Heute (25.2.2014) ist das Update auf Mavericks OS X 10.9.2 veröffentlicht worden. Wir haben daher den unten stehenden Text entsprechend angepasst. Bitte installieren Sie das Update auf 10.9.2 unverzüglich! Es beinhaltet neben der Beseitigung des unten beschriebenen SSL-Fehlers auch diverse andere Fehlerbereinigungen, zum Beispiel von Mail.
Was ist das für ein Sicherheitsproblem?
Da wir aus einigen Telefongesprächen mit unseren Kunden erfahren haben, dass aufgrund der aktuellen Sicherheitslücke („goto fail“) große Verunsicherung besteht, beschreiben wir hier noch einmal das Problem und die entsprechenden Maßnahmen, damit Sie wieder sicher im Internet surfen können.
Wer wissen will, worin das eigentliche Problem besteht, kann hier weiterlesen. Wenn Sie sich nur schützen wollen, lesen Sie erst wieder beim darauf folgenden Abschnitt („Welche Geräte sind betroffen“) weiter.
Die SSL-Verschlüsselung, die zwischen Ihrem Macintosh, Ihrem iPhone oder Ihrem iPad und einem Server im Internet stattfindet, kann unsicher sein. Betroffen sind in der Tat nur SSL-Verbindungen, die den Diffie-Hellman-Schlüsselaustausch verwenden. Nicht betroffen sind, wie einige Seiten leider fälschlicherweise berichten, TLS V1.2-Verbindungen. Beim Aktivieren einer SSL-Verbindung tauschen der Server und der Client Informationen aus, um daraus einen geheimen Schlüssel zu berechnen, mit dem dann jede weitere Kommunikation verschlüsselt stattfinden kann. Über sogenannte Zertifikate wird sichergestellt, dass die Antwort der Gegenstelle auch vom richtigen Partner (Server) kommt. Durch den aktuellen Fehler wird allerdings die Echtheit des übermittelten Zertifikats überhaupt nicht überprüft. Zwar erfolgt dann die anschließende Kommunikation auch korrekterweise verschlüsselt, allerdings ist unbekannt, ob der Kommunikationspartner (Server) auch wirklich „der Richtige“ ist. Durch einen „man-in-the-middle“-Angriff besteht durchaus die Chance, dass die Kommunikation abgefangen wird und der Kommunikationspartner für den Datenaustausch im schlechtesten Fall nicht der erwartete Server ist, sondern jemand, der sich dazwischen gemogelt hat und nun die Kommunikation mitliest oder verändert.
Grundsätzlich ist es für einen „man-in-the-middle“-Angriff nötig, dass man die Kommunikation mit dem Server beim Aushandeln der Verschlüsselung abfängt. Das kann wiederum nur klappen, wenn jemand Zugang zu dieser Kommunikation hat, zum Beispiel jemand, der unerlaubt oder ohne Ihr Wissen den Datenverkehr in Ihrem Netzwerk abfängt und manipuliert. Das klappt vorzugsweise in öffentlichen WLANs (ohne Verschlüsselung) oder bei einem manipulierten WLAN-Router ganz gut.
Ist Ihr WLAN sicher (WPA2-verschlüsselt) und das Kennwort nicht (öffentlich) bekannt oder sind Sie gar mit einem Netzwerkkabel mit Ihrem Router verbunden, ist die Chance, diesen spezifischen Fehler auszunutzen, im Prinzip nicht vorhanden.
Welche Geräte sind betroffen?
Betroffen sind alle iOS-Geräte unter iOS 7, die eine frühere Version als iOS 7.0.6 installiert haben, sowie alle iOS-6-Geräte, die eine frühere Version als iOS 6.1.6 installiert haben. Ganz alte iOS-Versionen wie iOS 3.x, 4.x oder 5.x sind von der Sicherheitslücke überhaupt nicht betroffen.
Unter Mac OS X ist das Betriebssystem Mavericks (OS X 10.9 und 10.9.1) betroffen. Alle früheren Betriebssystem, also 10.8.5 und ältere Versionen, sind überhaupt nicht von der Sicherheitslücke betroffen.
Was kann ich dagegen tun?
iPhone & iPad
Mit der Veröffentlichung von iOS 7.0.6 und iOS 6.1.6 hat Apple die Sicherheitslücke geschlossen. Sie sollten also umgehend das aktuelle Update einspielen, um Ihr iPhone oder iPad auf den neuesten Stand zu bringen. Nutzer von iOS 3, iOS 4 oder iOS 5 müssen gar nichts tun.
Macintosh (iMac, MacMini, MacBook Pro, MacBook Air und MacPro)
Nutzen Sie ein Betriebssystem vor Mavericks (z.B. OS X 10.8 oder OS X 10.7 oder früher), dann ist Ihr Computer bzw. dessen SSL-Verbindungen sicher. Sie brauchen nichts zu unternehmen.
Nutzen Sie hingegen Mavericks (OS 10.9 oder 10.9.1), so ist Ihr Computer für solche Angriffe grundsätzlich gefährdet. Installieren Sie bitte umgehend das Update auf Mac OS X 10.9.2!
Wie kann ich die Gefahr grundsätzlich minimieren?
Wie wir schon beschrieben haben, besteht die Gefahr nur dann, wenn auch jemand in der Lage ist, die Kommunikation Ihres Macintoshs mit dem Internet abzufangen. In privaten abgesicherten WLAN-Netzwerken und vor allem bei Anbindung an Ihren Router per Ethernetkabel brauchen Sie sich wenig Gedanken machen. Es sei denn, Sie werden ohnehin von irgendeinem Sicherheitsdienst überwacht – und dann ist die fehlende Überprüfung eines Zertifikats das geringste Problem, das Sie haben. 😉
Wenn Sie mit Ihrem MacBook/Pro/Air/Retina in öffentlichen WLANs unterwegs sind (z.B. in einem Café etc.), so sollten Sie sich grundsätzlich nicht darauf verlassen, dass verschlüsselte Verbindungen (zu erkennen an: https://….) auch immer wirklich sicher sind.
Verzichten Sie auf Online-Banking oder Einkäufe, die grundsätzlich immer verschlüsselte SSL-Verbindungen nutzen, wenn Sie mit öffentlichen (und offenen) WLANs verbunden sind!
Bedenken Sie auch, dass nicht nur Safari per SSL seine Verbindungen verschlüsselt, sondern auch zahlreiche andere Programme (Banking-Programme etc.), die über das Internet kommunizieren. Verzichten Sie auf solche Anwendungen, wenn Sie in öffentlichen WLANs im Internet unterwegs sind, und verschieben Sie Ihre Einkäufe bzw. das Home-Banking auf den Zeitpunkt, wenn Sie zu Hause das Internet über Ihren eigenen Internet-Anschluss nutzen können. Dann sind die Unsicherheitsfaktoren nur noch diejenigen, die sowieso Zugang zu Ihrem WLAN bzw. Computer haben (Ihre Frau, Ihr Mann, Ihre Kinder, der nette Nachbar, der mitsurfen darf). 😉 Solange also niemand den Datenverkehr zwischen Ihrem Computer und Ihrem Internetanschluss manipulieren kann, sind sie auf der sicheren Seite.
Ein grundsätzlicher Tipp: Auch ohne die jetzt bekannt gewordene Sicherheitslücke sind Sie gut beraten, wenn Sie alles, was für Sie teuer werden könnte, grundsätzlich nicht in öffentlichen WLANs (womöglich noch unverschlüsselte WLANs) erledigen, sondern dafür nur Ihren eigenen Anschluss zu Hause oder in der Firma nutzen. Und ein Kabelanschluss ist dabei immer sicherer als eine WLAN-Verbindung.
Kein Computer auf dieser Welt ist jemals 100%ig sicher und wird es auch nie sein. Auch wenn wir bisher in der Apple-Welt nicht so angreifbar waren wie unsere Windows-Mitmenschen mit dem täglichen Viren-Chaos, so heißt das nicht, das wir gedankenlos im Internet unterwegs sein sollten. Phishing-Mails und getarnte Trojaner, die unbedachte Menschen sogar mit dem eigenen Passwort selbst installieren – so etwas gibt es immer wieder. Deshalb gilt immer: Augen auf und bei Unstimmigkeiten lieber alles zweimal hinterfragen oder gleich bei uns nachfragen: 0234 / 9270270.
Und übrigens, weil wir es immer wieder gefragt werden: Nein, die Installation einer Anti-Viren-Software hätte das Problem nicht behoben und auch nicht verhindert. 😉