Abo
  • IT-Karriere:

Berichterstattung über Sicherheitslücken: So sicher nicht

Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen.

Artikel von und veröffentlicht am
Eine gefährliche Sicherheitslücke?
Eine gefährliche Sicherheitslücke? (Bild: Skitterphoto/Peyxels)

Ein Wochenmarkt, auf dem Marktschreier lauthals ihre Ware den Kunden aufschwatzen wollen: An dieses Bild erinnert uns häufig das Verhalten von PR-Agenturen, Sicherheitsfirmen, Behörden und Forschern, wenn es um Sicherheitslücken geht. Sie alle wollen - nach Maßgabe der Aufmerksamkeitsökonomie - ihre Warnungen unter die Leute bringen.

Inhalt:
  1. Berichterstattung über Sicherheitslücken: So sicher nicht
  2. Einen sicheren Umgang finden
  3. Wann wir über Sicherheitslücken berichten

Insbesondere Sicherheitsfirmen kontaktieren uns fast täglich mit Pressemeldungen und Berichten über angeblich extrem gefährliche Sicherheitslücken, welche die IT-Welt bedrohten. Bei näherem Hinsehen zeigt sich oft, dass die Berichte aufgebauscht und wichtige Details weggelassen wurden.

Doch nicht jeder Journalist hat die Expertise, die Fehlinformationen zu erkennen. Deshalb sichert diese Praxis oft eine Berichterstattung in den General-Interest-Medien und raubt Technikjournalisten wie uns eine Menge Zeit.

Gefährlich, gefährlich

Ein aktuelles Beispiel: Eine Schadsoftware nutzt eine gefährliche Sicherheitslücke in Android aus, mit der sich Apps klonen lassen, eine Art böser App-Zwilling mit Schadcode entsteht. Was die Pressemitteilung und der ausführliche Blogeintrag unerwähnt lassen: Die zugrunde liegende Sicherheitslücke wurde bereits im Jahr 2017 entdeckt und geschlossen. Ziel der Schadsoftware ist zudem der asiatische Raum, allen voran Indien.

Stellenmarkt
  1. Kassenärztliche Bundesvereinigung (KBV), Berlin
  2. SSI SCHÄFER Automation GmbH, Giebelstadt

Das ist eine häufige Vorgehensweise: In der Pressemitteilung werden Sicherheitslücken als gefährlich bezeichnet, nur ein Detail in der als Basis verwendeten Studie verrät, dass sie eigentlich gar nicht so wild sind.

Der angeblich unsichere VLC-Player

Manchmal werden in Mitteilungen über Sicherheitslücken die Sachverhalte so verzerrt, dass es fast schon unlauter ist. So informierte die Cisco-Tochter Talos im Oktober 2018 über eine Sicherheitslücke im Streamingserver LIVE555. Auf der Webseite hieß es dazu: "TALOS-2018-0684 beschreibt die Schwachstelle CVE-2018-4013. Die LIVE555 Medienbibliotheken sind leichtgewichtige Multimedia-Streaming-Bibliotheken für RTSP/RTCP/RTCP/RTSP/SIP, mit Codeunterstützung für Server und Clients. Sie werden von gängigen Medienplayern wie VLC und MPlayer sowie einer Vielzahl von Embedded-Geräten (hauptsächlich Kameras) genutzt." Tatsächlich betrifft die Sicherheitslücke, über die sich Code ausführen lässt, nur den LIVE555-Server, im VLC-Player wird jedoch nur der Client eingesetzt.

Der Bezug auf den VLC-Player scheint beabsichtigt zu sein. Mit der Erwähnung einer Software, die fast jeder Nutzer kennt, und die millionenfach verwendet wird, kann die Sicherheitsfirma deutlich mehr Aufmerksamkeit erregen. Und wie erhofft berichteten etliche Tech-Medien über eine gefährliche Sicherheitslücke im VLC-Player. In den Kommentaren darunter fragten Nutzer offenbar verzweifelt, wann mit einem Update zu rechnen sei.

Ähnlich verlief es bei einer angeblichen Sicherheitslücke im VLC-Player, die vergangene Woche bekannt wurde. Die US-Behörde Nist und das Cert-Bund warnten vor ihr - dass Behörden bei der Bewertung von Sicherheitslücken und der Informationsarbeit nicht immer positiv abschneiden, haben wir bereits in einer Analyse beleuchtet. Viele Medien weltweit nahmen die Warnungen auf. Doch die vermeintliche Sicherheitslücke, vor der das Cert-Bund warnte, existierte in dieser Form schlicht nicht.

Vielmehr handelte es sich um eine Lücke in einer Bibliothek, die von vielen Media-Playern eingesetzt wird. Diese wurde zudem bereits vor mehr als einem Jahr geschlossen, auch im VLC-Player, und hätte sich zudem nicht wirklich ausnutzen lassen.

Wie können wir Journalisten falsche Berichte über Sicherheitslücken verhindern?

Einen sicheren Umgang finden 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 229€ (Bestpreis!)
  2. 64,90€ (Bestpreis!)
  3. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

1e3ste4 04. Aug 2019

Nö. Die x86-Schwachstellen sind hauptsächlich bei Cloud-Anbietern ein Problem, die auf...

vollstorno 02. Aug 2019

Ja, und? Korrekt berichtet, oder verstehe ich hier etwas falsch? """Daher sollten Nutzer...

mtr (golem.de) 02. Aug 2019

Hallo, Dr.Zoidberg, auch wenn nahezu alle unserer Leser selbst keine Beatmungsgeräte...

jo-1 02. Aug 2019

+1


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /