Nach SicherheitswarnungSchnellstart von Firefox 3.6.2
Klaus Wedekind
Nachdem eine Bundesbehörde vor einer Sicherheitslücke im Browser Firefox 3.6 gewarnt hat, veröffentlicht Mozilla vorzeitig die neue Version 3.6.2. Eigentlich war die ganze Aufregung gar nicht nötig.
Das Bürger-CERT, ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI), hatte empfohlen, Mozillas Firefox 3.6 vorerst nicht zu nutzen und auf einen alternativen Browser umzusteigen. Die Behörde bezog sich bei der Warnung auf eine "bislang nicht näher spezifizierte" Lücke, den der Sicherheitsdienstleister Secunia der Mozilla Foundation meldete. Es hieß lediglich, Kriminelle könnten die Lücke nutzen, um über infizierte Webseiten Schadcode auf Rechner zu übertragen und auszuführen.
Opera profitiert
Sofort ging die Meldung durch die Online Medien: "BSI warnt vor Firefox!". Das sorgte für große Aufregung und zahlreiche Nutzer wechselten tatsächlich den Browser. Wie Golem.de meldet, profitierte vor allem Underdog Opera von der BSI-Warnung. Nach Angaben des norwegischen Unternehmens haben sich die Download-Zahlen verdoppelt.
Mozilla teilte zunächst mit, dass ausschließlich Firefox 3.6 von dem Problem betroffen sei, alle Vorgängerversionen wiesen die Lücke nicht auf. Firefox 3.6.2, der am 30. März veröffentlicht werden sollte, enthalte bereits ein Sicherheitsupdate. Bis dahin könnten Nutzer, die nicht auf den Firefox verzichten möchten, den bereits sicheren Release-Kandidaten herunterladen. Angesichts der unerwartet starken Abwanderungsbewegung, sah sich Mozilla aber offenbar dazu gezwungen, seinen Zeitplan zu ändern.
Kleiner, aber feiner Unterschied
Das BSI ist gar nicht glücklich über die Schlagzeilen der jüngsten Zeit. Auf Anfrage von n-tv.de sagte Pressesprecher Matthias Gärtner, Mitteilungen des Bürger-CERT seien nicht mit Warnungen des BSI gleichzusetzen. Die so genannte "Technische Warnung" des Bürger-CERT stelle eine Art Vorstufe zur BSI-Warnung dar. Dabei werde lediglich auf die Möglichkeit hingewiesen, dass eine Sicherheitslücke ausgenutzt werden könnte, sagt Gärtner. Um eine solche "Warnung" herauszugeben, genüge der Hinweis einer Sekundärquelle wie die Secunia.
Eine Warnung, wie sie das BSI kürzlich im Fall des Internet Explorer ausgesprochen hat, setzt laut Gärtner voraus, dass eine Lücke bereits ausgenutzt werden kann oder dies kurz bevorsteht. Dies ist bei genauer Betrachtung auch den Formulierungen der Behörden zu entnehmen: Während beim Bürger-CERT zu lesen ist, dass Angreifer die Möglichkeit haben, eine Sicherheitslücke auszunutzen, schreibt das BSI, dass eine Lücke ausgenutzt wird.
Kommunikationsproblem
Den meisten Online-Medien fiel dies entweder nicht auf oder sie legten keinen Wert darauf, ihre Meldungen durch diese feine, aber wichtige Unterscheidung zu entschärfen. Außerdem werden im Internet Berichte gerne ungeprüft übernommen. So kam im Prinzip der "Stillen Post" in den USA die Meldung an: "Deutsche Regierung warnt vor Firefox". Gärtner räumt ein, dass das BSI ein kleines Kommunikationsproblem hat. In Zukunft soll das Bürger-CERT in das BSI integriert werden, um die Verwirrung zu beenden. Dies könne aber noch eine Weile dauern.