https://www.faz.net/-gqe-9ysg7

Millionen Geräte betroffen : Wie gefährlich sind die Sicherheitslücken in Apples Mail-App?

Apples Mail-App Bild: Jonas Jansen

Seit gestern Abend gilt der Aufruf des BSI, die Mail-App von Apple vom iPhone zu löschen – sie habe schwerwiegende Sicherheitslücken. Der Hersteller stuft die Gefahr als gering ein. Doch das Amt bleibt bei seiner Einschätzung.

          3 Min.

          Es ist eines der schärfsten Schwerter, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Cyber-Sicherheitsbehörde in Deutschland ziehen kann: Die Fachleute aus Bonn haben am Donnerstagabend dazu aufgerufen, die auf allen iPhones und iPads standardmäßig installierte Mail-App zu löschen. Durch sie seien „Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet“.

          Bastian Benrath

          Redakteur in der Wirtschaft.

          Grund dafür sind mehrere Sicherheitslücken in dem E-Mail-Programm von Apple. Sie ermöglichen dem Amt zufolge, die E-Mails eines Nutzers zu lesen, zu verändern und zu löschen. Apple dementierte am Freitag eine unmittelbare Gefahr für die Nutzer. Auf Nachfrage blieb das BSI aber bei seiner Einschätzung: „Wir sind der Ansicht, dass Apple generell einen guten Job macht im Schutz seiner Geräte. Aber zum gegenwärtigen Zeitpunkt blieben wir bei dem Aufruf, die App vorläufig zu löschen“, sagte ein Sprecher der F.A.Z.

          Angreifer müssten zur Ausnutzung der Schwachstelle lediglich eine E-Mail mit Schadcode an den Nutzer schicken, hieß es vom BSI. Unter der neuesten Betriebssystemversion, iOS 13, sei nicht einmal ein Öffnen der E-Mail durch den Nutzer nötig. iPhone- und iPad-Besitzer, die noch die veraltete Betriebssystemversion iOS 12 oder eine ältere auf ihren Handys haben, müssen die Mail zumindest aktiv öffnen. Doch das ist kaum ein Trost, schließlich gelten regelmäßige Updates eigentlich als effizienteste Methode, um sich vor Hackerangriffen zu schützen.

          Hunderte Millionen iPhones im Umlauf

          Die Zahl „Tausende“ für die Anzahl der betroffenen Geräte scheint etwas niedrig gegriffen zu sein, denn allein im Geschäftsjahr 2019 hat Apple dem Marktforschungsunternehmen IDC zufolge auf der Welt mehr als 185 Millionen iPhones verkauft. In Deutschland gibt es schon Arbeitgeber, die dazu aufrufen, die Mail-App von dienstlichen iPhones zu löschen und stattdessen auf andere E-Mail-Apps wie Microsofts Outlook zurückzugreifen.

          „Die beiden Schwachstellen in der Mail-App reichen noch nicht aus, um den ganz großen Schaden anzurichten“, sagte der BSI-Sprecher der F.A.Z. „Aber die Forscher haben glaubwürdig dargelegt, dass es einen Exploit gibt und es mittels diesem auch Angriffe gegeben hat.“ ,Exploit’ ist der Fachausdruck für eine Methode, eine Schwachstelle auszunutzen. „Wir sind im Gespräch mit Apple und den Forschern“, sagte der Sprecher weiter.

          Die genannten Forscher gehören zum Cyber-Sicherheitsunternehmen Zecops aus Kalifornien. Diese hatten in einem Bericht schon Anfang der Woche vor der Schwachstelle gewarnt. Den Fachleuten aus San Francisco zufolge sind Angreifer zudem in der Lage, eine schadhafte Mail ins Gerät einzuschleusen, wenn die Mail-App nur im Hintergrund läuft, also nicht auf dem Bildschirm zu sehen ist. Nach erfolgreichem Einschleusen sei es ihnen auch möglich, die E-Mail wieder vom Gerät zu löschen, sodass der Nutzer von dem Angriff gar nichts mitbekommt.

          Die Lücke ist weiter offen

          Kritisch macht die Schwachstelle, dass Apple noch keinen Patch zur Verfügung stellt, der die Sicherheitslücke schließt. Der iPhone-Hersteller teilte am Freitag mit, dass ihm keine Hinweise auf eine Ausnutzung der bekanntgewordenen Schwachstellen vorlägen. Man gehe davon aus, dass die Sicherheitslücken „kein unmittelbares Risiko“ für die Nutzer darstellten. Dem Unternehmen zufolge müssen für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden.

          Damit widersprach Apple Aussagen des Leiters von Zecops, Zuk Avraham, dem nach eigenen Angaben Indizien dafür vorliegen, dass die Lücken bei mindestens sechs Hackerangriffen ausgenutzt wurden. Unter den Zielen der Angriffe seien Manager großer amerikanischer Unternehmen sowie eines japanischen Mobilfunkanbieters, ein Journalist in Europa und ein nicht näher genannter Prominenter in Deutschland gewesen.

          Es droht eine Welle von Angriffen

          Dieses Muster der mutmaßlichen Opfer deutet darauf hin, dass Angreifer es über die Sicherheitslücke zumindest bislang vorrangig auf hochrangige und für Hacker besonders wertvolle Ziele abgesehen haben. Zecops zufolge besteht die Sicherheitslücke schon seit acht Jahren, die bisher entdeckten Angriffe reichten bis Januar 2018 zurück. Solche sogenannten „Zero Day“-Lücken, die bestehen, ohne dass der Hersteller der betroffenen Geräte davon weiß, werden unter Kriminellen und Geheimdiensten teilweise für Millionen gehandelt. Da die Lücke nun aber öffentlich wurde, befürchtet Zecops eine Welle von zahlreichen Angriffen – denn sobald Apple die Lücke mit einem Patch schließt, ist sie für Angreifer wertlos.

          Dieser Sorge schließt sich das BSI an. „Der mögliche Angriff lässt sich relativ leicht skalieren. Jetzt, wo die Schwachstelle bekannt geworden ist, ist es ein denkbares Szenario, dass man von einer gezielten auf eine massenhafte Ausnutzung umstellen könnte“, sagte der Sprecher. „Zusammengenommen gibt es einfach eine relativ hohe Kritikalität der Situation.“

          Apple will die Schwachstelle eigenen Angaben zufolge mit der nächsten Version seines Mobil-Betriebssystems iOS schließen. In der Mitte April veröffentlichten Vorab-Ausgabe, der sogenannten Betaversion von iOS 13.4.5 ist sie schon geschlossen. Die Betaversion hat aber nur ein kleiner Teil der iPhone- und iPad-Nutzer erhalten. Einen gesicherten Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist.

          Weitere Themen

          Muss der Pool leer bleiben?

          Wassernotstand : Muss der Pool leer bleiben?

          In einigen Gemeinden ist der Wassernotstand ausgebrochen. Gärten können nicht gewässert werden, ein Freibad musste schließen. Droht das im ganzen Land?

          Topmeldungen

          Die Polizei geht am Montag in Beirut gegen Demonstranten vor, die gegen die Regierung protestieren.

          Proteste gegen Regierung : Libanons skrupelloses Machtkartell

          Seit vielen Jahren plündert eine korrupte politische Klasse ungestört den Libanon aus. Auch der Rücktritt der derzeitigen Regierung wird daran nichts ändern. Selbst Todfeinde verbünden sich für den Machterhalt.

          Kabarettistin Lisa Eckhart : Bedrohung von innen

          Die Kabarettistin Lisa Eckhart wurde vom Hamburger Harbour Front Literaturfestival aus Furcht vor gewalttätiger Störung ausgeladen. Dann sollte sie doch teilnehmen. Dafür ist es nun zu spät.
          Einsatzkräfte der Freiwilligen Feuerwehr Lauenau zapfen Löschwasser aus dem Tank eines ihrer Einsatzfahrzeuge.

          Wassernotstand : Muss der Pool leer bleiben?

          In einigen Gemeinden ist der Wassernotstand ausgebrochen. Gärten können nicht gewässert werden, ein Freibad musste schließen. Droht das im ganzen Land?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.