Apples iPhone: für Spezialisten ein offenes Buch
Das FBI hat es geschafft: die Verschlüsselung des iPhone ist geknackt. Doch die Sensation ist möglicherwieise gar keine. Der IT-Sicherheitsanbieter Checkpoint hat ebenfalls, und das wohl schon seit längerem, einen Weg gefunden, den iPhone-Code zu knacken. Betroffen sind über neun Millionen Geräte, gerade in Unternehmen. Apple weiß offenbar von der Lücke – und hat sie nicht geschlossen.
Das FBI hat es geschafft: die Verschlüsselung des iPhone ist geknackt. Doch die Sensation ist möglicherwieise gar keine. Der IT-Sicherheitsanbieter Checkpoint hat ebenfalls, und das wohl schon seit längerem, einen Weg gefunden, den iPhone-Code zu knacken. Betroffen sind über neun Millionen Geräte, gerade in Unternehmen. Apple weiß offenbar von der Lücke – und hat sie nicht geschlossen.
Die Nachricht kommt für Apple zur Unzeit: Der IT-Konzern hat gerade medienwirksam der US-Bundespolizei FBI die Stirn geboten. Die Ermittler wollten Apple per Gerichtsbeschluss zwingen, eine Software zu entwickeln, mit der verschlüsselte Daten auf dem iPhone geknackt werden können. Konzernchef Tim Cook betonte öffentlich immer wieder, dass ihm die Sicherheit der Daten seiner Kunden äußerst wichtig ist. Das iPhone schien uneinnehmbar. Doch dann wurde Anfang der Woche bekannt, dass es das FBI doch ohne Apples Hilfe geschafft hat, das iPhone eines Attentäters zu hacken. Der Konzern reagierte schnell und erklärte, man arbeite kontinuierlich an der Verbesserung der Sicherheit.
In dieses Bild mag aber so gar nicht passen, was Experten des israelischen IT-Sicherheitsanbieters Checkpoint auf der Sicherheitskonferenz Black Hat in Singapur am Donnerstag vorgestellt haben: Sie deckten eine Sicherheitslücke im Betriebssystem iOS 9 von Apple auf. Bereits im vergangenen Oktober hätten sie das US-Unternehmen darüber informiert, erklärt Michael Shaulov, Chef der Mobilprodukt-Sparte von Checkpoint. Im November habe Apple reagiert und erklärt, das Verhalten, das die Experten aufgezeigt hätten, sei „erwartbar.“ Passiert sei seither nichts. Auch mit dem letzten Update iOS 9.3 sei die Lücke nicht geschlossen worden.
Apple wiegelt ab
Eine Sprecher von Apple erklärt, dass es sich um „ein Beispiel einer Phishing-Attacke“ gehandelt habe, „die versucht den Nutzer dazu zu verleiten, ein Konfigurationsprofil und im Anschluss eine App zu installieren“. Dabei handele es sich, so der Sprecher weiter, nicht um eine Schwachstelle des Betriebssystems. „Wir haben Schutzmechanismen in iOS eingebaut, die dabei helfen Nutzer vor möglichen gefährlichen Inhalten wie diesem zu warnen.“ Der Apple-Konzern gibt folgende Empfehlungen: Zum einen sollten Kunden Inhalte ausschließlich aus vertrauenswürdiger Quelle, wie etwa dem App Store, herunterladen; zum anderen Warnhinweise des Konzern beachten.
Von der besagten Sicherheitslücke sind fast ausschließlich Unternehmen und ihre Mitarbeiter betroffen. Denn das Einfallstor für Kriminelle sind sogenannte Mobile-Device-Management-Systeme (MDM). Mit deren Hilfe können Unternehmen etwa auf den Endgeräten ihrer Mitarbeiter Apps installieren oder Einstellungen festlegen. Das funktioniert nicht nur für die von ihnen ausgegebenen Smartphones und Tablets, sondern auch bei Privatgeräten der Angestellten, wenn sie diese im Unternehmen nutzen möchten.
Eine Lücke in iOS9 tut sich auf
Durch eine Lücke in iOS 9 sollen sich Angreifer laut Checkpoint zwischen das MDM und das iPhone klemmen können. So könnten sie die Nutzer dazu bringen, Schadsoftware herunterzuladen, indem sie es aussehen lassen, als käme die Anweisung von der IT-Abteilung. Sie hätten dann Zugriff auf alle Daten des Geräts, erklärt das IT-Sicherheitsunternehmen, neben den beruflichen auch auf die privaten. Checkpoint schätzt, dass rund 9,3 Millionen Geräte von der Lücke betroffen sind. „Wir sind bei der Präsentation von iOS 9 bei der Entwicklerkonferenz im Juni 2015 darauf aufmerksam geworden, dass die Verknüpfung mit MDM-Systemen vielleicht ein Problem darstellt“, sagt Michael Shaulov. Schließlich sei seit 2015 eine ähnliche Lücke im Zusammenhang mit Unternehmenszertifikaten bekannt, die auch von Hackern ausgenutzt wurde. Apple habe diese Lücke daraufhin geschlossen. „Noch haben wir keine Angriffe über diese Lücke gesehen“, sagt der Checkpoint-Manager. „Hoffentlich waren wir die ersten, die sie gefunden haben. Aber Angreifer haben ähnliche Wege bereits vorher genutzt. Es ist nicht besonders anspruchsvoll.“ Warum Apple das Sicherheitsleck noch nicht geschlossen hat, weiß er nicht. „Die Lücke zu schließen ist nicht einfach, aber nicht unmöglich.“
Für Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit an der Westfälischen Hochschule, ist das Verhalten der Amerikaner völlig unverständlich. „Wenn Checkpoint Apple bereits im Oktober auf die Sicherheitslücke aufmerksam gemacht hat und Apple das Problem bis heute nicht gelöst hat, ist das unverantwortlich“, sagt er. So ein Fall beschädige auch die Vertrauenswürdigkeit von Apple-Chef Tim Cook, der sich öffentlich so sehr um die Sicherheit seiner Kunden bemühe. Gerade weil iPhones in Unternehmen häufig genutzt würden, berge eine solche Schwachstelle große Gefahren. „Sie ist ein Einfallstor für Wirtschaftsspionage, und die daraus resultierenden Schäden sind enorm.“
Dabei ist die Lücke zunächst nicht das Problem, erklärt der Informatikprofessor: „Generell ist Software immer ein Problem. Wir waren noch nie in der Lage, sie fehlerfrei zu konzipieren.“ Deswegen sei es umso wichtiger, Fehler schnell zu beheben. Nur würde das in der IT noch nicht umgesetzt. „Ein Autohersteller verschickt sofort Warnhinweise, wenn Wagen Probleme mit den Bremsen hat und ruft sie im Zweifelsfall in die Werkstatt zurück. In der IT sind wir noch nicht so weit.“
Telekom-Experte beruhigt und mahnt zugleich
Im aktuellen Fall beruhigt Thomas Tschersich, Leiter der IT-Sicherheit der Deutschen Telekom, die Unternehmen: „Malware auf ein Smartphone zu bringen heißt noch nicht, dass der Angreifer auch Zugriff auf das Unternehmensnetz hat“, erklärt er. Unternehmen könnten dazwischen zusätzliche Sicherheitsmaßnahmen schalten, wie etwa eine Zwei-Faktor-Authentifizierung. Dabei wird beim Zugriff auf das interne Netzwerk vom Benutzer etwa ein zusätzliches Passwort abgefragt.
„Mobile-Device-Management-Systeme zu nutzen ist in jedem Fall besser“, sagt Tschersich, „nur sollten sie auch gut gemanagt werden.“ Die meisten Unternehmen betrachteten Smartphones immer noch als Telefon und nicht als Computer. Zudem gebe es zusätzliche Sicherheitsmaßnahmen, die Angriffe über das MDM abwehren können. „Nur müssen die Unternehmen sie auch einsetzen.“Nach einer Umfrage des Marktforschungsinstituts IDC zählt für 42 Prozent der IT-Verantwortlichen in Unternehmen Mobile Malware, zu den drei größten Sicherheitsrisiken. Handelsblatt / Ina Karabasz