Einen sicheren Umgang finden

Als Journalisten sind wir gefragt, Informationen nicht nur aufzubereiten, sondern auch zu hinterfragen und zu überprüfen. Im besten Fall können wir die Sicherheitsprobleme selbst nachstellen und bestätigen, beispielsweise mit virtuellen Maschinen. Doch häufig liefern Sicherheitsforscher und Sicherheitsfirmen nur vage Beschreibungen der entdeckten Sicherheitslücken und keine fertigen Exploits, die wir testen könnten.

Stellenmarkt
  1. Global IT Project Manager (m/w/d)
    Maag Germany GmbH, Großostheim
  2. DevOps Engineer (m/f/d) for Embedded Software Integration
    Elektrobit Automotive GmbH, Erlangen
Detailsuche

Das geschieht meist aus zwei Gründen: Zum einen wollen Forscher und Firmen die Betroffenen schützen, welche die entsprechenden Updates noch nicht erhalten oder eingespielt haben. Zum anderen ist das Schreiben eines Exploits nicht nur für die Autoren von Schadsoftware aufwendig, sondern auch für die Entdecker der Sicherheitslücke. Entsprechend beschreiben sie oft nur die Sicherheitslücke - ohne Exploit.

Das Nachstellen kostet zudem häufig nicht nur viel Zeit, sondern stößt auch schnell an Grenzen: Sicherheitslücken in Industriesystemen, sehr spezieller und teurer Software oder wenig genutzten Protokollen können wir schlecht verifizieren. Wir haben weder Beatmungsgeräte noch Scada-Systeme oder Flugzeuge in der Redaktion.

In vielen Fällen bleiben nur kurze Beschreibungen oder Demonstrationsvideos, die erfolgreiche Angriffe zeigen, sowie ein Rückgriff auf die eigene Erfahrung und das Vertrauen in die Primärquellen. Auf dieser Basis versuchen wir, die Sicherheitslücke nachzuvollziehen und deren potentielle Gefährlichkeit abzuschätzen.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Schwierig wird es mit der Nachvollziehbarkeit auch, wenn die Informationen über Sicherheitslücken auf umfangreichen Recherchen anderer Redaktionen beruhen. Ein Beispiel war eine Recherche von Bloomberg zu chinesischen Spionagechips, die über einen Angriff auf die Lieferkette in Servern von Supermicro eingebracht worden sein sollen. Bloomberg beruft sich auf 17 Quellen aus dem Regierungs- und Firmenumfeld, die unabhängig voneinander die Existenz der Mikrochips in den Servern bestätigt haben sollen. Die betroffenen Firmen dementierten die Berichterstattung. Unabhängig überprüfen konnten wir das nicht. Wir haben daher den Bericht, die Diskussion und die Fakten für unsere Leser aufbereitet.

Doch wie entscheiden wir, über welche Sicherheitslücken auf Golem.de berichtet wird, und über welche nicht?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Berichterstattung über Sicherheitslücken: So sicher nichtWann wir über Sicherheitslücken berichten 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


1e3ste4 04. Aug 2019

Nö. Die x86-Schwachstellen sind hauptsächlich bei Cloud-Anbietern ein Problem, die auf...

vollstorno 02. Aug 2019

Ja, und? Korrekt berichtet, oder verstehe ich hier etwas falsch? """Daher sollten Nutzer...

mtr (golem.de) 02. Aug 2019

Hallo, Dr.Zoidberg, auch wenn nahezu alle unserer Leser selbst keine Beatmungsgeräte...

jo-1 02. Aug 2019

+1



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /