Gefährliche Bequemlichkeit

Wer zu Produkten renommierter Hersteller greift, hofft für sein gutes Geld hohe Qualität, Langlebigkeit und guten Service zu erwerben. Im Falle von Problemen erwartet er Rückrufe und Austausch. Zumindest einen Kundendienst, der bei Produktmängeln rasch informiert und zielstrebig handelt.

Gleich zwei Hersteller haben in den letzten Wochen gezeigt, dass ihr Qualitätsmanagement wohl leicht verbesserungswürdig ist. Wie sonst lässt es sich erklären, dass mit Apple und Abus gleich zwei bedeutende Marken mit katastrophalen Sicherheitsmängeln auffielen. Der Schlossproduzent Abus erfuhr kurz vor dem 100 jährigen Firmenjubiläum eine höchst ungewöhnliche Medienpräsenz, ausgelöst durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Amt warnte bei voller Namensnennung in einer Pressemitteilung vom 10. August 2022  vor dem  Funk-Türschlossantrieb „Abus Hometec Pro CFA3000“. Es handelt sich um eine smarte Lebenshilfe, bei der über ein Funksignal ein Antrieb den im Schloss der Tür steckenden Schlüssel dreht. Das pfiffige Gadget für die Internetgeneration verspricht damit ein Lebensgefühl wie bei einem Auto mit Funkschlüssel. Wer je einen dieser Schlüssel verloren hat, weiß was die Werkstatt dafür berechnet. Es kostet einiges an Arbeit, um den verbleibenden Schlüssel, das betreffende Auto und den neuen Schlüssel digital zu verheiraten.

Die Auto-Ingenieure haben panische Angst vor Angriffen über die Luftschnittstelle. Abus-Techniker wohl nicht. Ein Auto ist schließlich ein Wertgegenstand. Eine Wohnung aber auch. Bei der Konstruktion hätte sich Abus also besser etwas mehr Zeit und Sorgfalt gönnen können. Eventuell auch ein Telefonat mit einem Sicherheitsexperten. Unverständlich auch, warum der  Hersteller so viel Druck vom BSI brauchte, um die Kunden zu informieren. Gereicht hat es nun immerhin zu einer Information auf der Produktseite des Hauses. Eine Pressemitteilung war Stand 23. August, nicht verfügbar, auch kein Produktrückruf. Ein etwas magerer Kundenservice. Auf Nachfrage erläutert die Firma, der sei auch nicht geplant. Schließlich gelange man mit der Brechstange weit schneller ins Gebäude, und benötige auch keine teure Funktechnik. Die ist allerdings im Internet zu durchaus moderaten Preisen verfügbar. Hier sind auch Antennen mit beachtlicher Verstärkung erhältlich. Gelangt beides in die Hand von Kriminellen, ist das Opfer doppelt geschädigt. Polizei und Versicherer stellen bekanntermaßen recht bohrende Fragen, wenn ein Geschädigter einen Einbruch ohne Spuren meldet. Das sollte ein Hersteller von Türschlössern eigentlich wissen.     

Noch schlechter erging es den Kunden von Apple. Die Nutzerdaten des eher überbezahlten Iphones waren über lange Zeit offen wie ein Scheunentor. Die Sicherheitslücken CVE-2022-32893 und CVE-2022-32894 gewährten Angreifern dank schlampiger Kontrolle der Software Durchgriff bis in den Kernel. Hier klopft das Herz des Betriebssystems. Wer Zutritt zum Kernel verschafft, ist Herr im Haus. Er kann Daten beliebig auslesen, manipulieren, löschen oder auch neue hinzufügen. Die Angriffe kommen über das Internet, denn auch die Nahtstelle zu allen Browsern war korrumpiert.  Programmiert wurde nach dem Baukastenprinzip. Bei dieser Methode werden bereits vorhandene Module verbunden und wenig Code selbst geschrieben. Das ist schnell und bequem, aber auch unsicher, wenn niemand überprüft, was an Fehlern in den Modulen so schlummert. Techniker sprechen von einem  „Out-of-bounds write“-Problem. Offensichtlich haben Geheimdienste diese Schwachstelle seit Jahren ausgenutzt. Damit konnten sie auch das Telefon zur audiovisuellen Wanze mit GPS-Vernetzung verwandeln. Nun kommen etliche Kunden ins Grübeln. War mein Iphone auch bei der Geheimkonferenz mit Herrn X und Herrn Y? Was könnte das Telefon mitbekommen haben? Gut, dass sich nur Vorstände und Geheimnisträger diese Frage stellen müssen. Normalbürger sind für Geheimdienste uninteressant. Inzwischen ist die Lücke aber auch allen Amateuren und Kriminellen bekannt. Ein Grund, das Update schnell zu installieren. Auch Mac Nutzer sollten dies tun. Wie lange die Sicherheitslücke schon besteht, ist offen.

An dieser Stelle könnte der Hinweis stehen, dass Smartphones bei wichtigen Konferenzen und Gesprächen generell nichts zu suchen haben. Sie gehören in einen Metallkoffer, der keine Funkwellen herauslässt. Der Trick, den Akku herauszunehmen, funktioniert bei Apple bekanntlich nicht. Aber der Hinweis ist müßig. Wir haben uns an die Allgegenwart der unverzichtbaren Telefone zu sehr gewöhnt. Die Generation Smartphone trennt sich von ihrem heiß geliebten Spielzeug selbst zur Schlafenszeit nicht, und vertraut ihm mehr, als Oma ihrem Tagebuch. In Österreich verhandelten hochrangige Politiker über Jahre kriminelle Deals per SMS. Gelöscht haben sie diese nicht. Dass die schlauen Telefone nicht nur Telefonnummern, sondern auch Informationen speichern, haben die Amtsträger verdrängt. Dann wurden einige der Telefone für ein anderes Verfahren beschlagnahmt und ausgelesen. Nun hat der Staatsanwalt noch mehr Anklagen zu verfassen, unter anderem gegen einen früheren Vorgesetzten. Prozesse stehen an. Ändern wird das den schlampigen Umgang mit Technik wohl nicht.

Bern Schöne, freier Mitarbeiter PROTECTOR und Sicherheit.info