Nebelkerzen statt offener Kommunikation?
iOS-Schwachstellen: Apple-Stellungnahme im Kreuzfeuer der Kritik
Mit einer „A Message about iOS Security“ überschriebenen Pressemitteilung hat Apple auf den Bericht über schwerwiegende Schwachstellen in iOS reagiert, mit deren Hilfe Apple-Nutzer unbemerkt ausgespäht werden konnten. Die Stellungnahme war als Schuss in Richtung Googles „Project Zero“-Team gedacht, ging jedoch kräftig nach hinten los. Apple hat sich durch eher unüberlegte Sätze massive Kritik auch aus den eigenen Reihen eingehandelt.
Zur Erinnerung: Googles „Project Zero“-Team hat darauf aufmerksam gemacht, dass schwere Sicherheitslücken in den Betriebssystemversionen iOS 10 bis iOS 12.1.4 über Jahre hinweg das Ausspähen der persönlichen Inhalte von iOS-Nutzern ermöglichten, wenn diese zuvor lediglich eine entsprechend manipulierte Webseite besucht hatten. Wie im Nachhinein bekannt wurde, hat sich die chinesische Regierung aktiv dieser Möglichkeiten bedient, um gezielt Mitglieder der dortigen Volksgruppe Uiguren zu überwachen.
Googles „Project Zero“ genießt plattformübergreifend hohe Reputation. Die Sicherheitsforscher sind für hohe Kompetenz und einen verantwortungsbewussten Umgang mit den von Ihnen aufgedeckten Sicherheitslücken bekannt, dazu zählt auch, dass den betroffenen Unternehmen vor einer Veröffentlichung ausreichend Zeit eingeräumt wird, um die entsprechenden Schwachstellen zu beseitigen.
Apple argumentiert unsachlich
Apples Veröffentlichung zielt nun mit teils unsachlichen Argumenten mehr oder weniger offen darauf, die Dokumentation der Schwachstellen als PR-Angriff seitens Google zu diskreditieren und den Sachverhalt klein zu reden. So ist kaum anzunehmen, dass Apples Presseteam der Unterschied zwischen Google als Unternehmen und dem unabhängig arbeitenden Sicherheitsteam „Project Zero“ nicht bekannt ist. Dennoch ist in der Apple Mitteilung unsachlich von „einem von Google veröffentlichten Blog über iOS-Schwachstellen“ die Rede, die Apple längst behoben hätte. Zu Letzterem gilt es anzumerken, dass es unter seriösen Sicherheitsforschen zum guten Ton gehört, Details zu Schwachstellen erst dann zu veröffentlichen, wenn die betroffenen Unternehmen ausreichend Zeit hatten, diese zu beseitigen.
Auch Apples Aussage, der Angriff habe „weniger als ein Dutzend Webseiten betroffen, die sich auf Inhalte im Zusammenhang mit der Gemeinschaft der Uiguren konzentrieren“, scheint unüberlegt und erntet in der Folge massive Kritik. Apple stellt sich nach außen stets als Kämpfer für die Rechte von Minderheiten dar, argumentiere hier aber mit dem Unterton, es handle sich ja nur um ein paar wenige Webseiten, die zudem nur die Uiguren betreffen. Ohnehin gilt es hier anzumerken, dass die Tatsache, dass nur dieser Fall der gezielten Ausnutzung der Schwachstellen bekannt ist keinesfalls bedeutet, dass nicht auch anderweitig davon Gebrauch gemacht wurde.
Apple muss sich die Frage gefallen lassen, warum die Veröffentlichung anstelle unterschwellig gegen Google zu poltern nicht mit konkreten Fakten und zusätzlichen Informationen aufwartet. Insbesondere hätten Kritiker gerne auch die chinesische Regierung als Urheber der bekannt gewordenen Angriffe beim Namen genannt gesehen.
- Der Entwickler Michael Tsai hat die kritischen und teils auch böse enttäuschten Reaktionen einiger namhafter Stimmen aus der Apple-Community zusammengetragen.
- Apples Veröffentlichung lässt sich in voller Länge hier nachlesen, eine deutsche Übersetzung steht bislang noch nicht zur Verfügung.
Cook halt. Was soll man noch mehr dazu sagen?
Exakt! Leider habe ich immer öfter den Eindruck, dass Cook, der sicherlich ein hervorragender Betriebswirt ist, sich vorrangig um die Sorgen und Nöte der Aktionäre = den Aktienkurs = den Wert seiner eigenen Optionsscheine kümmert, als um die Kunden und deren Anforderungen.
Dieser Wechsel von User-Sicht zu Aktionärs-Sicht ist m.E. der Zentrale Unterschied zwischen Jobs und Cook.
Natürlich ist Cook durch und durch BWL’er und nur BWL’er. Hoffe ja noch immer auf einen Machtwechsel Apple intern.
Was hat das bitte mit Cook zu tun? Weißt du genau das Tim dies gelesen und abgenickt hat?
Also mal den Ball flach halten.
Sollte er das nicht getan haben, würde das ein noch veil schlechteres Licht auf ihn werfen.
Wenn er solche PMs nicht absegnet dann sollte er gehen weil er in diesem Fall seinen Laden nicht im Griff hätte. Apple sagt ja dass ihr USP Privatsphäre und Sicherheit sei. In Wirklichkeit scheint ihr USP reines Blabla zu sein.
Eben, wäre traurig, wenn ein Unternehmen wie Apple so schwach aufgestellt ist, das der CEO auch noch Pressemitteilungen selbst verfassen oder drüber schauen müsste.
Das wäre der typische Fehler, den Kleine Chefs immer machen, weil sie Glauben, das wäre ihre Aufgabe!
@Denner Hier wackelt die zentrale Marketingaussage des Unternehmens. Du glaubst doch nicht, dass die Kommunikation in diesem Zusammenhang nicht von höchster Ebene kontrolliert wird!?
@Dirk
Wäre schlimm, wenn es so wäre. Das ist Apple und nicht der Schlosser mit 6 mitarbeitern
@Denner
Wichtige Statements werden abgestimmt und ich bin mir sicher das ist eine wichtige Note! Ansonsten hat er seinen Laden nicht im Griff und es ist nun einer gut eingenordet worden.
@Denner Wie @oliver richtig feststellt, werden solche Statements eigentlich immer mit dem Vorstand abgesprochen. Macht bei mir im Unternehmen (über 10.000 MA) der CEO auch immer.
Ja, Apple versucht in den letzten Jahren Inhalt durch Form zu ersetzen.
Das ist die „beste“ Art intelligente Kunden zu vergraulen.
Apple sollte endlich mal vom hohen Ross steigen und kritikfähig werden.
So gut die Geräte von Apple auch sind, Kritikfähigkeit gehörte noch nie zur Stärke von „big apple“!
Für eine solch pauschale Aussage reicht unser Kenntnisstand einfach nicht aus.
Meine Waschmaschine ist bis jetzt nur zur Hälfte gefüllt.
Für diese Stellungnahme, rudi, reicht dein Kenntnisstand aus.
„So gut die Geräte von Apple auch sind…“ Welche Geräte meinst du? Gerade kämpft mein Schwiegervater mit Apple, dass sein gerade mal 32 Monate altes MacBook Pro 2016 die Hauptplatine kaputt ist. Wirklich tolle Profi-Geräte.
Was will er da kämpfen. 12 Monate Garantie. Fertig. Wenn du 36 Monate willst, schließ Apple Care ab. Selbst bei Herstellern die 24 Monate Garantie geben, wäre er raus. Ist ein altes Gerät, so ist das nun mal.
Wie gut das das MacBook deines Vaters stellvertretend für alle Apple Produkte steht- heul einfach leise Chantal ok? ;)
@Tom-2.0 dann will ich dich hören wenn du ein teures (angebliches) Qualitätsprodukt kaufst, zu horentem Preis und es dann nach 32 verreckt.
Apple stand Mal für Geräte die zuverlässig und langlebig sind, dafür haben die Kunden auch freiwillig mehr bezahlt als bei der Konkurrenz. Aber mittlerweile gibt’s nur noch einen Schrott nach dem anderen.
Das ist absoluter Quatsch, Hans-Dieter, wirklich.
Die Kundenzufriedenheit ist bei Apple extrem hoch.
Angeblich hat es da wohl ein Austauschprogramm gegeben und Gravis will jetzt auf Kulanz versuchen. Am Mittwoch bekommt er bescheid. @Mike, Tom und mein lieber markus (der Typ mit den nichtssagenden Worthülsen), die Lehre daraus hat er gezogen, glaubt mir. Er hat die Reise gewagt (meine Empfehlung 2016), wurde bitter enttäuscht und für ihn ist Apple gestorben, dafür leg ich meine Hand ins Feuer. Für mich ist es nur eine weitere Bestätigung, dass Apples Qualität drastisch abgenommen hat. Mein Macbook Pro 2o15, dass ich täglich beruflich und privat nutze läuft. Das Macbook von meinem Schwiegervater, dass er…Achtung…zur Bilderverwaltung, Steuersoftware, Numbers, Banking usw nutzt, kracht nach nicht mal 3 Jahren. Top Qualität. Wer da als Kunde nicht zufrieden ist, dem kann man nicht helfen, oder markus?
Tja mein MacBook Pro Late 2016 läuft wie am ersten Tag. Kommt halt auch immer drauf an wie man mit seinen Sachen umgeht
Danke Mike. Ich werde meinem Schwiegervater ausrichten, dass er es nicht mehr als Türstopper verwenden soll. Und danke, dass du dich mit deinem letzten Kommentar komplett disqualifiziert hast. Selten sowas belangloses gelesen von einem Fanboy.
Ich hab eins von 2011. Es läuft jeden Tag anstandslos.
Da könnte man glatt zum Fan werden.
Wenn es ein Austauschprogramm gab, gab es mit bestimmten Seriennummern Probleme.
Wenn dann habe ich mich diskreditiert und nicht disqualifiziert. Und wenn ich sage, meines läuft noch und ich mich somit als Fanboy „diskreditiere“, dann spricht dies eher für dich als geistigen Flatliner —– ;)
Mike ist einfach ein Troll – und nur Trolle haben recht ;)
Was hat das Mit New York zu tun?
Sehr schade!
ich warte auf die Antwort zu „Bin ich betroffen?“ von Apple. Alles andere wirkt als ob Apple als Bewahrer der persönlichen Daten der Kunden, dieses nicht wirklich ernst meint.
Auch wenn dies hier eine Fanseite ist, ist es richtig und wichtig auch kritisch und mit angezogener Rosa-Rot-Brille zu schauen.
Danke dafür. Gut gemacht!
Eine Fanseite? Hier gibt es Informationen, kein Fangewäsch.
+1
Fan-Seite? Die Redakteure interessieren sich rund um Apple-Themen- ich denke sie haben aber auch oft genug schon kritisch über Produkte oder Firmenentscheidungen berichtet. Nur weil sie zu einem gewissen Themenbereich Schreiben heißt das nicht das das hier eine Fan-Seite ist…manche Leute…
Ist doch immer mehr schein als sein. Auch apple kocht mit lauwarmen Wasser nur die verpacken es in Goldkarafen ;)
Grundsätzlich alles richtig, aber Google im Zusammenhang mit Daten Schutz zu nennen ist schon lustig. Außerdem sollten wir uns von dem Gedanken online und Datenschutz grundsätzlich verabschieden. Jegliche Geräte die irgendwas senden und empfangen sind angreifbar. Alle diese netten Konzerne können und machen das inklusive Regierungen. Bei konspirativen Treffen Gold wie eh und je, keine Elektronik.
Ich denke der Tatbestand ist hier irrelevant, viel wichtiger ist ja wohl Apples peinliche Reaktion darauf. Als wären wir alle Hinterwäldler.
Du kennst den Unterschied zwischen vielleicht mangelndem Datenschutz und Sicherheitslücken?
sehr guter text von euch. apples verhalten an dieser stelle ist nicht nachvollziehbar!
Ich frage mich allerdings, warum so eine Entdeckung überhaupt veröffentlicht werden muss. Hat nicht das Unternehemen als Entwickler alleine das Recht auf diese Informationen? Ich denke zudem so unabhängig, wie hier postuliert ist das Projekt Zero nicht. Es wird vin Google finanziert und ist damit nicht wirklich unabhängig. Ich frage mich, ob diese auch Sicherheitslücken im neuen Android 10 so schnell veröffentlichen würden. Eine Kritik muss sich Apple allerdings für den Umgang mit der Veröffentlichung allemal gefallen lassen -meiner Meinung nach.
„Droht“ man nicht mit einer Veröffentlichung, so sehen manche Unternehmen keine Notwendigkeit, die Schwachstellen „zeitnah“ zu beheben.
Aber du kannst die Frage auch andersrum stellen; was soll Entdecker von Schwachstellen davon abhalten, Sicherheitslücken sofort publik zu machen? Schließlich kann dieser mit der Entdeckung tun und lassen was er will.
Nein, es steht aber auch Apple frei in der drecks Wäsche von Google rum zu wühlen mit einem selbst finanzierten Team, tun sie aber nicht. Die Schuld aber klein zu reden macht es trotzdem nicht besser.
Für mich ist die Sicherheit an erster Stelle
für ein Gerät. Für was soll ich sonst noch
so hohe Preise bezahlen?
Für Design mittlerweile auch nicht mehr.
Technische Leistungsdaten gibt es bei
vergleichbaren Androidgeräten deutlich
günstiger.
Solche Berichte nerven mich. Also macht
eure Arbeit.
Geht dieser Beitrag auch übersetzt an tim.cook@apple.com oder was soll das hier?
Ganz schwach von Apple gelöst, da bin echt enttäuscht.
*ich
Kann beim besten Willen die Kritik des Autors nicht teilen. Liest sich wie der Wunsch nach einen Shitstorm.
Kannst sie nicht teilen, weil…!?
Allein der Versuch, aus der Erwähnung der Uiguren einen Minderheitenskandal herbeireden zu wollen, zeugt m.E. von wenig journalistischem Abstand. Auch ein „unterschwelliges Poltern gegen Google“ kann ich aus Apples Stellungnahme nicht herauslesen. Das alles liest sich für mich nach einer stark enttäuschten Erwartungshaltung, bei der ich einzig die überhöhten Erwartungen als Problem ausmachen kann. Jedenfalls kann ich nur aus dem Statement heraus keinen grundsätzlichen Zweifel an meinem Vertrauen in Apples Sicherheitsbemühungen ableiten. Es wird immer so bleiben, dass Fehler gemacht werden und Erwartungen an eine perfekte Kommunikation dann und wann enttäuscht werden. Daraus einen Skandal stricken zu wollen, ist mir allerdings too much.
Guter Kommentar, Martin!
Warum hat Apple nicht aktiv informiert und aufgeklärt bzw betroffene Nutzer gewarnt? Das wäre m.E. verpflichtend. Die Stellungnahme liest sich doch nicht anders als „wir sind gut und Google sind Penner“. Etwas mehr Zurückhaltung und statt dessen offene Kommunikation hätten mir hier besser gefallen.
Weil vermutlich nicht sein kann, was nicht sein darf.
Völlig zutreffende Kommentar von Martin. Wie glaubwürdig ist eine Veröffentlichung eines Problems sechs Monate nach dessen Beseitigung?
Google hat ein Problem mit Sicherung der Privatsphäre und reagieret (verständlicherweise) schmerzempfindlich drauf, das Apple (zu Recht) den Finger in diese Wunde legt. Also tritt Google kurz vor Veröffentlichung neuer iPhones und IOS Apple werbewirksam vor das Schienbein. Das ist pures Guerilla-Marketing!
@markus Ich überlege auf Wasser medium umzusteigen. Wie findest du das?
Inwiefern? Seh ich kein bisschen so, man kann auch angemessene Kritik äußern, was hier der Fall ist.
Irgendwie scheint seit einiger Zeit in Apples PR Abteilung der Wurm drin zu sein. Ganz oft liegt es einfach an falschen Formulierungen hab ich den Eindruck.
Paradebeispiel ist für mich die Vorstellung des neuen Pro Display gewesen. Anstatt zu sagen: Das Ding kostet nur 6.000 Öcken und wenn ihr auf den Fuss verzichtet wird er sogar nochmal nen 1000er billiger hat man den Fuss allein eben mit 1000$ bezeichnet. Das Ergebnis ist das selbe, die Wahrnehmung in der Öffentlichkeit eine andere (positivere).
Das zieht sich seit der September Keynote 2018 (Darstellung der Eigenschaften des XS) wie ein roter Faden durch…
Warum? Ich bin weder an der Käsereien noch an so einem Profimonitor interessiert.
Wurde ich mein Geld mit etwas verdienen, bei dem ich solche Hardware benötige, waren die Preise egal, weil ich das wieder reinhole.
Und Preise werden immer klein präsentiert. Nicht groß und dann auf „Einsparmöglichkeiten hingewiesen.
Es geht hier nicht um die Preise an sich, diese waren wie klar kommuniziert lediglich ein Beispiel. Hier geht es um die Art einer Unternehmenskommunikation.
Bitte erst richtig lesen, dann kritisieren ;-)
wirst du Denner nicht mehr anerziehen können. versäumnisse in der kinderstube bleiben lebenslang haften.
@nick
Niemand preist ein Produkt teuer an um dann Einsparmöglichkeiten zu präsentieren.
Hochmut kommt vor dem Fall.
Ob man bei Apple diesen Ausspruch auch kennt?
Einge „bei Apple“ kennen den Spruch bestimmt.
Um 12:00 Uhr kommt dann der Bus.
Ich finde das kurze Statement von Apple durchaus ziemlich faktenreich:
1. „The attack affected fewer than a dozen websites that focus on content related to the Uighur community.“ Das ist doch die Information, die in dem Blog-Eintrag von Google gerade fehlte und nach der alle gefragt haben.
2. „Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies.“ Auch diese Information ist sehr relevant und eine Klarstellung, die man sich von vom Google-Blog selbst gewünscht hätte.
3. „We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it.“ Alle fraglichen Lücken wurden in 10 Tagen geschlossen. Eigentlich das wichtigste Faktum.
Also ich kann die Kritik daran nicht nachvollziehen.
Zu Punkt 1 sagt Google folgendes:
Earlier this year Google’s Threat Analysis Group (TAG) discovered a small collection of hacked websites.
Diese Aussage ist inhaltlich richtg, nicht das von Apple. Google sagt, das man wenige Webseiten identifizieren konnte. Gut, Apple spezifiziert das mit „weniger als ein dutzend“. Das heißt also, das Apple sämtliche Webseiten untersucht hat und tatsächlich weniger als ein dutzend betroffen waren? Oder ist eher Google Aussage richtig, wonach man nur das bewertet, was man auch tatsächlich bestätigen kann?
Zu Punkt 2, Google sagt weiterhin, das die Lücken seit iOS 10 bestehen. Und ich glaube nicht, das Project Zero ein Team aus Apple-Bashern ist, welche mit unwahrheiten hausieren gehen.
Und der dritte Punkt, hier gibt es keine Kritik, außer das es keine zeitnahe Information seitens Apple gab. Selbst wenn wirklich nur wenige Websiten über 2 Monate mit wenigen 1000 Besuchern (laut Google) betroffen waren, so hätten auch diese informiert werden müssen. Schließlich war es möglich, Passwörter abzugreifen.
Ok, soweit so normales Fehlverhalten in einem Softwaregeschäft. Geradezu langweilig normal. Aber wo ist jetzt der große Skandal? Das Kreuzfeuer der Kritik auch aus den eigenen Reihen? Der kräftig nach hinten losgegangene Schuss Richting Google? Wo die unsachlichen Argumente? Wo eine Diskreditierung Googles?
Kommt mal alle wieder runter. Man muss genauso viel gegen Clickbaiting tun wie gegen Sicherheitslücken in prominenter Software. Beides ist ne Seuche unserer Zeit.
Wo ich persönlich den „Skandal“ sehe (ich kann nicht für andere reden) ist, das Apple in der Informationspolitik massiv versagt hat. Sicherheitslücken gibt es überall, das passiert. Aber Apple hat von einer Lücke Kenntnis, welche über Monate (wenn wir mal den zeitraum nehmen den Apple angibt) weitläufig Daten von iPhone Nutzern abziehen konnte (inkl. Passwörter wohlgemerkt) und schaft es nicht, seine Kunden zeitnah/überhaupt darüber zu informieren. Und wenn es nur 5 betroffene gewesen wären. Apple hätte dies tun müssen. Nicht erst wenn Google lospoltert. Spätestens nach dem Update der Geräte hätte eine Info an alle rausgehen müssen. So waren halt ein halbes Jahr länger (unter Umständen) kompromittierte Passwörter im Umlauf.
Apple informiert IMMER über die geschlossenen Sicherheitslücken. Nach jedem Update – auch dem vom Februar – werden alle gefixten Sicherheitslücken auf https://support.apple.com/de-de/HT201222 schonungslos aufgelistet und erklärt. Das eigentlich bei jedem Update eine ganz Menge und es sind auch immer ein paar wirklich weitreichende.
Angesichts dessen, dass Apple Milliarden dafür kassiert, Googles Suchmaschine zu integrieren sind mir diese „Feindseligkeiten“ weitgehend schleierhaft.
Das gilt auch für „Samsung versus Apple“. Apple kauft ihnen sehr viel Technik ab, sie sind Geschäftspartner. Ist das völlig bedeutungslos? Scheinbar ja. Seltsame Geschäftswelt.
Und je mehr ich darüber nachdenke, umso mehr finde ich Markensoldaterie abwegig. Oder mich vor irgendeinen Marketingwagen spannen zu lassen, auf den Leim zu gehen und mir anzueignen
Gerade große Firmen (Konzerne) bestehen aus vielen kleinen Firmen die selbstständig sind. Hilft dir das vielleicht um das ganze einzuordnen und zu verstehen?
Bei Apple stimmt eine ganze Menge nicht mehr weil es nur um Geld geht und eine Marke zu verkaufen und nicht um gute Sachen
Leider wahr. Ich frage mich ernsthaft was aus dem „We hear you – boy, do we hear!” geworden ist? Achja, stimmt, es war ein Zitat von Jony…wo ist der gleich nochmal? Der wusste schon warum er das Schiff verlassen hat/musste.
Solange Cook noch Apple führt wird Apple gegen die Wand gefahren!
Das hätte es nicht mit Steve nicht gegeben!
Mal sehen was er wieder am Dienstag lügt und jammert und ankündigt..
Solange die Aktionäre Geld verdienen wird der noch gehalten !!!