• IT-Karriere:
  • Services:

Berichterstattung über Sicherheitslücken: So sicher nicht

Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen.

Artikel von und veröffentlicht am
Eine gefährliche Sicherheitslücke?
Eine gefährliche Sicherheitslücke? (Bild: Skitterphoto/Peyxels)

Ein Wochenmarkt, auf dem Marktschreier lauthals ihre Ware den Kunden aufschwatzen wollen: An dieses Bild erinnert uns häufig das Verhalten von PR-Agenturen, Sicherheitsfirmen, Behörden und Forschern, wenn es um Sicherheitslücken geht. Sie alle wollen - nach Maßgabe der Aufmerksamkeitsökonomie - ihre Warnungen unter die Leute bringen.

Inhalt:
  1. Berichterstattung über Sicherheitslücken: So sicher nicht
  2. Einen sicheren Umgang finden
  3. Wann wir über Sicherheitslücken berichten

Insbesondere Sicherheitsfirmen kontaktieren uns fast täglich mit Pressemeldungen und Berichten über angeblich extrem gefährliche Sicherheitslücken, welche die IT-Welt bedrohten. Bei näherem Hinsehen zeigt sich oft, dass die Berichte aufgebauscht und wichtige Details weggelassen wurden.

Doch nicht jeder Journalist hat die Expertise, die Fehlinformationen zu erkennen. Deshalb sichert diese Praxis oft eine Berichterstattung in den General-Interest-Medien und raubt Technikjournalisten wie uns eine Menge Zeit.

Gefährlich, gefährlich

Ein aktuelles Beispiel: Eine Schadsoftware nutzt eine gefährliche Sicherheitslücke in Android aus, mit der sich Apps klonen lassen, eine Art böser App-Zwilling mit Schadcode entsteht. Was die Pressemitteilung und der ausführliche Blogeintrag unerwähnt lassen: Die zugrunde liegende Sicherheitslücke wurde bereits im Jahr 2017 entdeckt und geschlossen. Ziel der Schadsoftware ist zudem der asiatische Raum, allen voran Indien.

Stellenmarkt
  1. consistec Engineering & Consulting GmbH, Saarbrücken
  2. Bank of Scotland, Berlin Mitte

Das ist eine häufige Vorgehensweise: In der Pressemitteilung werden Sicherheitslücken als gefährlich bezeichnet, nur ein Detail in der als Basis verwendeten Studie verrät, dass sie eigentlich gar nicht so wild sind.

Der angeblich unsichere VLC-Player

Manchmal werden in Mitteilungen über Sicherheitslücken die Sachverhalte so verzerrt, dass es fast schon unlauter ist. So informierte die Cisco-Tochter Talos im Oktober 2018 über eine Sicherheitslücke im Streamingserver LIVE555. Auf der Webseite hieß es dazu: "TALOS-2018-0684 beschreibt die Schwachstelle CVE-2018-4013. Die LIVE555 Medienbibliotheken sind leichtgewichtige Multimedia-Streaming-Bibliotheken für RTSP/RTCP/RTCP/RTSP/SIP, mit Codeunterstützung für Server und Clients. Sie werden von gängigen Medienplayern wie VLC und MPlayer sowie einer Vielzahl von Embedded-Geräten (hauptsächlich Kameras) genutzt." Tatsächlich betrifft die Sicherheitslücke, über die sich Code ausführen lässt, nur den LIVE555-Server, im VLC-Player wird jedoch nur der Client eingesetzt.

Der Bezug auf den VLC-Player scheint beabsichtigt zu sein. Mit der Erwähnung einer Software, die fast jeder Nutzer kennt, und die millionenfach verwendet wird, kann die Sicherheitsfirma deutlich mehr Aufmerksamkeit erregen. Und wie erhofft berichteten etliche Tech-Medien über eine gefährliche Sicherheitslücke im VLC-Player. In den Kommentaren darunter fragten Nutzer offenbar verzweifelt, wann mit einem Update zu rechnen sei.

Ähnlich verlief es bei einer angeblichen Sicherheitslücke im VLC-Player, die vergangene Woche bekannt wurde. Die US-Behörde Nist und das Cert-Bund warnten vor ihr - dass Behörden bei der Bewertung von Sicherheitslücken und der Informationsarbeit nicht immer positiv abschneiden, haben wir bereits in einer Analyse beleuchtet. Viele Medien weltweit nahmen die Warnungen auf. Doch die vermeintliche Sicherheitslücke, vor der das Cert-Bund warnte, existierte in dieser Form schlicht nicht.

Vielmehr handelte es sich um eine Lücke in einer Bibliothek, die von vielen Media-Playern eingesetzt wird. Diese wurde zudem bereits vor mehr als einem Jahr geschlossen, auch im VLC-Player, und hätte sich zudem nicht wirklich ausnutzen lassen.

Wie können wir Journalisten falsche Berichte über Sicherheitslücken verhindern?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Einen sicheren Umgang finden 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 499,99€
  2. (u. a. Ryzen 7 5800X für 469€)

1e3ste4 04. Aug 2019

Nö. Die x86-Schwachstellen sind hauptsächlich bei Cloud-Anbietern ein Problem, die auf...

vollstorno 02. Aug 2019

Ja, und? Korrekt berichtet, oder verstehe ich hier etwas falsch? """Daher sollten Nutzer...

mtr (golem.de) 02. Aug 2019

Hallo, Dr.Zoidberg, auch wenn nahezu alle unserer Leser selbst keine Beatmungsgeräte...

jo-1 02. Aug 2019

+1


Folgen Sie uns
       


Cyberpunk 2077 - Fazit

Im Test-Video stellen wir unser Fazit von Cyberpunk 2077 vor.

Cyberpunk 2077 - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /