Sicherheit gibt es nur durch dauerhaften Verzicht auf Handy-Apps wie zurzeit Apple Mail

Wieder einmal steht Apple in den Schlagzeilen. Neu ist das alles nicht. Schließlich wurden schon die hochsicheren Mobiltelefone von unserer Kanzlerin gehackt¹⁾https://www.tagesspiegel.de/meinung/merkels-handy-abgehoert-so-geht-es-gar-nicht-aendert-merkel-nun-ihre-us-politik/8977326.html und Meldungen über Millionen angreifbarer Handys aufgrund von Sicherheitslücken in Android Geräten²⁾https://www.focus.de/digital/handy/system-updaten-gravierende-sicherheitsluecke-bei-android-millionen-smartphones-sind-angreifbar_id_11661672.html, Apple iPhones und Co. gibt es praktisch jede Woche.

Kritische Sicherheitslücke in iPhones und iPads

Wie wir gestern bereits nach einer Meldung auf heise.de³⁾https://www.heise.de/mac-and-i/meldung/iPhones-durch-Zero-Day-Luecken-in-Apple-Mail-angreifbar-4707901.html über unseren Twitter-Kanal berichteten, wurde nun aber eine „neue“ seit Jahren bestehende Sicherheitslücke öffentlich, die praktisch jedes iPhone und jedes iPad betrifft. Also nicht nur veraltete Geräte, sondern alt wie neu, mit alter Software oder auch mit brandneuem iOS Release. Betroffen sind also praktisch alle mobilen iOS Geräte von Apple.

Die Sicherheitslücke sei bereits mehrfach bewusst und gezielt von Hackern ausgenutzt worden, berichtet beispielsweise die Zeit⁴⁾https://www.zeit.de/digital/datenschutz/2020-04/it-sicherheit-apple-mail-sicherheitsluecke-iphone.

Kein Update vom Hersteller verfügbar

Ein wirksames Update gegen die Sicherheitslücke vom Hersteller gibt es nicht. Es wurde bisher von offiziellen Seiten auch keines in Aussicht gestellt. Dies bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik („BSI“)⁵⁾https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html:

Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen

Quelle: BSI warnt vor Einsatz von iOS-App „Mail“. Bonn, 23.04.2020⁶⁾https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

Empfehlung: auf Mail auf dem iPhone verzichten oder löschen

Bis auf Weiteres können wir deshalb nur empfehlen, auch alle iPhones und iPads in den Corona Lockdown zu schicken:

1. Mail App beenden⁷⁾https://support.apple.com/de-de/HT201330
2. und nicht wieder starten.

Das BSI geht sogar einen Schritt weiter und empfiehlt, die Mail App komplett zu löschen⁸⁾https://www.faz.net/aktuell/wirtschaft/digitec/bsi-warnt-vor-sicherheitsluecke-in-mail-app-von-iphones-16739259.html?GEPC=s5. Denn wie auch der Spiegel berichtet: „Durch Sicherheitslücken in iPhones und iPads sei potenziell das Lesen, Verändern und Löschen von E-Mails möglich, warnt das BSI. Bis zu einem Update sollte das Mail-Programm gelöscht werden, hieß es.“⁹⁾https://www.spiegel.de/netzwelt/apps/apple-mail-app-be“troffen-bundesamt-warnt-vor-sicherheitsluecken-auf-iphone-und-ipad-a-0b95d53b-b13a-49e7-a803-d724d2af3e1d

Das geht leider nicht auf allen iOS Versionen. Außerdem kann die Neueinrichtung unter Umständen sehr aufwändig sein.

Deshalb empfehlen wir derzeit nur, die Mail App sicher zu beenden und nicht wieder zu starten. Verschieben Sie im Zweifel die Verknüpfung zum Starten der Mail App auf einen anderen Bildschirm¹⁰⁾https://support.apple.com/de-de/HT200290.

Aber in der Tat, entspricht das dann unserer bei Kunden-Erstgesprächen etwas sarkastisch formulierten Aussage: Handys und Handy-Apps sind per se unsicher. Da sitzen junge, unerfahrene, hippe Softwareentwickler irgendwo in Asien, Indien, Russland und Osteuropa und basteln „fancy“ Software. Von Systemarchitekturen, Sicherheitsdesign und Mobilgeräteverwaltbarkeit oder gar von Schadsoftware haben diese Leute aber leider meistens wenig bis gar keine Ahnung. Und nicht zuletzt das Interesse an Sicherheit ist hier auch eher nachrangig.

Ich darf mich häufig fragen lassen, ob das mein Ernst ist. Ich stehe dazu und betone es erneut: ja, das ist mein voller Ernst.

Falls es dann irgendwann doch ein Update geben sollte…

Angesichts der vielfältigen Probleme, die Apple in den vergangenen Monaten hinsichtlich der Verteilung von Updates hatte, gehen wir nicht davon aus, dass Apple es dieses Mal auf wundersame Weise schaffen wird ein automatisch installiertes und wirksames Update bereitzustellen.

Wohl eher wird es so sein, dass man die Updates von Hand installieren muss. Unsere Empfehlung hierzu sieht bis auf Weiteres so aus:

1. Regelmäßig die Nachrichten des BSI prüfen.
2. Sobald ein wirksames Update verfügbar sein soll, über „Einstellungen > Allgemein > Softwareupdate installieren“ von Hand die Installation anstoßen. Sie werden möglicherweise (auch bei an MDM angebundenen iPhones) aufgefordert, die Apple ID zu bestätigen. Bitte tun Sie dies.
3. Nur Nicht-MDM Geräte: Im Anschluss empfiehlt es sich, auch alle Apps von Hand zu aktualisieren. Denn auch hier hat Apple Mist gebaut und es funktioniert nicht mehr zuverlässig. Tippen Sie hierzu auf den App Store, dann rechts oben auf Ihr Profilbild (was immer die Apple Entwickler geritten hat, Updates dort hin zu verschieben) und tippen Sie anschließend auf „Alle aktualisieren“.