Gier nach Schwachstellen

Trotz »Pegasus«-Malware ist iOS weiterhin ein sehr sicheres Betriebssystem. Der Angriff zeigt vor allem eines: Dass es enorme Ressourcen braucht, um das System zu attackieren. Denn um die notwendigen Schwachstellen konkurrieren nicht mehr nur Cyberkriminelle, sondern auch Sicherheitsbehörden, Geheimdienste und Unternehmen.

Die Spionagesoftware »Pegasus« hat die Apple-Welt durcheinander gebracht. Bis dato hatte iOS den Nimbus, nicht knackbar zu sein – selbst das FBI biss sich die Zähne aus und versuchte Apple per Gericht zu zwingen, eine Hintertür einzubauen. Als die Behörde damit scheiterte, nahm sie viel Geld in die Hand, um sich die Hilfe professioneller Hacker zu sichern – rund 1,3 Millionen Dollar sollen gezahlt worden sein, auch wenn sich auf dem geknackten iPhone eines der beiden Attentäter aus dem kalifornischen San Bernardino letztlich keine brauchbaren Informationen fanden.

Spätestens damals hätte klar sein müssen, dass iPhones nicht unverwundbar sind. Der Aufschrei, der nun erfolgte, als bekannt wurde, dass Angreifer über drei bislang unbekannte Sicherheitslücken weitreichende Zugriffe auf Apple-Smartphones erlangen können, erscheint daher übertrieben. Zumal Apple schnell ein Update bereitstellte, um die Lücken zu schließen. Pegasus zeigte eigentlich nur, dass iOS im Ernstfall schnell wieder abgedichtet wird und dass es auch nur durch den Einsatz enormer Ressourcen zu knacken ist.

Bislang haben Cyberkriminelle den Einsatz dieser Ressourcen gescheut, nicht aber Regierungsbehörden und Geheimdienste. Auch Pegasus wurde offenbar von der israelischen NSO Group für staatliche Stellen entwickelt, die mit der Malware unter anderem Journalisten und Menschenrechtsaktivisten ausspionierten.

Europäische Behörden träumen im Kampf gegen Kriminalität und Terrorismus von solchen Möglichkeiten, wie die aktuellen Diskussionen des französischen und des deutschen Innenministers über den Zugriff auf die verschlüsselten Nachrichten von Kommunikationsdiensten zeigen. Dafür braucht es allerdings entweder Hintertüren oder unbekannte Schwachstellen. Hintertüren setzen die Kooperation von Herstellern voraus und dürften nach der hoch gelobten Weigerung Apples gegenüber dem FBI-Ansinnen nur schwer durchzusetzen sein. Zumal der Image-Schaden immens wäre, würde eine solche Kooperation bekannt oder die Hintertür von Cyberkriminellen missbraucht. Bleiben Schwachstellen, die begehrt und teuer sind, weil eben nicht mehr nur Cyberkriminelle nach ihnen gieren.

Dementsprechend reicht es für Hersteller schon lange nicht mehr, nur drei- oder vierstellige Summen auszuloben, damit die Entdecker von Schwachstellen diese direkt beim Hersteller melden. Apple beispielsweise zahlt seit einigen Wochen bis zu 200.000 Dollar pro Lücke – bisher hatte sich das Unternehmen dieser Praxis immer verweigert.

Mit den besten Grüßen,
Daniel Dubsky
Redakteur CRN

• Inhaltsverzeichnis CRN, Ausgabe 35/2016
• Print-Heft CRN beziehen
• Kostenlose CRN-Newsletter abonnieren