Handelsblatt

MenüZurück
Wird geladen.

31.03.2016

18:28 Uhr

Sicherheitslücke bei Apple

Das iPhone ist nicht unknackbar

VonIna Karabasz

Der IT-Sicherheitsanbieter Checkpoint hat einen Weg gefunden, das iPhone zu knacken. Betroffen sind über neun Millionen Geräte, gerade in Unternehmen. Apple weiß offenbar von der Lücke – und hat sie nicht geschlossen.

FBI knackt iPhone eines Attentäters

Video: FBI knackt iPhone eines Attentäters

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

DüsseldorfDie Nachricht kommt für Apple zur Unzeit: Der IT-Konzern hat gerade medienwirksam der US-Bundespolizei FBI die Stirn geboten. Die Ermittler wollten Apple per Gerichtsbeschluss zwingen, eine Software zu entwickeln, mit der verschlüsselte Daten auf dem iPhone geknackt werden können. Konzernchef Tim Cook betonte öffentlich immer wieder, dass ihm die Sicherheit der Daten seiner Kunden äußerst wichtig ist. Das iPhone schien uneinnehmbar.

Doch dann wurde Anfang der Woche bekannt, dass es das FBI doch ohne Apples Hilfe geschafft hat, das iPhone eines Attentäters zu hacken. Der Konzern reagierte schnell und erklärte, man arbeite kontinuierlich an der Verbesserung der Sicherheit.

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

In dieses Bild mag aber so gar nicht passen, was Experten des israelischen IT-Sicherheitsanbieters Checkpoint auf der Sicherheitskonferenz Black Hat in Singapur am Donnerstag vorgestellt haben: Sie deckten eine Sicherheitslücke im Betriebssystem iOS 9 von Apple auf. Bereits im vergangenen Oktober hätten sie das US-Unternehmen darüber informiert, erklärt Michael Shaulov, Chef der Mobilprodukt-Sparte von Checkpoint. Im November habe Apple reagiert und erklärt, das Verhalten, das die Experten aufgezeigt hätten, sei „erwartbar.“ Passiert sei seither nichts. Auch mit dem letzten Update iOS 9.3 sei die Lücke nicht geschlossen worden.

Eine Sprecher von Apple erklärt, dass es sich um „ein Beispiel einer Phishing-Attacke“ gehandelt habe, „die versucht den Nutzer dazu zu verleiten, ein Konfigurationsprofil und im Anschluss eine App zu installieren“. Dabei handele es sich, so der Sprecher weiter, nicht um eine Schwachstelle des Betriebssystems. „Wir haben Schutzmechanismen in iOS eingebaut, die dabei helfen Nutzer vor möglichen gefährlichen Inhalten wie diesem zu warnen.“ Der Apple-Konzern gibt folgende Empfehlungen: Zum einen sollten Kunden Inhalte ausschließlich aus vertrauenswürdiger Quelle, wie etwa dem App Store, herunterladen; zum anderen Warnhinweise des Konzern beachten.

Apple: FBI knackt iPhone-Verschlüsselung

Apple

FBI knackt iPhone-Verschlüsselung

Die Justizschlacht zwischen Apple und der US-Regierung ist vorerst vorbei: Das FBI hat die Sperre des iPhones eines Attentäters selbst ausgehebelt. Wie der Bundespolizei dies gelang, bleibt jedoch offen.

Von der besagten Sicherheitslücke sind fast ausschließlich Unternehmen und ihre Mitarbeiter betroffen. Denn das Einfallstor für Kriminelle sind sogenannte Mobile-Device-Management-Systeme (MDM). Mit deren Hilfe können Unternehmen etwa auf den Endgeräten ihrer Mitarbeiter Apps installieren oder Einstellungen festlegen. Das funktioniert nicht nur für die von ihnen ausgegebenen Smartphones und Tablets, sondern auch bei Privatgeräten der Angestellten, wenn sie diese im Unternehmen nutzen möchten.

Durch eine Lücke in iOS 9 sollen sich Angreifer laut Checkpoint zwischen das MDM und das iPhone klemmen können. So könnten sie die Nutzer dazu bringen, Schadsoftware herunterzuladen, indem sie es aussehen lassen, als käme die Anweisung von der IT-Abteilung. Sie hätten dann Zugriff auf alle Daten des Geräts, erklärt das IT-Sicherheitsunternehmen, neben den beruflichen auch auf die privaten. Checkpoint schätzt, dass rund 9,3 Millionen Geräte von der Lücke betroffen sind.

„Wir sind bei der Präsentation von iOS 9 bei der Entwicklerkonferenz im Juni 2015 darauf aufmerksam geworden, dass die Verknüpfung mit MDM-Systemen vielleicht ein Problem darstellt“, sagt Michael Shaulov. Schließlich sei seit 2015 eine ähnliche Lücke im Zusammenhang mit Unternehmenszertifikaten bekannt, die auch von Hackern ausgenutzt wurde. Apple habe diese Lücke daraufhin geschlossen.

„Noch haben wir keine Angriffe über diese Lücke gesehen“, sagt der Checkpoint-Manager. „Hoffentlich waren wir die ersten, die sie gefunden haben. Aber Angreifer haben ähnliche Wege bereits vorher genutzt. Es ist nicht besonders anspruchsvoll.“ Warum Apple das Sicherheitsleck noch nicht geschlossen hat, weiß er nicht. „Die Lücke zu schließen ist nicht einfach, aber nicht unmöglich.“

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×