Mitte April gab Apple bekannt, im Notfall-Verfahren zwei Sicherheitslücken im Betriebssystem iOS geschlossen zu haben. Das Unternehmen forderte Nutzer dringend zum Update auf (von Version 18.4 auf 18.4.1). Auch wenn dies in Security-Kreisen an sich keine neue Meldung ist, so stehen Apple-Geräte doch im Ruf, weniger anfällig für Sicherheitsprobleme zu sein als andere. Und rein quantitativ gesehen stimmt dies auch.
Aber in diesem Fall? Beschaffenheit und nötiger Aufwand, um die Schwachstellen auszunutzen, deuten auf staatliche Angreifer hin. Und es ist wichtig, sich auch mit derartigen Security-Patches zu beschäftigen, denn zum einen, kann das, was veröffentlicht wurde, tatsächlich sehr unangenehm für mögliche Opfer sein: Die Lücken erlauben die Installation fremden Codes und umgehen einige eingebaute Sicherheitsfunktionen von Apple. Damit besteht die Gefahr, dass das System ohne Warnung des Besitzers infiziert wird.
Zum anderen, muss man heutzutage davon ausgehen, dass solche Lücken eher früher als später auch von „gewöhnlichen“ Cyberkriminellen ausgenutzt werden. Lücken in iOS sind sehr teuer. Insofern sollte es niemanden wundern, wenn selbst staatliche Angreifer diese über Kriminalität gegenfinanzieren. Spätestens dann, wenn sie ihre eigentliche „Zielgruppe“ (wie Spitzenpolitiker, Dissidenten oder unbequeme Journalisten) nicht mehr damit erreichen, verkaufen sie die Lücken selbst auf Untergrundmarktplätzen.
Anders als in Microsoft- oder Linux-Umgebungen, in denen solche Lücken ein eher gewöhnlicheres Thema sind, gibt es in der iOS-Welt keine unabhängigen Prüf- oder Lösungstools. Die einzige Möglichkeit, mit derartigen Angriffen umzugehen, ist deshalb das Update.
Der Tipp - besonders, aber nicht ausschließlich, für iPhone-User:
- Schützen Sie sich selbst und installieren Sie empfohlene Updates schnellstmöglich – am besten automatisiert. Gerade weil Apple-Geräte als sicher gelten, ist die Patch-Moral sehr niedrig. Dies kann bei derartigen Lücken schnell zum Problem werden.
- Sicherheitslücken und ihre Gefahren sind oft IT-Themen, die dann bei Administratoren und Co. hängen bleiben. Bei iOS sind diese Spezialisten aber eigentlich „raus“: Die Geräte gehören selten zur IT und werden von ihr nicht verwaltet. Damit gibt es bei solchen Patches ein Kommunikationsproblem: Wer bekommt es mit? Wer versteht es? Denn auch wenn die Geräte eigentlich privat sind, kann die Möglichkeit, bösartigen Code zu installieren, aus ihnen erstklassige Überwachungswerkzeuge machen. Dies wiederum ist auch ein Problem für die Cybersicherheit des Arbeitgebers. Es empfiehlt sich deshalb, bei solch ernsthaften Themen Mitarbeitende aktiv darauf aufmerksam zu machen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.