https://www.faz.net/-gqe-9ysg7

Millionen Geräte betroffen : Wie gefährlich sind die Sicherheitslücken in Apples Mail-App?

Apples Mail-App Bild: Jonas Jansen

Seit gestern Abend gilt der Aufruf des BSI, die Mail-App von Apple vom iPhone zu löschen – sie habe schwerwiegende Sicherheitslücken. Der Hersteller stuft die Gefahr als gering ein. Doch das Amt bleibt bei seiner Einschätzung.

          3 Min.

          Es ist eines der schärfsten Schwerter, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Cyber-Sicherheitsbehörde in Deutschland ziehen kann: Die Fachleute aus Bonn haben am Donnerstagabend dazu aufgerufen, die auf allen iPhones und iPads standardmäßig installierte Mail-App zu löschen. Durch sie seien „Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet“.

          Bastian Benrath
          Redakteur in der Wirtschaft.

          Grund dafür sind mehrere Sicherheitslücken in dem E-Mail-Programm von Apple. Sie ermöglichen dem Amt zufolge, die E-Mails eines Nutzers zu lesen, zu verändern und zu löschen. Apple dementierte am Freitag eine unmittelbare Gefahr für die Nutzer. Auf Nachfrage blieb das BSI aber bei seiner Einschätzung: „Wir sind der Ansicht, dass Apple generell einen guten Job macht im Schutz seiner Geräte. Aber zum gegenwärtigen Zeitpunkt blieben wir bei dem Aufruf, die App vorläufig zu löschen“, sagte ein Sprecher der F.A.Z.

          Angreifer müssten zur Ausnutzung der Schwachstelle lediglich eine E-Mail mit Schadcode an den Nutzer schicken, hieß es vom BSI. Unter der neuesten Betriebssystemversion, iOS 13, sei nicht einmal ein Öffnen der E-Mail durch den Nutzer nötig. iPhone- und iPad-Besitzer, die noch die veraltete Betriebssystemversion iOS 12 oder eine ältere auf ihren Handys haben, müssen die Mail zumindest aktiv öffnen. Doch das ist kaum ein Trost, schließlich gelten regelmäßige Updates eigentlich als effizienteste Methode, um sich vor Hackerangriffen zu schützen.

          Hunderte Millionen iPhones im Umlauf

          Die Zahl „Tausende“ für die Anzahl der betroffenen Geräte scheint etwas niedrig gegriffen zu sein, denn allein im Geschäftsjahr 2019 hat Apple dem Marktforschungsunternehmen IDC zufolge auf der Welt mehr als 185 Millionen iPhones verkauft. In Deutschland gibt es schon Arbeitgeber, die dazu aufrufen, die Mail-App von dienstlichen iPhones zu löschen und stattdessen auf andere E-Mail-Apps wie Microsofts Outlook zurückzugreifen.

          „Die beiden Schwachstellen in der Mail-App reichen noch nicht aus, um den ganz großen Schaden anzurichten“, sagte der BSI-Sprecher der F.A.Z. „Aber die Forscher haben glaubwürdig dargelegt, dass es einen Exploit gibt und es mittels diesem auch Angriffe gegeben hat.“ ,Exploit’ ist der Fachausdruck für eine Methode, eine Schwachstelle auszunutzen. „Wir sind im Gespräch mit Apple und den Forschern“, sagte der Sprecher weiter.

          Die genannten Forscher gehören zum Cyber-Sicherheitsunternehmen Zecops aus Kalifornien. Diese hatten in einem Bericht schon Anfang der Woche vor der Schwachstelle gewarnt. Den Fachleuten aus San Francisco zufolge sind Angreifer zudem in der Lage, eine schadhafte Mail ins Gerät einzuschleusen, wenn die Mail-App nur im Hintergrund läuft, also nicht auf dem Bildschirm zu sehen ist. Nach erfolgreichem Einschleusen sei es ihnen auch möglich, die E-Mail wieder vom Gerät zu löschen, sodass der Nutzer von dem Angriff gar nichts mitbekommt.

          Die Lücke ist weiter offen

          Kritisch macht die Schwachstelle, dass Apple noch keinen Patch zur Verfügung stellt, der die Sicherheitslücke schließt. Der iPhone-Hersteller teilte am Freitag mit, dass ihm keine Hinweise auf eine Ausnutzung der bekanntgewordenen Schwachstellen vorlägen. Man gehe davon aus, dass die Sicherheitslücken „kein unmittelbares Risiko“ für die Nutzer darstellten. Dem Unternehmen zufolge müssen für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden.

          Damit widersprach Apple Aussagen des Leiters von Zecops, Zuk Avraham, dem nach eigenen Angaben Indizien dafür vorliegen, dass die Lücken bei mindestens sechs Hackerangriffen ausgenutzt wurden. Unter den Zielen der Angriffe seien Manager großer amerikanischer Unternehmen sowie eines japanischen Mobilfunkanbieters, ein Journalist in Europa und ein nicht näher genannter Prominenter in Deutschland gewesen.

          Es droht eine Welle von Angriffen

          Dieses Muster der mutmaßlichen Opfer deutet darauf hin, dass Angreifer es über die Sicherheitslücke zumindest bislang vorrangig auf hochrangige und für Hacker besonders wertvolle Ziele abgesehen haben. Zecops zufolge besteht die Sicherheitslücke schon seit acht Jahren, die bisher entdeckten Angriffe reichten bis Januar 2018 zurück. Solche sogenannten „Zero Day“-Lücken, die bestehen, ohne dass der Hersteller der betroffenen Geräte davon weiß, werden unter Kriminellen und Geheimdiensten teilweise für Millionen gehandelt. Da die Lücke nun aber öffentlich wurde, befürchtet Zecops eine Welle von zahlreichen Angriffen – denn sobald Apple die Lücke mit einem Patch schließt, ist sie für Angreifer wertlos.

          Dieser Sorge schließt sich das BSI an. „Der mögliche Angriff lässt sich relativ leicht skalieren. Jetzt, wo die Schwachstelle bekannt geworden ist, ist es ein denkbares Szenario, dass man von einer gezielten auf eine massenhafte Ausnutzung umstellen könnte“, sagte der Sprecher. „Zusammengenommen gibt es einfach eine relativ hohe Kritikalität der Situation.“

          Apple will die Schwachstelle eigenen Angaben zufolge mit der nächsten Version seines Mobil-Betriebssystems iOS schließen. In der Mitte April veröffentlichten Vorab-Ausgabe, der sogenannten Betaversion von iOS 13.4.5 ist sie schon geschlossen. Die Betaversion hat aber nur ein kleiner Teil der iPhone- und iPad-Nutzer erhalten. Einen gesicherten Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist.

          Weitere Themen

          Topmeldungen

          Einsatz in Kirli: Feuerwehrleute versuchen ein Feuer in der türkischen Provinz Antalya unter Kontrolle zu bringen.

          Brände in Türkei und Italien : Heftige Feuer im Mittelmeerraum

          In der Türkei und in Italien brennen die Wälder. Schuld sind womöglich Brandstifter. Eine seit Anfang der Woche andauernde Hitzewelle in Griechenland geht indes auf ihren Höhepunkt zu – mit Temperaturen von bis zu 45 Grad.
          Markus Söder im Landtag, im Vordergrund Wirtschaftsminister Hubert Aiwanger (Freie Wähler) am Rednerpult

          Testpflicht und Impfregime : Söders Sorgen

          Die Testpflicht ist das Eingeständnis von Bund und Ländern, dass ihre Strategie nicht aufgegangen ist. Die Impfmüdigkeit ist zu groß. Der Grund: Eigensinn und Politiker wie Hubert Aiwanger.

          Aufruhr im Schwimmen : Zurück im Doping-Sumpf

          Ryan Murphy wird von Jewgeni Rylow geschlagen. Der Amerikaner spricht im Anschluss von einem Rennen, das „wahrscheinlich nicht sauber“ war – und wird vom Olympischen Komitee Russlands als Verlierer verhöhnt.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.