• IT-Karriere:
  • Services:

Einen sicheren Umgang finden

Als Journalisten sind wir gefragt, Informationen nicht nur aufzubereiten, sondern auch zu hinterfragen und zu überprüfen. Im besten Fall können wir die Sicherheitsprobleme selbst nachstellen und bestätigen, beispielsweise mit virtuellen Maschinen. Doch häufig liefern Sicherheitsforscher und Sicherheitsfirmen nur vage Beschreibungen der entdeckten Sicherheitslücken und keine fertigen Exploits, die wir testen könnten.

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Universitätsklinikum Münster, Münster

Das geschieht meist aus zwei Gründen: Zum einen wollen Forscher und Firmen die Betroffenen schützen, welche die entsprechenden Updates noch nicht erhalten oder eingespielt haben. Zum anderen ist das Schreiben eines Exploits nicht nur für die Autoren von Schadsoftware aufwendig, sondern auch für die Entdecker der Sicherheitslücke. Entsprechend beschreiben sie oft nur die Sicherheitslücke - ohne Exploit.

Das Nachstellen kostet zudem häufig nicht nur viel Zeit, sondern stößt auch schnell an Grenzen: Sicherheitslücken in Industriesystemen, sehr spezieller und teurer Software oder wenig genutzten Protokollen können wir schlecht verifizieren. Wir haben weder Beatmungsgeräte noch Scada-Systeme oder Flugzeuge in der Redaktion.

In vielen Fällen bleiben nur kurze Beschreibungen oder Demonstrationsvideos, die erfolgreiche Angriffe zeigen, sowie ein Rückgriff auf die eigene Erfahrung und das Vertrauen in die Primärquellen. Auf dieser Basis versuchen wir, die Sicherheitslücke nachzuvollziehen und deren potentielle Gefährlichkeit abzuschätzen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. C++ Clean Code - Best Practices für Programmierer
    7.-11. Juni 2021, online
Weitere IT-Trainings

Schwierig wird es mit der Nachvollziehbarkeit auch, wenn die Informationen über Sicherheitslücken auf umfangreichen Recherchen anderer Redaktionen beruhen. Ein Beispiel war eine Recherche von Bloomberg zu chinesischen Spionagechips, die über einen Angriff auf die Lieferkette in Servern von Supermicro eingebracht worden sein sollen. Bloomberg beruft sich auf 17 Quellen aus dem Regierungs- und Firmenumfeld, die unabhängig voneinander die Existenz der Mikrochips in den Servern bestätigt haben sollen. Die betroffenen Firmen dementierten die Berichterstattung. Unabhängig überprüfen konnten wir das nicht. Wir haben daher den Bericht, die Diskussion und die Fakten für unsere Leser aufbereitet.

Doch wie entscheiden wir, über welche Sicherheitslücken auf Golem.de berichtet wird, und über welche nicht?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Berichterstattung über Sicherheitslücken: So sicher nichtWann wir über Sicherheitslücken berichten 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. (u. a. Unravel für 9,99€, Battlefield 1 für 7,99€, Anthem für 8,99€)
  2. 10,79€
  3. 14,99€

1e3ste4 04. Aug 2019

Nö. Die x86-Schwachstellen sind hauptsächlich bei Cloud-Anbietern ein Problem, die auf...

vollstorno 02. Aug 2019

Ja, und? Korrekt berichtet, oder verstehe ich hier etwas falsch? """Daher sollten Nutzer...

mtr (golem.de) 02. Aug 2019

Hallo, Dr.Zoidberg, auch wenn nahezu alle unserer Leser selbst keine Beatmungsgeräte...

jo-1 02. Aug 2019

+1


Folgen Sie uns
       


Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte)

Intel leistete in den 70ern Pionierarbeit und wäre dennoch fast gescheitert. Denn ihren bahnbrechenden 4-Bit-Mikroprozessor wurden sie erst gar nicht los.

Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /