Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke "goto fail": Was Apple-Nutzer jetzt tun müssen

Apple-Software: Probleme bei gesicherten Verbindungen Fotos
SPIEGEL ONLINE

iPhones sind gefährdet, iPads und Mac-Rechner ebenfalls: Der Großteil der Apple-Geräte hat eine gravierende Sicherheitslücke. Für iPhone und iPad gibt es schon Updates, Mac-Nutzer müssen warten und höllisch aufpassen.

Nutzer von Apple-Geräten sind in großer Gefahr: In den Betriebssystemen des Konzerns für Tablets und Smartphones (iOS) sowie Mac-Rechner (OSX) klafft eine gravierende Sicherheitslücke.

Hier die Antworten auf die wichtigsten Fragen zum Apple-Leck:

Wie gefährlich ist die Sicherheitslücke?

Sehr. Man muss davon ausgehen, dass Kriminelle derzeit das Leck für gezielte Angriffe ausnutzen, immerhin ist die Sicherheitslücke seit Freitag öffentlich. Das Problem ist so gravierend, weil es einen Teil des Betriebssystems betrifft, den viele Programme nutzen. Der Fehler führt dazu, dass sich bei einer gesicherten Netzwerkverbindung zum Beispiel mit den Servern von Twitter, Apple oder einem E-Mail-Anbieter ein Angreifer dazwischenschalten kann. Die Sicherheitslücke macht es möglich, dass ein solcher Angreifer sich gegenüber der Software auf dem Apple-Gerät als vertrauenswürdiger Anbieter ausgibt. So könnten Kriminelle Passworte kopieren, E-Mails umleiten und womöglich auch als Software-Update getarnte Trojaner auf dem Mac installieren.

Welche Programme sind betroffen?

Das ist derzeit nicht eindeutig zu sagen. Klar ist: Es sind nicht allein Apple-Programme wie Safari und Apple Mail betroffen, sondern auch andere Software, die auf die fehlerhafte Infrastruktur der Apple-Systeme zurückgreift. So sind laut dem Sicherheitsforscher Ashkan Soltani zum Beispiel auf Mac-Computern Anwendungen wie Twitter, iBooks und Facetime gefährdet.

Was muss ich als Nutzer eines iPhones oder iPads tun?

Sie sollten so schnell wie möglich in einem vertrauenswürdigen Netzwerk (zu Hause zum Beispiel) die Software Ihres iPads oder iPhones aktualisieren. In den Einstellungen des Geräts werden Sie auf ein Update hingewiesen, wenn Sie iOS 6 oder 7 nutzen. Diese Aktualisierung behebt laut Apple den Fehler. Nutzer älterer iPhones oder iPads, die auf eine Aktualisierung auf iOS 7 verzichten wollen, weil das neue Betriebssystem ihre Geräte ausbremst, müssen aufpassen: Das Update, das iTunes beim Verbinden per Pop-up empfiehlt, installiert auch gleich noch iOS 7 mit, wenn das eigene Gerät neu genug für dieses Betriebssystem ist.

Sie sollten dieses Update auf gar keinen Fall in einem öffentlichen oder halböffentlichen W-Lan (Café, Zug, Bahnhof, usw.) herunterladen und installieren. Denn die Sicherheitslücke ermöglicht es Angreifern in solchen Netzwerken, sich als ein vertrauenswürdiger Server auszugeben. Sie sollten iOS-Geräte bis zur Aktualisierung überhaupt nicht mit solchen W-Lan-Netzen verbinden.

Wie schütze ich meinen Mac?

Bis Montagmorgen deutscher Zeit hat Apple keine Sicherheitsaktualisierung für Macs veröffentlicht. Computer mit dem Apple-Betriebssystem OSX müssen als gefährdet gelten. Es lässt sich derzeit nicht mit absoluter Sicherheit sagen, ob nur Computer mit OSX 10.9 oder auch ältere Versionen betroffen sind. Zumindest in dem offen im Netz zugänglichen Teil von OSX 10.8 ist der Fehler (ein doppelte "goto fail;"-Zeile) nicht an der entsprechenden Stelle zu finden.

Bis Apple ein Update veröffentlicht hat und eindeutig geklärt ist, welche Auswirkungen die Sicherheitslücke auf Programme von Drittanbietern hat, sollte man Mac-Rechner auf gar keinen Fall in öffentlichen oder halb-öffentlichen W-Lan-Netzwerken nutzen.

Der Autor auf Facebook

lis

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 103 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. War die Software mit dem angebissenen Apfel ...
Wichlinghauser 24.02.2014
... nicht immer supermegaziemlichobersicher?
2.
Konstruktor 24.02.2014
Hier wird unverantwortlich eine völlige Hysterie geschürt, die nun auch wieder überzogen ist. Die reale Wahrscheinlichkeit, über diesen Bug angegriffen zu werden, ist abseits von besonderen "Honigtöpfen" wie z.B. extrem frequentierten öffentlichen WLANs tatsächlich eher gering. Die Laien-Mannschaft beim Spiegel hat ersichtlich Fachartikel zum Thema im Netz gelesen, kann aber die wirkliche Bedeutung nicht seriös einschätzen. Daher diese völlige Hysterie hier. Der Bug ist ätzend und korrekturbedürftig, aber nicht extrem außergewöhnlich und er stellt auch keine extrem akute Gefahr da, wenn man ein bißchen aufpaßt und sich vorübergehend vorsichtig verhält. Also keine Panik, aber wichtigen Datenverkehr sollte man nicht mehr über WLANs oder andere lokale Netze abwickeln, bei denen man nicht überblicken kann, wer sonst noch eingeloggt ist, und auch nicht über dubiose Netze (z.B. WLANs in Cafés oder bei unbekannten Leuten). Die Angreifbarkeit ist auch über das Mobilnetz generell ein Stück geringer als über WLANs (aber nicht völlig ausgeschlossen). Diese Regeln gelten eigentlich generell immer, nicht nur in Verbindung mit diesem Bug, aber jetzt noch in erhöhtem Maß. Da der Fix für iOS ja schon vorliegt, sollte man ihn in einem vertrauenswürdigen Netz einspielen und das war's dann. Bei Macs ist nur Mavericks betroffen, nicht die älteren Versionen. Dort wird der Fix wohl auch in Kürze eintreffen.
3. Panikmache
dt1011047 24.02.2014
Ja, der SSL-Fehler ist gravierend. Aber deswegen werden trotzdem nicht gleich jedem Mac/iOS-Nutzer gleich alle geheimen Daten abgefangen, auch wenn es Angreifer drauf ansetzen würden. Denn dazu müssen sie erstmal Zugriff auf die Datenverbindung zw. Mac/iPhone/iPad und dem Ziel im Internet bekommen. Und das ist nicht sooo einfach, wie es hier oft übertriebenerweise suggeriert wird. Ja, die NSA wird wohl kaum ein Problem damit haben. Das die sind nicht diejenigen, die es auf unsere Passwörter etc. abgesehen haben. Die professionellen "bösen" Angreifer, also die, die uns auch mit Viren und Würmern befallen lassen, sitzen (höchstwahrscheinlich) gar nicht an diesen zentralen Punkten, es sei denn, es hat eine Bande geschafft, die Knotenpunkte anzuzapfen, an die sonst wir nichtmal die NSA ranlassen wollen. Nein, der übliche Angreifer sitzt auch nur irgendwo an einem Endpunkt des großen Internets und kommt nie an unsere Datenverbindung heran. Die einzigen praktikablen Wege, da ranzukommen, sind: 1. WLAN. Wenn die Banden es schaffen, einen WLAN-Router zu übernehmen, können sie wg. dieses Bugs mithören. Aber dazu müßten sie jeden Router einzeln übernehmen. Das können die gar nicht bewerkstelligen. Aber ja - jemand könnte an einem offenen WLAN (McDo, Bahn?) sich selbst mit einem PC dranmachen und dort die Verbindungen belauschen. Das sind dann aber Einzelfälle, und man dann es vermeiden, indem man erstmal keine fremden offenen WLANs benutzt. 2. Jemand könnte die Daten heimlich umleiten zu seinem Rechner. Das geht nur, wenn er entweder Zugriff auf den benutzten Router oder den Mac hat, um die DNS-Auflösung zu beeinflussen. D.h, da muß er auch schon zuvor eingebrochen sein, sonst geht das nicht. Vielleicht baut nun ja jemand einen solchen Angriff, bei dem er in die noch nicht aktualisierten Fritz-Boxen einbricht, dort eine modifizierte Firmware einstellt und dann sowas tut. Aber erstens ist das auch nur Theorie (wer weiß, evtl. geht das eh nicht, weil die Firmware digital signiert ist, und der Angreifer daher keine gefälschte Firmware herstellen kann), und zweitens kann man sich davor schützen, indem man das Fritz.Box-Update einspielt, wie es die vorigen Wochen ja auch überall schon geraten wurde. Ergo: Das Risiko ist längst nicht so hoch, wie hier geschrieen wird. Man kann immer noch von zu hause Bankgeschäfte online machen. Ich jedenfalls, der sich sich 30 Jahren mit Computern auskennt, habe da keine begründeten Befürchtungen.
4. Ich selbst hatte ...
sbo 24.02.2014
... mehrere Apple Besitzer, ob iOS oder MacOS, darauf hingewiesen. Alle hatten davon noch nichts gehört und "auserdem wirds nicht so schlimm sein", war als Reaktion zur Sicherheitslücke. Wieso würde ich ein Update installieren, aber Apple User ignorieren das einfach? Bin ich zu ängstlich ;-) ?
5.
HuFu 24.02.2014
Artikel als werbung kennzeichnen!
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
iPad2: Apples schlankes Rechentableau


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: