Pro & Contra: Tut Apple genug für die Sicherheit?

Artikel aus Mac & i Heft 1/2018, Seite 7

Pro

Bei all der Aufregung über größere und kleinere Sicherheitslücken sollte man auch mal auf Abstand gehen und das große Ganze betrachten. Apple hat das Thema schon seit Längerem auf dem Schirm und trifft die richtigen strategischen Entscheidungen. Bei macOS belegen FileVault, XProtect, App-Sandboxen und System Integrity Protection das Engagement für einen stabilen, resistenten Mac.

iOS als jüngeres Betriebssystem wurde um ein starkes Sicherheitskonzept herum gebaut. Das war sogar so stark, dass bestimmte Innovationen (etwa ein App-übergreifender Dateibrowser) erst spät die Plattform erreichten – dafür aber stabil und sicher.

Menschen programmieren Software, und Menschen machen Fehler. Mächtige und komfortable Funktionen bedeuten stets neue Unsicherheitsfaktoren. Damit Lücken gar nicht entstehen oder schnell geschlossen werden, beschäftigt Apple fähige Sicherheitsexperten, braucht aber auch die Mithilfe von Anwendern. Mit zwei Beta-Programmen, namentlicher Erwähnung der Entdecker von Fehlern in den Sicherheitsmeldungen und dem gut dotierten Bug-Bounty-Programm belohnt Apple diejenigen, die auf eigene Faust nach iOS-Fehlern suchen.

Durch Anheuern von Hackern wie Jonathan Zdziarski steigert das Unternehmen auch innerhalb der Firma die Kompetenz zum Aufspüren von Sicherheitslecks.

Die wirklich ernsthafte Lücke in macOS, bei der sich Anwender ohne Passwortkenntnis Root-Rechte einräumen konnten, behob Apple binnen zweier Tage. Bei komplexeren Problemen wie Meltdown und Spectre dauert die Behebung länger, aber Cupertino war fast fertig, als im Dezember die Lücke in beinahe allen Prozessorarchitekturen öffentlich wurde. Gerade die Entwicklungen der letzten Monate zeigen: Für Apple ist Sicherheit nicht bloß ein Lippenbekenntnis. (imj)

Contra

Erst kürzlich konnte sich ein Anwender in High Sierra durch fehlerhafte Passwortüberprüfung in den Systemeinstellungen Admin-Rechte verpassen – ein Desaster. Die Malware Fruitfly durfte 13 Jahre lang unbehelligt ihr Unwesen treiben und vom Mac Screenshots, Tastaturanschläge und Fotos der Webcam übertragen.

Die integrierte Firewall, die Zugriffe von außen unterbindet, ist standardmäßig deaktiviert. Gatekeeper und XProtect lassen sich mit Entwicklerzertifikaten umgehen, die auch böse Jungs viel zu leicht von Apple bekommen. Eine Ransomware, die viele Dateien in kurzer Zeit verschlüsseln möchte, um dann Lösegeld zu verlangen, kann macOS von Haus aus nicht erkennen. Warum stellt Apple nicht den Sicherheits-Experten Patrick Wardle ein, mitsamt seinen unzähligen hilfreichen – und dazu gratis angebotenen – Tools?

Mag sein, dass Apple High-Sierra- und iOS-11-Patches gegen Meltdown und Spectre schnell gebracht hat, aber wo bleiben die Fixes für ältere Systeme – oder wenigstens Infos dazu? [Update:] warum kamen die Sicherheitsupdates für macOS Sierra und El Capitan so spät? [/Update] Weiter unklar bleibt, ob auch noch Updates für ältere iOS-Systeme kommen werden. Ein Bug-Bounty-Programm zur öffentlichen Suche nach Sicherheitslücken existiert bislang nicht für macOS, sondern nur für iOS, und auch da gibt es – vergleichsweise wenig – Geld nur dann, wenn man besonders eklatante Schwachstellen nachweisen kann. Microsoft, Google & Co. sind da weniger streng und viel großzügiger. Dabei wäre ein Programm für macOS wichtiger, denn es ist aufgrund seiner offenen Struktur anfälliger als das abgeschottete iOS.

Für Sicherheits-Gurus macht es sich am Ende eher bezahlt, mit kommerziellen Firmen, Strafverfolgungs-Behörden oder Geheimdiensten zusammenzuarbeiten – oder, schlimmer noch: ihr Wissen an Verbrecherorganisationen zu verkaufen. (thk)

Wer hat Recht? Diskutieren Sie mit!

Zuvor bei Pro und Contra: War die Touch Bar eine gute Idee? (thk)