Ende November 2017 sorgte eine gravierende Sicherheitslücke in MacOS 10.13 «High Sierra» weltweit für Aufmerksamkeit und Schlagzeilen – auch in den Nachrichtensendungen von Radio und Schweizer Fernsehen (SRF).
Auf Beanstandung hin rügt nun die Deutschschweizer Ombudsstelle der Schweizerischen Radio- und Fernsehgesellschaft (SRG), die Radiomacher hätten mit unnötigen Angaben über die Sicherheitslücke berichtet. Der Beanstander bezeichnete die Berichterstattung als «unötige Detailaussage ja schädliche Information» sowie als an der Grenze zur «Hilfestellung zur kriminellen Handlung.»
Heise Online hatte die Sicherheitslücke am 29. November 2017 unter anderem wie folgt beschrieben:
«[…] Apple hat es augenscheinlich versäumt, den root-Account korrekt abzusichern beziehungsweise zu deaktivieren, was auch normalen Nutzern erlaubt, zum Superuser zu werden. Sie müssen nur Zugriff auf einen eingeloggten Account haben. […] Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username ‹root› eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf ‹Schutz aufheben› klicken (gegebenenfalls mehrmals) – und man ist drin. Anschließend agiert man als Root-User und kann sich im System beispielsweise einen neuen Zugang mit allen Rechten anlegen.»
Ähnlich hatte auch Radio SRF in mehreren Nachrichtensendungen am frühen Morgen über die Sicherheitslücke berichtet, insbesondere mit dem folgenden Satz:
«Es reiche aus, den Benutzernamen ‹root› zu wählen, kein Passwort einzugeben und einige Male den Login-Knopf zu drücken».»
Im Vergleich zu Heise Online zeigt sich, dass die Berichterstattung unvollständig war. Gab man lediglich beim Login als Nutzer «root» und kein Passwort ein, funktioniert die Sicherheitslücke nicht.
Beanstandung: «Nachrichtendienstlicher Bedarf», «geschützte Komputer»
Der Beanstander hatte die Ombudsstelle per E-Mail unter anderem wie folgt kontaktiert:
«Ich bin erstaunt, dass ein Leck im Betriebssystem der Apple Software High Sierra in den Nachrichten von DRS im Detail erläutert wird. Es wurde erklärt wie in einen Computer ohne Passwort eingebrochen werden kann. Nach dieser Radiosendung sind alle betroffenen Computer gefährdet, da jedermann weiss wie man das macht. Vor dieser Sendung wussten wenige Spezialisten bescheid..
Wenn hier ein nachrichtendienstlicher Bedarf vorlag, dann wohl der, davor zu warnen den vermeintlich mit Passwort geschützen Komputer unbeaufsichtigt zu lassen. Da es offensichtlich möglich sei auf bestimmte Weise das Passwort zu umgehen. Und zu empfehlen so bald als möglich ein neues update zu benutzen.
Solche Meldungen grenzen an die Hilfestellung zur kriminellen Handlung. Aus meiner Sicht eine unnötige Detailaussage ja schädliche Information.»
Aus dem Vokabular kann man schliessen, dass der Beanstander nicht mehr der Jüngste ist. Allenfalls ist damit erklärbar, dass der Beanstander glaubte, nur dank Radio SRF hätte ein Publikum jenseits von einigen wenigen Fachpersonen von der Sicherheitslücken erfahren.
In der Sache ging der Beanstander fälschlicherweise davon aus, die Sicherheitslücke erlaube es, ohne Passwort in einen Computer «einzubrechen». Die Sicherheitslücke war zwar gravierend, bedingte aber wie oben erwähnt, dass man sich schon mit einem anderen Nutzerkonto auf dem betreffenden Computer hatte einloggen können.
Stellungnahme von Radio SRF: Unnötige Angaben, aber keine «Hilfestellung zur kriminellen Handlung»
In seiner Stellungnahme zur Beanstandung erachtete der zuständige Redaktionsleiter bei Radio SRF die Beanstandung in Bezug auf die Nennung des «root»-Nutzerkontos als berechtigt – trotz weltweiter Aufmerksamkeit und Berichterstattung:
«In der Nachbearbeitung zeigte sich, dass die beiden in der Nacht mit dem Thema beschäftigten Redaktionsmitglieder es als unproblematisch betrachteten, den Benutzernamen ‹root› zu erwähnen. In der übrigen Berichterstattung im Internet, in den sozialen Medien und auf Online-Newsseiten war das Problem nämlich durchwegs als ‹Root-Lücke›, ‹Root-Leck› oder ‹Root-Bug› bezeichnet worden. Zudem war eine der im Netz kursierenden Empfehlungen an besorgte Nutzerinnen und Nutzer von Mac-Computern, sich selbst testweise als Benutzer ‹root› und ohne Passwort einzuloggen. Dadurch würde man feststellen können, ob der eigene Mac vom Problem betroffen war.
Ab dem frühen Morgen dann, aufgrund der Diskussion in der erweiterten Redaktion, sind wir dann zum Schluss gekommen, dass die detaillierte Beschreibung des Vorgehens zum Einloggen ohne Passwort unnötig ist, weshalb die Berichterstattung, wie erwähnt, angepasst wurde. Die Meinung des Beanstanders, die Detailaussagen seien ‹unnötig›, hat sich vor Beginn der Hauptsendungen des Morgens also auch in der Redaktion durchgesetzt. Und auch in der Nachbetrachtung hat sich an dieser Einschätzung nichts verändert. Diesen Kritikpunkt des Beanstanders erachten wir also als berechtigt.»
Hingegen verwahrte sich der Redaktionsleiter – verständlicherweise – gegen den Vorwurf, man habe sich an der Grenze zur «Hilfestellung zur kriminellen Handlung» bewegt.
Bewertung durch Ombudsstelle: Unnötige Angaben über «Root»-Sicherheitslücke
Die Ombudsstelle bezeichnete die Berichterstattung mit genauen Angaben – im Einklang mit Beanstander und Redaktionsleiter – als unnötig. Hingegen konnte die Ombudsstelle den Vorwurf im Zusammehang mit der «Hilfestellung zur kriminellen Handlung» nicht nachvollziehen:
«[…] Gerade auch deshalb nicht, weil der ‹Root-Bug› bereits vierzehn Tage vor den SRF-Nachrichtenmeldungen bei Mac (sic!) selber publik gemacht wurde und sich Hacker, wie bereits erwähnt, wohl kaum in einer Nachrichtensendung von SRF informieren, wie ein möglicher Logi-Vorgang (sic!) zu knacken ist. Wie Sie in der Stellungnahme […] lesen können, erachten die Redaktionsmitglieder den von Ihnen beanstandeten Kritikpunkt, nämlich die Nennung des Benutzernamens ‹root›, als berechtigt.»
Aus der Bewertung kann man schliessen, dass IT-Themen für die Ombudsstelle ungewohnt sind.
Fazit: Nur noch summarische Berichterstattung über Sicherheitslücken bei Radio SRF
Aufgrund der Beanstandung muss man davon ausgehen, dass das Schweizer Radio und Fernsehen (SRF) nur noch summarisch über künftige Sicherheitslücken, die weltweit für Aufmerksamkeit und Schlagzeilen sorgen, berichten wird.
Bedauerlich ist, dass SRF die (vergleichsweise) genauen Angaben über die «Root»-Sicherheitslücke selbst als unnötig bezeichnete und damit den eigenen Spielraum für die künftige Berichterstattung erheblich einschränkte. Die Ombudsstelle musste damit den Beanstander in diesem Punkt unterstützen.
Mit einer nur noch summarischen Berichterstattung über Sicherheitslücken nimmt SRF dem eigenen – mehrheitlich älteren – Publikum die Möglichkeit, sich umfassend zu informieren. Gleichzeitig verzicht SRF damit auf die Aufklärung über Sicherheitslücken mit genügend genauen Angaben. Die Ansicht, es sei unnötig, bei einer «Root»-Sicherheitslücke auf das betroffene «root»-Nutzerkonto hinzuweisen, ist diskussionswürdig.
In der vorliegenden Angelegenheit führte die vollständige Berichterstattung in unzähligen anderen Medien zum Glück dazu, dass Apple unter dem Druck der Öffentlichkeit noch am gleichen Tag (!) eine Sicherheitsaktualisierung für MacOS 10.13 auslieferte.
(Vielen Dank an @vinschger für seinen Hinweis!)
Bild: Pixabay / xusenru, medientypisches Klischeebild von einem Hacker, Public Domain-ähnlich.