piwik no script img

taz zahl ich

IT-Experte über Softwarefehler bei Apple„Nicht der erste Fehler“

Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden.

Apple-Logo und Update-Fortschrittsbalken auf einem Computermonitor
Sollten Mac-Nutzer umgehend durchführen: Installation des neuen Updates für Apple-Computer Foto: Imago/Sven Simon
Jonas Schönfelder
Interview von Jonas Schönfelder

Das neue Desktop-Betriebssystem von Apple hat ein Sicherheitsproblem. Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin auslesen. Apple hat am frühen Mittwochabend bereits ein Sicherheitsupdate bereitgestellt.

taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen betrifft sie?

Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne dass ein Passwort eingegeben werden muss. Mit so einem Account können zum Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits entsperrt und ein Administrator-Account eingeloggt ist.

Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple auf, bevor das Betriebssystem auf den Markt geht?

Es ist tatsächlich nicht der erste Fehler in Apples aktuellem Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, die Entwicklung des Desktop-Betriebssystems deshalb langsamer voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich auch das sicherste Smartphone, das man derzeit kaufen kann.

Sicherheitsupdate einspielen

Apple hat am frühen Mittwochabend ein Update für MacOS bereitgestellt, das die Sicherheitslücke schließt. Nutzer sollten es umgehend über den Mac-App-Store installieren.

Wie werden Sicherheitslücken in der Regel gefunden?

Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code genau an, sofern er offen zugänglich ist. Außerdem überprüfen Sicherheitsforscher Computerprogramme, indem automatisiert viele verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten sichtbar machen sollen.

Im Interview: Hauke Gierow

ist Redakteur beim Technikportal Golem.de und schreibt unter anderem über IT-Sicherheit.

Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich gemacht, wofür er kritisiert wird. Er selbst gibt an, Apple sei im Vorfeld informiert worden. Gibt es Regeln für das Melden von Sicherheitslücken?

Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man wieder die Priorisierung des mobilen Betriebssystems erkennen.

Eine Koalition, die was bewegt: taz.de und ihre Leser:innen

Unsere Community ermöglicht den freien Zugang für alle. Dies unterscheidet uns von anderen Nachrichtenseiten. Wir begreifen Journalismus nicht nur als Produkt, sondern auch als öffentliches Gut. Unsere Artikel sollen möglichst vielen Menschen zugutekommen. Mit unserer Berichterstattung versuchen wir das zu tun, was wir können: guten, engagierten Journalismus. Alle Schwerpunkte, Berichte und Hintergründe stellen wir dabei frei zur Verfügung, ohne Paywall. Gerade jetzt müssen Einordnungen und Informationen allen zugänglich sein. Was uns noch unterscheidet: Unsere Leser:innen. Sie müssen nichts bezahlen, wissen aber, dass guter Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Es wäre ein schönes Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Apple #IT-Sicherheit #Hacker
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Freigelegtes Motherbord eines Computers

Sicherheitslücke bei Prozessoren

Milliarden Geräte gefährdet

Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht werden.
Ein Mann hält sich ein silbernes Iphone ans Ohr

Kritik an Apple

Alte I-Phones absichtlich verlangsamt

Apple räumt ein, ältere Modelle absichtlich zu drosseln. Nach heftiger Kritik entschuldigt sich der Konzern – und kündigt Rabatte für neue Akkus an.
Von Malte Kreutzfeldt
Hände greifen eine Pappbox, auf der Amazon steht

Steuerdeals von Apple und Amazon

EU-Kommission erhöht Druck

Die EU-Kommission stuft einen Steuerdeal zwischen Amazon und Luxemburg als illegal ein. Auch im Fall von Apple in Irland greift die EU ein.
Von Eric Bonse

taz Wahlabo 10 Wochen für 10 Euro

taz digital + wochentaz print testen

Was außer warm anziehen hilft, steht bei uns: Jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

1 Kommentar

 / 
  • AB

    Zeitablauf: Apple wird informiert. Zwei Wochen gibt es kein Update, das den Fehler behebt. dann schreibt jemand auf twitter. Noch am gleichen Tag kommt endlich ein Update.

     

    Der Programmierer wollte keine Bug Bounty, sondern einfach Leut vor dem problem warnen.

     

    Allgemein zur Kritik (aus twitter kopiert): Can you imagine the chilling effects that stance would have for disclosing any flaws at all? If not disclosing in the correct way can result in a lawsuit, this would essentially a gag-order for all who are no security professionals. It would also create incentives to make disclosure harder in an attempt to keep out the competition.

meistkommentiert

1

CDU-Chef Friedrich Merz

Friedrich der Mittelgroße

2

Streit um tote Geiseln in Israel

Alle haben versagt

3

Soziologische Wahlforschung

Wie schwarz werden die grünen Milieus?

4

Comeback der Linkspartei

„Bist du Jan van Aken?“

5

Geiselübergabe in Gaza

Gruseliges Spektakel

6

+++ Nachrichten im Ukraine-Krieg +++

Russland und USA beharren auf Kriegsschuld des Westens