Apples Chip-Abteilung hat Hardware-Verbesserungen in die neuen iPhones des Jahrgangs 2025 integriert, die auch komplexe Angriffe auf die Speicherverwaltung der Geräte unterbinden sollen. Das sogenannte Memory Integrity Enforcement (MIE) sei „der Höhepunkt einer bislang beispiellosen Design- und Entwicklungsarbeit, die sich über ein halbes Jahrzehnt erstreckte und die besonderen Stärken der Apple-Silicon-Hardware mit der fortgeschrittenen Sicherheit unseres Betriebssystems kombiniert“, schreibt der Konzern dazu in einem bislang wenig beachteten Blog-Beitrag, der im September veröffentlicht wurde.

iOS 26 ist sicherer, aber nur die neue Hardware hat alle Features

Es sei gelungen, branchenweit erstmals einen permanenten Schutz der Speichersicherheit auf den Geräten zu bieten, ohne dabei Leistungseinschränkungen hinnehmen zu müssen. Das Problem: Die Technik ist teilweise in die Hardware gegossen, läuft also nur mit A19 und A19 Pro in iPhone 17, 17 Pro, 17 Pro Max sowie Air. Zwar wurden auch Verbesserungen in iOS 26 vorgenommen, doch eine Übertragung auf ältere SoCs scheidet bei Schutzmaßnahmen, die Anpassungen an der Hardware erfordern, offenbar aus.

Apple betont, dass es bislang noch keine erfolgreiche, weit verbreitete Malware-Attacke gegen iPhones gegeben habe. „Die einzigen iOS-Angriffe auf Systemebene, die wir in der Praxis beobachten, stammen von sogenannter Söldner-Spyware, die weitaus komplexer ist als normale Cyberkriminalität und Malware, die sich gegen Endverbraucher richtet.“ Söldner- oder auch Mercenary-Spyware wird normalerweise aufgrund des hohen Aufwandes samt hohen Kosten vor allem von Staaten und Geheimdiensten verwendet. Sie betrifft laut Apple nur „eine sehr kleine Anzahl bestimmter Personen“. Doch wirklich so selten kommt dies nicht vor, was sich anhand der Warnmeldungen, die Apple oft selbst an Betroffene herausgibt, feststellen lässt.

Spectre abwehren ohne Leistungs-Penalty?

MIE kombiniert verschiedene Ansätze, um zu unterbinden, dass Schädlinge in Speicherbereiche vordringen können, auf die sie nicht zugreifen dürfen. Dazu gehört die 2019 von ARM publizierte Memory Tagging Extension (MTE), die Apple 2022 zusammen mit der Chip-Firma zur Enhanced Memory Tagging Extension (EMTE) erweiterte. Zusätzliche Maßnahmen im MIE-Paket sollen unter anderem Angriffe über die spekulative CPU-Befehlsausführung wie Spectre V1 aufhalten, ohne dass es zu enormen Leistungseinbrüchen kommt. An der Entwicklung von MIE war laut Apple auch ein Offensive-Research-Team beteiligt, welches das System über fünf Jahre auch praktisch angegriffen und gegen gefundene Angriffe gehärtet hat.

Dabei gelang es den Forschern laut dem Konzern, MIE so im A19 und A19 Pro zu implementieren, dass ein synchrones Tag-Checking auch für schwere Workloads mit „minimalen Performance-Einflüssen“ umgesetzt werden konnte. Wie genau das möglich war, verrät der Konzern bislang allerdings nicht. Funktionieren soll es aber: So brachten auch A19 und A19 Pro wieder Performance-Gewinne. Verschiedene Real-World-Angriffsszenarien, die Apple schildert – über iMessage, Safari sowie Kernel-Exploits – ließen sich durch MIE unterbinden, was die Hoffnung schürt, dass Lücken damit sehr früh in der Exploit-Chain abgefangen werden können.

(bsc)

Die kürzlich bekannt gewordenen Erpressungsversuche nach einer Sicherheitslücke in der E-Business-Suite von Oracle betrifft Dutzende, wenn nicht sogar Hunderte Unternehmen. Das schätzen Googles Sicherheitsexperten nach einer Untersuchung dieser Kampagne. Dahinter steckt eine Gruppe Cyberkrimineller namens Clop, die in der Vergangenheit bereits als Ransomware-Gang aufgefallen ist und mehrere Organisationen nach der Ausnutzung von Systemlücken erpresst hat.

Erst vor wenigen Tagen hat Oracle zur dringenden Installation von Sicherheitsupdates gemahnt, nachdem Angreifer Kunden der E-Business-Suite erpresst haben. Zunächst ging der Hersteller von bereits seit Juli geschlossenen Lücken aus, reichte kurz darauf aber ein Emergency-Update nach. Die entsprechende Lücke ermöglicht Remote Code Execution ohne Authentifizierung (CVSS 9.8) in Oracle 12.2.3 bis 12.2.14. Da der Exploit-Code mittlerweile im Untergrund kursiert, sollten Nutzer dieser Versionen umgehend patchen.

Lösegeld für interne Unternehmensdaten

Die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) und Mandiant schreiben nach einer Untersuchung der Sicherheitslücke und der Erpressungskampagne in einem Bericht, dass die Angreifer Hunderte, wenn nicht Tausende kompromittierte E-Mail-Konten angeschrieben haben. Darin drohen sie, interne Dokumente zu veröffentlichen, sollte das betroffene Unternehmen nicht bezahlen. Konkrete Geldforderungen gibt es beim ersten Kontakt keine, das wird üblicherweise erst nach Beantwortung verhandelt.

Die erbeuteten Daten sollen nach Veröffentlichung aber große finanzielle Verluste der Firmen nach sich ziehen, etwa Bußgelder von Aufsichtsbehörden und Umsatzrückgang nach Ansehensverlust. Die E-Business-Suite wird von Oracle-Kunden zur Verwaltung von Kunden, Lieferanten, Herstellung, Logistik und anderen Geschäftsprozessen verwendet, sodass der Zugriff darauf auch Geschäftsgeheimnisse preisgeben könnte.

Dutzende Opfer bekannt, aber wohl Hunderte betroffen

Auf Nachfrage von Reuters erklärte einer der Autoren des Google-Berichts, Austin Larsen, dass sie von Dutzenden Opfern wissen, aber von noch viel mehr ausgehen. „Angesichts des Ausmaßes früherer Clop-Kampagnen dürften es über hundert sein“, so Larsen weiter. Die Ransomware-Gang selbst hat zuvor nur erklärt, dass sich bald herausstellen wird, dass Oracle „sein Kernprodukt verwanzt“ habe.

2023 hatte Clop Unternehmen nach einer Sicherheitslücke in MOVEit erpresst. Dabei handelt es sich um Datenübertragungssoftware, die von zahlreichen Unternehmen eingesetzt wurde, vor allem Finanzinstituten. Denn kurz darauf wurde festgestellt, dass ING, Deutsche Bank und Co. wegen der MOVEit-Lücke doch stärker betroffen waren. Auch staatliche Stellen wie Ministerien blieben nicht verschont von der MOVEit-Lücke. Im selben Jahr veröffentlichte Clop Gesundheitsdaten von Millionen Menschen in den USA.

(fds)

Am Donnerstag haben Bundestagsabgeordnete in einer sogenannten Aktuellen Stunde über ihre Position zur Chatkontrolle debattiert.

Bei der Chatkontrolle handelt es sich um einen viel kritisierten Bestandteil einer EU-Verordnung, über die seit Jahren die Mitgliedstaaten im EU-Rat verhandeln. Damit könnten Anbieter von Kommunikationsdiensten auf Anordnung verpflichtet werden, die Kommunikation ihrer Nutzer:innen zu scannen – auch ohne konkreten Verdacht und auch bei verschlüsselten Nachrichten. Ziel ist es, nach Darstellungen von sexualisierter Gewalt gegen Kinder zu suchen, damit Treffer letztlich an die Polizei weitergeleitet werden.

Bislang hatte Deutschland, vertreten durch die inzwischen abgelöste Ampelregierung, die brisanten Vorschläge auf EU-Ebene nicht abgenickt. Nach langer Unklarheit verkündete die nunmehrige schwarz-schwarz-rote Bundesregierung am Mittwoch, sie werde einer „anlasslosen“ Chatkontrolle gemäß einem Vorschlag der dänischen Ratspräsidentschaft nicht zustimmen. Aber zu welchen Kompromissen sie im EU-Rat bereit wäre und ob es rote Linien bei der deutschen Position gibt, ist bislang nicht bekannt. Darum drehten sich auch viele Wortbeiträge der Abgeordneten.

„Auf einmal reagiert das Kabinett“

Donata Vogtschmidt von den Linken etwa warf der Bundesregierung ihr langes Schweigen vor. Wer wenige Tage vor einer entscheidenden Abstimmung nicht das Rückgrat für eine Positionierung mitbringe, verdiene kein Vertrauen, so die Obfrau der Fraktion im Digitalausschuss. Erst nach viel Protest habe sich etwas bewegt – „auf einmal reagiert das Kabinett“.

Besonders kritisierte sie in ihrer Rede Digitalminister Karsten Wildberger, der sich nicht zu dem Thema äußern wollte. Vogtschmidt sagte: „Es scheint, als hätten wir einen Minister, der weder Lust auf Digitales noch auf Politik hat.“

„Besser spät als nie“

„Besser spät als nie“, sagte Jeanne Dillschneider von den Grünen zur Positionierung der Regierung. Sie begrüßt in ihrer Rede ausdrücklich, dass die Bundesregierung den letzten dänischen Vorschlag ablehnt. Wie viele andere Redner:innen demokratischer Fraktionen forderte sie statt Chatkontrolle wirksame Maßnahmen zum Schutz von Kindern in der digitalen und analogen Welt. „Wir können diese Aufgabe nicht auf Big Tech oder Bots abwälzen“, so Dillschneider.

Abgeordnete insbesondere der Unionsfraktion betonten wiederholt, man sei schon immer gegen eine anlasslose Chatkontrolle gewesen. Dabei verwundert, dass eine Sprecherin des Bundesinnenministeriums noch Anfang der Woche Nachfragen in der Bundespressekonferenz auswich.

Mehrere Unionsredner:innen zeigten sich genervt von den offenbar zahllosen Protestbriefen, -mails und -anrufen, die sie in den letzten Tagen erreicht haben. Von „mehr als 2.000 Nachrichten“ etwa sprach Johannes Rothenberger von der CDU, der seine erste Rede im Bundestag hielt. Damit werde „die Stimmung aufgeheizt“, beschwerte er sich.

Rothenberger ließ aber auch durchblicken, in welche Richtung sich die Position der Bundesregierung bewegen könnte. So begrüßte er ausdrücklich die Haltung des EU-Parlaments – dem späteren Verhandlungspartner des EU-Rats, sobald sich dort die EU-Länder einigen. Das Parlament bekannte sich etwa dazu, Darstellungen sexualisierter Gewalt konsequent zu löschen. Scans von Kommunikation dürften laut der Parlamentsposition nur nach einem richterlichen Beschluss bei verdächtigen Personen oder Gruppen stattfinden.

Nein zur Chatkontrolle, Ja zur Vorratsdatenspeicherung

Andere Unionsabgeordnete nutzten die Gelegenheit, die Ablehnung von Chatkontrolle mit einer erneuten Forderung nach Vorratsdatenspeicherung zu verbinden. Tijen Ataoğlu (CDU) kündigte dazu an, das Bundesjustizministerium werde dazu bald einen Gesetzesvorschlag vorlegen.

Unklar in ihren Ausführungen blieb, wie die Union zu Client-Side-Scanning steht. Das bedeutet, dass Kommunikation auf Endgeräten gescannt wird, bevor sie für den Versand verschlüsselt wird. Deutlich äußerte sich hingegen die Sozialdemokratin Carmen Wegge. Ihrer Meinung nach würde Client-Side-Scanning „vor deutschen Gerichten keinen Bestand haben“. Es greife tief in die Privatsphäre ein. „Anlasslose Überwachung ist ein Tabu in einem Rechtsstaat“, so Wegge, deren Worte an Bundesjustizministerin Stefanie Hubig (SPD) erinnerten.

Über Fragen wie Client-Side-Scanning oder die Definition davon, was ein Anlass ist und ab wann etwas anlasslos geschieht, wird die Bundesregierung wohl für künftige Abstimmungen im EU-Rat weiter diskutieren müssen. Alle Redner:innen waren sich jedoch einig: Sie muss sich für den Schutz von Kindern und Jugendlichen einsetzen. Das ist ein Ziel das alle unterstützen. Aber die Chatkontrolle, die wäre der falsche Weg.

Rebecca Lenhard von den Grünen drückte das so aus: „Kinder zu schützen, ist unsere Pflicht. Unsere Freiheit zu schützen, ist unsere Verantwortung. Beides gehört zusammen.“