Mama Jujas Wochenbett goes nerdy: Updates

Über sich selbst sagt er ja, er sei ein „studierter Software Mensch“, aber eigentlich ist das gar nicht die ganze Wahrheit. Okay, würde er sich jetzt als Update-Superheld outen, würde uns keiner glauben. Wer glaubt schon an sowas?! Oder? ODER? Ach, lest erstmal selbst!

________________________________________________________________________

Updates, Updates, Updates – Auf geht’s, Auf geht’s, Auf geht’s

Ja diese Anlehnung an Otto ist bewusst gewählt – als Auflockerung – doch ist das Thema leider gar nicht so heiter wie es vielleicht den Anschein haben mag. Die Vermutung liegt nahe, dass heutzutage in deutschen Haushalten immer mehr (Mini-)Computer liegen. Ob Laptop, Desktop, Smartphone, Smart-TV oder auch teilweise ein Smart Home (vernetzter Rollladen, Heizkörper usw.). Das verbindende Element hierbei ist, dass auf jedem dieser Geräte Software läuft. Egal ob Android, iOS, Windows oder irgendein Linux.

Aber was hat das jetzt mit Updates zu tun könnte man sich fragen? Eigentlich ganz einfach. Die erste Regel aller Software lautet, dass es keine fehlerfreie Software gibt. Und wer was anderes behauptet lügt. Deswegen muss man Software patchen. Aber nicht wie in Patchwork. Also man nimmt nicht verschiedene Softwareteile und macht was Neues draus, sondern man behebt den Fehler und rollt dieses Update aus. Jetzt installieren einige Systeme ihre Updates  selber (wie beispielsweise Windows 10). Aber nicht alle. Und für manche gibt es nicht mal mehr Updates.

Aber was ist jetzt daran schlimm?

Und wieder ist die Antwort ganz einfach. Wird die Software nicht gepatched bleibt der Fehler drin. Und dann kann Böses passieren. Man könnte hier beispielsweise den Zwischenfall in England bzw. Amerika anführen, in dem ein Großteil der Krankenhäuser betroffen war, Patienten nicht richtig versorgt werden konnten oder Rettungswägen an die falschen Adressen gefahren sind (statt zum eigentlichen Notfall). Ja das war maßgeblich wegen fehlender Updates.

Natürlich kann man jetzt sagen: Ätsch. Passiert mir nicht. Ich bin ja nur ein kleines Licht. Mag sein. Aus eigener Sicht. Aber de facto wollen Hacker meistens – im Gegensatz zu Staaten – primär nicht die Kontrolle über das Gerät, sondern durch das beziehungsweise am Opfer maximal viel verdienen. Beispielsweise durch das Ausleiten von privaten Daten. Vielleicht ist “Stagefright” ein Begriff? Durch Ausnutzen eines Fehlers im Media Player von Android konnte ein Angreifer eine so genannte Remote Code Execution (RCE) durchführen. Will heißen der Angreifer kann ohne Zugriff auf das Gerät (Remote) beliebigen eigenen Code in das Gerät einschleusen und ihn ausführen (Code Execution). Versteht sich von selbst, dass hier nicht “Alle meine Entchen” abgespielt werden sollte oder der Klingelton auf “Biene Maja” geändert. Aber stimmt das “konnte” wirklich? Nein denn leider gibt es heute immer noch genug ungepatchte Geräte, die auf dieser Lücke anfällig sind. Was aber nicht an Google liegt sondern an den Drittherstellern wie beispielsweise Samsung, Huawei, HTC oder andere. Hier sieht man oft das Verzögern von Patches. Beispielsweise weil noch eine Oberfläche angepasst werden muss. Klar ist wichtiger als die RCE, die den User direkt schaden kann. Hier liegt auch der Vorteil an zentral verteilter Software wie bei Apple. Hoher Annahmegrad (nach ca. 1 Woche 70% auf letztem Patch) und lange Patchzeit (Features 4 Jahre, Sicherheitspatches (wie bspw. Stagefright es gewesen wäre) noch deutlich länger).

Mama Jujas Wochenbett goes nerdy: Updates
Quelle: Pixabay

Wenn man heute “normale” User danach fragt was sie zur Abwehr ihrer Geräte machen kommen oft die Schlagwörter: Anti-Virus, Fire Wall und lange Passwörter.  Fragt man Mitarbeiter der IT-Sicherheitsabteilungen bekommt man die Antworten: Updates, Zwei-Faktor-Authentifizierung und mit offenen Augen surfen.

Nun könnte man sich fragen warum die Listen unterschiedlich sind. Auch hier ist die Antwort einfach: Bei Endanwendern fehlt die Sensibilisierung für diese Punkte. Was ich hier nun tun kann ist sagen: Patched eure Geräte! Nehmt das ernst! Achtet beim Kauf von neuen Geräten darauf, dass Hersteller Updates auch liefern (bzw. Ihre Update Versprechen gehalten haben in der Vergangenheit). Achtet auf möglichst schnelle Update-Intervalle nach Bekanntwerden von Sicherheitslücken. Und nutzt die Angebote von Microsoft, Apple und allen anderen, die Zwei-Faktor Authentifizierung anbieten. Das ist kein Hexenwerk, denn man braucht nur einen zweiten Faktor zum Passwort. Das kann ein Hardware-Dongle sein, eine App auf dem Smartphone oder eine Keycard. Im analogen Leben verwenden wir dieses Prinzip schon seit Jahrzenten bei Bank-Automaten. Ein Faktor “Haben” (Bankkarte) und ein Faktor “Wissen” (PIN Code).

Deswegen ist das System durchaus sicher.

Aufgrund der aktuellen Ereignisse sollten alle Anwender die Hersteller bezüglich Updates stärker in die Pflicht nehmen. Die jüngst vorgestellte Attacke gegen WLAN namens “KRACK” erzwingt Updates für alle Acesspoints bzw. Router. Aber auch für Endgeräten. Auch eure. Wenn nicht, dann ist möglicherweise euer Internetverbindung kompromittiert. Zumindest mit hoher Wahrscheinlich solang ihr an öffentlichen HotSpots seid. Privat zugegebenermaßen eher nicht. Möglich wäre es aber. Und was würde helfen? Genau! Updates.

Und was sollte euer bzw. der Alptraum aller Verbraucherschützer sein? Richtig Geräte, die beim Verkaufsstart schon keine Software-Updates bekommen. Wie beispielsweise das Huawei Shot X. Grausam sowas. Aber noch grausamer ist, dass sich dieses Gerät verkauft, das es Läden gibt die sowas verkaufen und – am schlimmsten – dass es den Leuten maßgeblich egal ist. Ein Aufschrei hätte her gemusst. Abstrafen hätte man den Hersteller dafür müssen. Sowohl gesellschaftlich wie auch juristisch.

Warum ich mir den Aufwand gemacht habe diesen Text zu schreiben? Weil es mir ein Herzensanliegen ist, dass endlich mehr Leute Wert darauf legen, dass ihre Geräte bzw. die Software darauf im Fall der Fälle gepatched wird. Dass endlich ein Druck auf die Hersteller erzeugt wird. Es gibt schon Gruppierungen (bspw. einzelne Abgeordnete der Grünen im Europaparlament), die eine digitale Haftung und damit Updates fordern. Aber noch stärker wäre es, wenn die Verbraucher sich nicht mehr an der Nase herum führen lassen würden. Ich hoffe ich konnte mit diesem Text euer Interesse wecken und ein klein wenig zur Sensibilisierung beitragen. Jeder einzelne erreichte User zählt.

Mit besten Grüßen,

Thomas

tl;dr;  Updated alles was ihr könnt und achtet darauf, dass es der Hersteller auch tut!

PS: Das gilt natürlich auch für selbstverwaltete WordPress Installationen… Nur mal so am Rande. Nicht, dass da am Ende private Bilder fehlen oder sonst welche Daten.

 

 

Thomas ist auf Twitter als @koppts unterwegs, studierter Software-Mensch und interessiert an Datensicherheit, (digitaler) Privatsphäre und einem Mehr an gepatchter Software.

 

________________________________________________________________________

Jetzt versteht Ihr, was ich meine, oder? Mit dem Update-Superheld? Und außerdem schreibt er wichtige und komplizierte technische Dinge so, dass man sie versteht. Ach, viel verrückter noch: So, dass ich es verstehe und der Programmierer-Gatte an Inhalt trotzdem nix zu meckern hat. DAS ist eine echte Superhelden-Kraft, Ihr Lieben. Wirklich!

Küsst die Kinder dann kuckt flugs nach dem nächsten Update. WordPress hatte alleine heut drei für mich. ich küsse nochmal ein paar Kinder in der Zeit…

Eure Julia

Du magst vielleicht auch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.