisern

Ein Kommentar von Ben Schwan

Mac & i-Redakteur Ben Schwan schreibt seit 1994 über Technikthemen und richtet sein Augenmerk mittlerweile insbesondere auf Apple-Geräte. Er mag das Design von Mac, iPhone und iPad und glaubt, dass Apple nicht selten die benutzerfreundlicheren Produkte abliefert. Immer perfekt ist die Hard- und Software-Welt aus Cupertino für ihn aber nicht.

Apple blieb bei alledem gewohnt kühl: Die einzige Ansage, die es von einer US-Pressesprecherin gab, war die Bestätigung, dass der "goto fail"-Bug auch in OS X Mavericks steckte und dass Apple "sehr bald" ein Update herausbringe. "Sehr bald" war dann eben ein ganzes Wochenende, ein ganzer Montag und große Teile des Dienstags mitteleuropäischer Zeit.

Natürlich: Manchen Nutzern kam OS X 10.9.2 dann sogar zu schnell, weil es offensichtlich noch einige Ungereimtheiten und Fehler enthält. Aber Apple hätte ja nicht auf das seit Wochen getestete Großupdate warten müssen, um die SSL-Lücke zu beheben. Ein schneller Notfallpatch, wie ihn beispielsweise der deutsche Sicherheitsexperte Stefan Esser als Externer abgeliefert hatte, wäre durchaus möglich gewesen.

Die Transparenz fehlt

Extrem störend ist auch, dass die von Tim Cook viel beschworene Transparenz, wie sie mittlerweile etwa in Umwelt- und Lieferantenfragen von Apple tatsächlich verstärkt an den Tag gelegt wird, für den Sicherheitsbereich nach wie vor nicht zu gelten scheint. Hier gibt sich Apple wie zu Steve-Jobs-Zeiten wie eine verschlossene Auster.

Von Apple-Managern wie Firmenchef Tim Cook oder Marketingleiter Phil Schiller war über die von ihnen zu PR-Zwecken mittlerweile bespielten Social-Media-Kanäle nur lautes Schweigen zu vernehmen. Deshalb erwartet auch fast niemand, dass Apple demnächst mitteilt, wie es zu "goto fail" überhaupt kommen konnte. Selbst wenn Theorien kursieren, wonach problematische Kräfte (NSA und Co.) für den Bug verantwortlich sein könnten.

Image zu verlieren

Apple hat in Sicherheitsdingen in der Bevölkerung – weniger als bei Sicherheitsexperten – einen guten Ruf. Das liegt nicht nur daran, dass iOS- und OS-X-Systeme weniger angegriffen werden als Android und Windows, sondern auch daran, dass Apple zumindest die praktische Möglichkeit hat, Probleme schnell zu beheben. Der Konzern kontrolliert Soft- und Hardware und seine Update-Mechanismen.

Will Google eine klaffende Android-Lücke schließen, dauert das Monate, weil zunächst die Gerätehersteller und dann die Carrier testen wollen. Apple hat dagegen beste Voraussetzungen, eine sinnvolle Sicherheitsphilosophie durchzuziehen. Und die bedeutet: schnelles Reagieren, große Transparenz und ausreichend Informationen an die Kunden, die von einer Bedrohungslage betroffen sind.

Klar ist nämlich auch: Die Angriffe auf Apple-Systeme werden in Zukunft weiter zunehmen, schließlich sind Mac und iOS-Geräte beliebter denn je und für böswillige Personenkreise ein attraktives Ziel. (bsc)