Sicherheitslücke bei Apple: Das iPhone ist nicht unknackbar

Sicherheitslücke bei Apple: Das iPhone ist nicht unknackbar

, aktualisiert 31. März 2016, 18:28 Uhr
Bild vergrößern

Das IT-Unternehmen Checkpoint hat eine Sicherheitslücke im Betriebssystem des Smartphones gefunden.

von Ina KarabaszQuelle:Handelsblatt Online

Der IT-Sicherheitsanbieter Checkpoint hat einen Weg gefunden, das iPhone zu knacken. Betroffen sind über neun Millionen Geräte, gerade in Unternehmen. Apple weiß offenbar von der Lücke – und hat sie nicht geschlossen.

DüsseldorfDie Nachricht kommt für Apple zur Unzeit: Der IT-Konzern hat gerade medienwirksam der US-Bundespolizei FBI die Stirn geboten. Die Ermittler wollten Apple per Gerichtsbeschluss zwingen, eine Software zu entwickeln, mit der verschlüsselte Daten auf dem iPhone geknackt werden können. Konzernchef Tim Cook betonte öffentlich immer wieder, dass ihm die Sicherheit der Daten seiner Kunden äußerst wichtig ist. Das iPhone schien uneinnehmbar.

Doch dann wurde Anfang der Woche bekannt, dass es das FBI doch ohne Apples Hilfe geschafft hat, das iPhone eines Attentäters zu hacken. Der Konzern reagierte schnell und erklärte, man arbeite kontinuierlich an der Verbesserung der Sicherheit.

Anzeige

In dieses Bild mag aber so gar nicht passen, was Experten des israelischen IT-Sicherheitsanbieters Checkpoint auf der Sicherheitskonferenz Black Hat in Singapur am Donnerstag vorgestellt haben: Sie deckten eine Sicherheitslücke im Betriebssystem iOS 9 von Apple auf. Bereits im vergangenen Oktober hätten sie das US-Unternehmen darüber informiert, erklärt Michael Shaulov, Chef der Mobilprodukt-Sparte von Checkpoint. Im November habe Apple reagiert und erklärt, das Verhalten, das die Experten aufgezeigt hätten, sei „erwartbar.“ Passiert sei seither nichts. Auch mit dem letzten Update iOS 9.3 sei die Lücke nicht geschlossen worden.

Eine Sprecher von Apple erklärt, dass es sich um „ein Beispiel einer Phishing-Attacke“ gehandelt habe, „die versucht den Nutzer dazu zu verleiten, ein Konfigurationsprofil und im Anschluss eine App zu installieren“. Dabei handele es sich, so der Sprecher weiter, nicht um eine Schwachstelle des Betriebssystems. „Wir haben Schutzmechanismen in iOS eingebaut, die dabei helfen Nutzer vor möglichen gefährlichen Inhalten wie diesem zu warnen.“ Der Apple-Konzern gibt folgende Empfehlungen: Zum einen sollten Kunden Inhalte ausschließlich aus vertrauenswürdiger Quelle, wie etwa dem App Store, herunterladen; zum anderen Warnhinweise des Konzern beachten.

Von der besagten Sicherheitslücke sind fast ausschließlich Unternehmen und ihre Mitarbeiter betroffen. Denn das Einfallstor für Kriminelle sind sogenannte Mobile-Device-Management-Systeme (MDM). Mit deren Hilfe können Unternehmen etwa auf den Endgeräten ihrer Mitarbeiter Apps installieren oder Einstellungen festlegen. Das funktioniert nicht nur für die von ihnen ausgegebenen Smartphones und Tablets, sondern auch bei Privatgeräten der Angestellten, wenn sie diese im Unternehmen nutzen möchten.

Durch eine Lücke in iOS 9 sollen sich Angreifer laut Checkpoint zwischen das MDM und das iPhone klemmen können. So könnten sie die Nutzer dazu bringen, Schadsoftware herunterzuladen, indem sie es aussehen lassen, als käme die Anweisung von der IT-Abteilung. Sie hätten dann Zugriff auf alle Daten des Geräts, erklärt das IT-Sicherheitsunternehmen, neben den beruflichen auch auf die privaten. Checkpoint schätzt, dass rund 9,3 Millionen Geräte von der Lücke betroffen sind.

„Wir sind bei der Präsentation von iOS 9 bei der Entwicklerkonferenz im Juni 2015 darauf aufmerksam geworden, dass die Verknüpfung mit MDM-Systemen vielleicht ein Problem darstellt“, sagt Michael Shaulov. Schließlich sei seit 2015 eine ähnliche Lücke im Zusammenhang mit Unternehmenszertifikaten bekannt, die auch von Hackern ausgenutzt wurde. Apple habe diese Lücke daraufhin geschlossen.

„Noch haben wir keine Angriffe über diese Lücke gesehen“, sagt der Checkpoint-Manager. „Hoffentlich waren wir die ersten, die sie gefunden haben. Aber Angreifer haben ähnliche Wege bereits vorher genutzt. Es ist nicht besonders anspruchsvoll.“ Warum Apple das Sicherheitsleck noch nicht geschlossen hat, weiß er nicht. „Die Lücke zu schließen ist nicht einfach, aber nicht unmöglich.“


„Einfallstor für Wirtschaftsspionage“

Für Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit an der Westfälischen Hochschule, ist das Verhalten der Amerikaner völlig unverständlich. „Wenn Checkpoint Apple bereits im Oktober auf die Sicherheitslücke aufmerksam gemacht hat und Apple das Problem bis heute nicht gelöst hat, ist das unverantwortlich“, sagt er. So ein Fall beschädige auch die Vertrauenswürdigkeit von Apple-Chef Tim Cook, der sich öffentlich so sehr um die Sicherheit seiner Kunden bemühe. Gerade weil iPhones in Unternehmen häufig genutzt würden, berge eine solche Schwachstelle große Gefahren. „Sie ist ein Einfallstor für Wirtschaftsspionage, und die daraus resultierenden Schäden sind enorm.“

Dabei ist die Lücke zunächst nicht das Problem, erklärt der Informatikprofessor: „Generell ist Software immer ein Problem. Wir waren noch nie in der Lage, sie fehlerfrei zu konzipieren.“ Deswegen sei es umso wichtiger, Fehler schnell zu beheben. Nur würde das in der IT noch nicht umgesetzt. „Ein Autohersteller verschickt sofort Warnhinweise, wenn Wagen Probleme mit den Bremsen hat und ruft sie im Zweifelsfall in die Werkstatt zurück. In der IT sind wir noch nicht so weit.“

Im aktuellen Fall beruhigt Thomas Tschersich, Leiter der IT-Sicherheit der Deutschen Telekom, die Unternehmen: „Malware auf ein Smartphone zu bringen heißt noch nicht, dass der Angreifer auch Zugriff auf das Unternehmensnetz hat“, erklärt er. Unternehmen könnten dazwischen zusätzliche Sicherheitsmaßnahmen schalten, wie etwa eine Zwei-Faktor-Authentifizierung. Dabei wird beim Zugriff auf das interne Netzwerk vom Benutzer etwa ein zusätzliches Passwort abgefragt.

„Mobile-Device-Management-Systeme zu nutzen ist in jedem Fall besser“, sagt Tschersich, „nur sollten sie auch gut gemanagt werden.“ Die meisten Unternehmen betrachteten Smartphones immer noch als Telefon und nicht als Computer. Zudem gebe es zusätzliche Sicherheitsmaßnahmen, die Angriffe über das MDM abwehren können. „Nur müssen die Unternehmen sie auch einsetzen.“

Nach einer Umfrage des Marktforschungsinstituts IDC zählt für 42 Prozent der IT-Verantwortlichen in Unternehmen Mobile Malware, zu den drei größten Sicherheitsrisiken. Eine Antwort von Apple auf die Vorwürfe steht noch aus.

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%