Nachrichtenbeiträge «Leck im Apple Betriebssystem» von «Radio SRF 1» beanstandet

5249
Mit Ihrer E-Mail vom 29. November 2017 haben Sie Nachrichtensendungen von Radio SRF 1 vom 29. November 2017 um 4.00 Uhr, 5.00 Uhr und 5.30 Uhr zum Thema «Leck im Apple Betriebssystem» beanstandet. Ihre Eingabe erfüllt die formalen Voraussetzungen an eine Beanstandung. Somit kann ich auf sie eintreten.

A. Sie begründeten Ihre Beanstandung wie folgt:

Ich bin erstaunt, dass ein Leck im Betriebssystem der Apple Software High Sierra in den Nachrichten von DRS im Detail erläutert wird. Es wurde erklärt wie in einen Computer ohne Passwort eingebrochen werden kann. Nach dieser Radiosendung sind alle betroffenen Computer gefährdet, da jedermann weiss wie man das macht. Vor dieser Sendung wussten wenige Spezialisten bescheid..

Wenn hier ein nachrichtendienstlicher Bedarf vorlag, dann wohl der, davor zu warnen den vermeintlich mit Passwort geschützen Komputer unbeaufsichtigt zu lassen. Da es offensichtlich möglich sei auf bestimmte Weise das Passwort zu umgehen. Und zu empfehlen so bald als möglich ein neues update zu benutzen.

Solche Meldungen grenzen an die Hilfestellung zur kriminellen Handlung.

Aus meiner Sicht eine unnötige Detailaussage ja schädliche Information.

P.S soeben trifft das Update ein !!!!

B. Ihre Beanstandung wurde der zuständigen Redaktion zur Stellungnahme vorgelegt. Herr Roman Mezzasalma, Redaktionsleiter Nachrichten/Teletext/Info 3, schrieb:

Der Beanstander kritisiert die folgende Nachrichtenmeldung vom 29. November 2017 aus den Nachrichtensendungen von 4.00 Uhr, 5.00 Uhr und 5.30 Uhr auf Radio SRF 1:

«Bei Mac-Computern von Apple ist eine Sicherheitslücke aufgetaucht. Betroffen ist das aktuelle Betriebssystem ‹High Sierra›. Man könne sich ohne Passwort in die Computer einloggen, schrieb ein IT-Experte auf Twitter. Dies bestätigen zahlreiche Nutzer. Es reiche aus, den Benutzernamen ‹root› zu wählen, kein Passwort einzugeben und einige Male den Login-Knopf zu drücken. Apple teilte mit, man arbeite an einem Software-Update, um das Problem zu beheben. Den Nutzern empfiehlt der Konzern, für den Root-Account in der Zwischenzeit ein Passwort zu setzen.»

Der Beanstander zeigt sich «erstaunt, dass ein Leck im Betriebssystem der Apple Software High Sierra in den Nachrichten von DRS im Detail erläutert wird. Es wurde erklärt wie in einen Computer ohne Passwort eingebrochen werden kann. Nach dieser Radiosendung sind alle betroffenen Computer gefährdet, da jedermann weiss, wie man das macht. Vor dieser Sendung wussten wenige Spezialisten Bescheid ...» Und weiter: «Solche Meldungen grenzen an die Hilfestellung zur kriminellen Handlung. Aus meiner Sicht eine unnötige Detailaussage, ja schädliche Information.»

Der Satz in der Nachrichtenmeldung, der im Zentrum der Beanstandung stehen dürfte, lautet: «Es reiche aus, den Benutzernamen «root» zu wählen, kein Passwort einzugeben und einige Male den Login-Knopf zu drücken». Tatsächlich ist dieser Satz von der Redaktion nach den ersten drei Sendungen zwischen 4.00 Uhr und 5.30 Uhr in einem Dutzend weiteren Ausstrahlungen der Meldung ab 6.00 Uhr bis 10.30 Uhr angepasst worden auf: «Es reiche aus, einen bestimmten Benutzernamen zu wählen, kein Passwort einzugeben und einige Male den Login-Knopf zu drücken» - also ab 6 Uhr ohne Erwähnung des Benutzernamens.

In der Nachbearbeitung zeigte sich, dass die beiden in der Nacht mit dem Thema beschäftigten Redaktionsmitglieder es als unproblematisch betrachteten, den Benutzernamen «root» zu erwähnen. In der übrigen Berichterstattung im Internet, in den sozialen Medien und auf Online-Newsseiten war das Problem nämlich durchwegs als «Root-Lücke», «Root-Leck» oder «Root-Bug» bezeichnet worden. Zudem war eine der im Netz kursierenden Empfehlungen an besorgte Nutzerinnen und Nutzer von Mac-Computern, sich selbst testweise als Benutzer «root» und ohne Passwort einzuloggen. Dadurch würde man feststellen können, ob der eigene Mac vom Problem betroffen war.

Ab dem frühen Morgen dann, aufgrund der Diskussion in der erweiterten Redaktion, sind wir dann zum Schluss gekommen, dass die detaillierte Beschreibung des Vorgehens zum Einloggen ohne Passwort unnötig ist, weshalb die Berichterstattung, wie erwähnt, angepasst wurde. Die Meinung des Beanstanders, die Detailaussagen seien «unnötig», hat sich vor Beginn der Hauptsendungen des Morgens also auch in der Redaktion durchgesetzt. Und auch in der Nachbetrachtung hat sich an dieser Einschätzung nichts verändert. Diesen Kritikpunkt des Beanstanders erachten wir also als berechtigt.

Nicht einig sind wir hingegen mit der Einschätzung, die Gefährdung der betroffenen Computer sei durch unsere Radiosendung entstanden oder habe sich durch diese verstärkt und unsere Meldung grenze an Hilfestellung für eine kriminelle Handlung. Wir gehen davon aus, dass potentielle Hacker sich nicht aufgrund eines Radio-Berichts kundig gemacht hätten, sondern vielmehr aufgrund der allgegenwärtigen, noch viel detaillierten Beschreibungen im Internet und auf sozialen Netzwerken. Zudem wurde die Root-Schwachstelle bei Mac schon zwei Wochen vor der Radiosendung öffentlich dokumentiert[1].

Die Beanstandung hat auf der Redaktion eine hilfreiche Diskussion ausgelöst. Gleichzeitig sind wir der Meinung, das Gebot einer sachgerechten Berichterstattung eingehalten zu haben.

C. Damit komme ich zu meiner eigenen Bewertung der Meldung.

Gleich wie Herr Roman Mezzasalma gehe ich davon aus, dass sich Ihre Beanstandung auf die Nennung des Benutzernamens und die Beschreibung des Login-Vorgangs in den Nachrichtensendungen am frühen Morgen des 29. Novembers 2017 bezieht. Diese Angaben waren in der Tat unnötig. Es ist der erweiterten Redaktion allerdings anzurechnen, dass sie die Erklärung zum Login in den folgenden Nachrichtensendungen weggelassen haben. Dass die beiden in der Nacht beschäftigten Redaktionsmitglieder die Nennung des Benutzernamens als unproblematisch erachteten, kann ich – angesichts der Tatsache, dass bereits seit geraumer Zeit auf verschiedensten Kanälen bekannt war, wie das «Root-Leck» zu knacken ist – ein Stück weit verstehen.

Ihre Kritik, dass diese Meldung «an die Hilfestellung zur kriminellen Handlung» grenze, ist für mich dagegen nicht nachvollziehbar. Gerade auch deshalb nicht, weil der «Root-Bug» bereits vierzehn Tage vor den SRF-Nachrichtenmeldungen bei Mac selber publik gemacht wurde und sich Hacker, wie bereits erwähnt, wohl kaum in einer Nachrichtensendung von SRF informieren, wie ein möglicher Logi-Vorgang zu knacken ist. Wie Sie in der Stellungnahme von Herrn Roman Mezzasalma lesen können, erachten die Redaktionsmitglieder den von Ihnen beanstandeten Kritikpunkt, nämlich die Nennung des Benutzernamens «root», als berechtigt.

Aus dem Gesagten ergibt sich, dass ich Ihren ersten Beanstandungspunkt, der die Nennung des Login-Vorgangs betrifft, unterstützen kann. Den zweiten Punkt, nämlich die «Hilfestellung zur kriminellen Handlung», dagegen nicht.

D. Diese Stellungnahme ist mein Schlussbericht gemäß Art. 93 Abs. 3 des Radio- und Fernsehgesetzes. Über die Möglichkeit einer Beschwerde an die Unabhängige Beschwerdeinstanz für Radio- und Fernsehen (UBI) orientiert die beigelegte Rechtsbelehrung. Für Nachfragen stehe ich gerne zur Verfügung.

Manfred Pfiffner
Stellvertretender Ombudsmann

[1] https://www.heise.de/mac-and-i/meldung/Root-fuer-jeden-Schwachstelle-in-macOS-High-Sierra-schon-laenger-oeffentlich-3904542.html