Abo
  • IT-Karriere:

Berichterstattung über Sicherheitslücken: So sicher nicht

Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen.

Artikel von und veröffentlicht am
Eine gefährliche Sicherheitslücke?
Eine gefährliche Sicherheitslücke? (Bild: Skitterphoto/Peyxels)

Ein Wochenmarkt, auf dem Marktschreier lauthals ihre Ware den Kunden aufschwatzen wollen: An dieses Bild erinnert uns häufig das Verhalten von PR-Agenturen, Sicherheitsfirmen, Behörden und Forschern, wenn es um Sicherheitslücken geht. Sie alle wollen - nach Maßgabe der Aufmerksamkeitsökonomie - ihre Warnungen unter die Leute bringen.

Inhalt:
  1. Berichterstattung über Sicherheitslücken: So sicher nicht
  2. Einen sicheren Umgang finden
  3. Wann wir über Sicherheitslücken berichten

Insbesondere Sicherheitsfirmen kontaktieren uns fast täglich mit Pressemeldungen und Berichten über angeblich extrem gefährliche Sicherheitslücken, welche die IT-Welt bedrohten. Bei näherem Hinsehen zeigt sich oft, dass die Berichte aufgebauscht und wichtige Details weggelassen wurden.

Doch nicht jeder Journalist hat die Expertise, die Fehlinformationen zu erkennen. Deshalb sichert diese Praxis oft eine Berichterstattung in den General-Interest-Medien und raubt Technikjournalisten wie uns eine Menge Zeit.

Gefährlich, gefährlich

Ein aktuelles Beispiel: Eine Schadsoftware nutzt eine gefährliche Sicherheitslücke in Android aus, mit der sich Apps klonen lassen, eine Art böser App-Zwilling mit Schadcode entsteht. Was die Pressemitteilung und der ausführliche Blogeintrag unerwähnt lassen: Die zugrunde liegende Sicherheitslücke wurde bereits im Jahr 2017 entdeckt und geschlossen. Ziel der Schadsoftware ist zudem der asiatische Raum, allen voran Indien.

Stellenmarkt
  1. ARI Fleet Germany GmbH, Eschborn, Stuttgart
  2. hubergroup Deutschland GmbH, Kirchheim bei München

Das ist eine häufige Vorgehensweise: In der Pressemitteilung werden Sicherheitslücken als gefährlich bezeichnet, nur ein Detail in der als Basis verwendeten Studie verrät, dass sie eigentlich gar nicht so wild sind.

Der angeblich unsichere VLC-Player

Manchmal werden in Mitteilungen über Sicherheitslücken die Sachverhalte so verzerrt, dass es fast schon unlauter ist. So informierte die Cisco-Tochter Talos im Oktober 2018 über eine Sicherheitslücke im Streamingserver LIVE555. Auf der Webseite hieß es dazu: "TALOS-2018-0684 beschreibt die Schwachstelle CVE-2018-4013. Die LIVE555 Medienbibliotheken sind leichtgewichtige Multimedia-Streaming-Bibliotheken für RTSP/RTCP/RTCP/RTSP/SIP, mit Codeunterstützung für Server und Clients. Sie werden von gängigen Medienplayern wie VLC und MPlayer sowie einer Vielzahl von Embedded-Geräten (hauptsächlich Kameras) genutzt." Tatsächlich betrifft die Sicherheitslücke, über die sich Code ausführen lässt, nur den LIVE555-Server, im VLC-Player wird jedoch nur der Client eingesetzt.

Der Bezug auf den VLC-Player scheint beabsichtigt zu sein. Mit der Erwähnung einer Software, die fast jeder Nutzer kennt, und die millionenfach verwendet wird, kann die Sicherheitsfirma deutlich mehr Aufmerksamkeit erregen. Und wie erhofft berichteten etliche Tech-Medien über eine gefährliche Sicherheitslücke im VLC-Player. In den Kommentaren darunter fragten Nutzer offenbar verzweifelt, wann mit einem Update zu rechnen sei.

Ähnlich verlief es bei einer angeblichen Sicherheitslücke im VLC-Player, die vergangene Woche bekannt wurde. Die US-Behörde Nist und das Cert-Bund warnten vor ihr - dass Behörden bei der Bewertung von Sicherheitslücken und der Informationsarbeit nicht immer positiv abschneiden, haben wir bereits in einer Analyse beleuchtet. Viele Medien weltweit nahmen die Warnungen auf. Doch die vermeintliche Sicherheitslücke, vor der das Cert-Bund warnte, existierte in dieser Form schlicht nicht.

Vielmehr handelte es sich um eine Lücke in einer Bibliothek, die von vielen Media-Playern eingesetzt wird. Diese wurde zudem bereits vor mehr als einem Jahr geschlossen, auch im VLC-Player, und hätte sich zudem nicht wirklich ausnutzen lassen.

Wie können wir Journalisten falsche Berichte über Sicherheitslücken verhindern?

Einen sicheren Umgang finden 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-25%) 44,99€
  2. 29,99€
  3. 54,49€
  4. 3,99€

1e3ste4 04. Aug 2019 / Themenstart

Nö. Die x86-Schwachstellen sind hauptsächlich bei Cloud-Anbietern ein Problem, die auf...

vollstorno 02. Aug 2019 / Themenstart

Ja, und? Korrekt berichtet, oder verstehe ich hier etwas falsch? """Daher sollten Nutzer...

mtr (golem.de) 02. Aug 2019 / Themenstart

Hallo, Dr.Zoidberg, auch wenn nahezu alle unserer Leser selbst keine Beatmungsgeräte...

jo-1 02. Aug 2019 / Themenstart

+1

Kommentieren


Folgen Sie uns
       


Motorola One Action im Hands On

Motorola hat das One Action vorgestellt. Das Mittelklasse-Smartphone hat eine Actionkamera eingebaut, die mit einem 117 Grad großen Weitwinkel und einer digitalen Bildstabilisierung versehen ist. Das One Action hat eine gute Mitteklasseausstattung und kostet 260 Euro.

Motorola One Action im Hands On Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /