Schnell nachgeschobener Sicherheits-Patch für iOS 26 und iOS 18: Apple hat in der Nacht auf Donnerstag iOS / iPadOS 26.4.2 und iOS / iPadOS 18.7.8 zum Download für alle unterstützten Geräte freigegeben. Im Beipackzettel spricht der Hersteller wie üblich nur vage von Fehlerbeseitigungen und Sicherheitsverbesserungen.

FBI konnte Signal-Mitteilungen extrahieren

Der Dokumentation zufolge beseitigen die neuen Versionen nur eine einzelne Schwachstellen, die allerdings jüngst für erhebliches Aufsehen gesorgt hatte: Gerichtsunterlagen zufolge konnten Strafverfolger des FBI die gelöschten Signal-Mitteilungen eines angeblichen „Antifa“-Anhängers aus dessen iPhone auslesen. Möglich war das, weil iOS die neu eingehenden Mitteilungen – falls diese mit komplettem Inhalt vom Benachrichtigungssystem des Betriebssystems angezeigt werden – offensichtlich in einer eigenen Datenbank zwischenspeichert. Die Speicherung erfolgt demnach auch, falls die Mitteilungen und die App – hier Signal – vom iPhone gelöscht werden.

„Mitteilungen, die zur Löschung markiert waren, konnten unerwartet auf dem Gerät erhalten bleiben“, lautet Apples nüchterne Beschreibung der Lücke (CVE-2026-28950). Dieses „Protokollierungsproblem“ behebe eine verbesserte Datenmaskierung.

Signal betonte am Donnerstag, „sehr glücklich“ über den Patch zu sein. Nutzer müssen nichts weiter unternehmen als das Update einzuspielen, erläutern die Entwickler des Krypto-Messengers. Alle versehentlich aufbewahrten Mitteilungen würden dadurch gelöscht und auch keine neuen mehr zwischengespeichert.

Signal-Chefin Meredith Whittaker hatte zuvor erklärt, gelöschte Mitteilungen dürften niemals „in irgendeiner Datenbank des Betriebssystems verbleiben“. Der Krypto-Messenger hatte sich demnach im Anschluss direkt an Apple gewendet. Manche Messenger – darunter Signal – bieten die Option, neue Mitteilungen ohne Inhalt und Namen des Absenders anzuzeigen. Das verhindert auch eine ungewollte Speicherung in Betriebssystemdatenbanken. Nutzer älterer iOS-Versionen, für die kein Patch vorliegt, können und sollten dies weiterhin als Workaround einsetzen.

Update auch für alle Geräte mit iOS 18

Immerhin ist iOS 18.7.8 auch für aktuelle iPhones verfügbar. Nutzer sind also nicht gezwungen, dafür auf die Liquid-Glass-Version iOS 26 upzugraden. Ursprünglich hatte Apple die Patches für iOS 18 auf aktuellen Geräten, die auf iOS 26 aktualisieren können, Ende vergangenen Jahres eingestellt. Die massive Bedrohung durch mächtige Spyware-Tools in freier Wildbahn führte dann zu einem Umdenken des Konzerns – und der erneuten Bereitstellung von Patches für die ältere Betriebssystemversion bis hinauf zum iPhone 16 und 16e.

(lbe)

Am Mittwoch dieser Woche hatten der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ihre Warnung aus dem Februar vor Phishing-Attacken auf den Signal-Messenger hochrangiger Persönlichkeiten wie Politiker, Militärs und Diplomaten sowie Investigativjournalisten aktualisiert und bekräftigt. Einem Medienbericht zufolge ist die zweite Frau im Staat, Bundestagspräsidentin Julia Klöckner, Opfer eines solchen Spionageangriffs geworden.

Das haben dem Spiegel zufolge mehrere Quellen bestätigt. Die erneute Warnung der Sicherheitsbehörden ist offenbar auch darauf zurückzuführen. Klöckner hat nicht nur das zweithöchste Amt in Deutschland inne, sondern ist auch Teil des CDU-Präsidiums, das ebenfalls Signal-Chatgruppen nutzt – wo auch Bundeskanzler Friedrich Merz Teilnehmer ist. Merz wurde dem Bericht zufolge vom Bundesamt für Verfassungsschutz persönlich über den Vorgang unterrichtet. Die Untersuchung des Kanzler-Handys habe anders als bei Klöckner jedoch keine Auffälligkeiten ergeben.

Insgesamt sollen inzwischen mindestens 300 Betroffene in Deutschland bekannt sein. Der Verfassungsschutz hat demnach vor der öffentlich aktualisierten Warnung bereits am Dienstag die Fraktionsspitzen der Parteien im Bundestag sowie die Parteigeschäftsstellen vor der andauernden Messenger-Phishing-Kampagne in einem 20-seitigen Schreiben gewarnt.

Phishing-Masche „Signal-Support“

Die Masche der Phishing-Kampagne fußt darauf, dass die Angreifer sich etwa als Signal-Support bei potenziellen Opfern ausgeben und die Eingabe von Zugangsdaten fordert. Damit können sie die Konten übernehmen – entweder weitere Geräte hinzufügen und heimlich die Konversationen mitlesen oder das Konto komplett kapern und die Besitzer aussperren. In letzterem Fall können die bösartigen Akteure möglicherweise weitere Opfer finden oder sich als das Opfer ausgeben und mit den Kontakten kommunizieren. Die Verortung der Angreifer weist Richtung Russland, es handelt sich mutmaßlich um russisch-staatliche Akteure.

BfV und BSI haben gemeinsam einen Leitfaden veröffentlicht, der potenziellen Opfern rasch helfen soll, herauszufinden, ob sie erfolgreich attackiert wurden. Darin geben die Behörden auch Handlungsempfehlungen. Der Leitfaden scheint mit heißer Nadel gestrickt und enthält für einen Fall unlogische Tipps. Wenn das Konto übernommen und Besitzer ausgesperrt wurden, sollen diese etwa die PIN für den Zugriff aktualisieren – das kann aber nicht klappen. Der Kontakt des echten Signal-Supports ist da die korrekte Reaktion, die auch als weiterer Schritt genannt wird.

(dmk)

Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen sind inzwischen an der Tagesordnung – die Digitalisierung des Gesundheitswesens schafft neue Angriffsflächen. Die Angriffe treffen Versorgung, Verwaltung und im Zweifel auch die Patientensicherheit. Auf dem Panel „Building Cyber-Resilient Health Systems: Nordic and German Strategies in Practice“ diskutierten Dr. Päivi Sillanaukee (Finnland), Søren Bank Greenfield (Dänemark), Just Ebbesen (Norwegen) und Stephan Krumm (Deutschland) unter der Moderation von Beatrice Kluge (Gematik), warum der Abstand zwischen Strategie und Wirklichkeit im Gesundheitswesen noch immer groß ist.

Strategien gibt es genug – es fehlt an der Umsetzung

Gleich zu Beginn wurde ein Grundproblem angesprochen: Auf europäischer und nationaler Ebene gibt es inzwischen zahlreiche Strategien, Vorschriften und politische Leitlinien. In der Praxis fehlt jedoch oft die Übersetzung in handhabbare Prozesse.

Søren Bank Greenfield, Leiter der Abteilung für Cyber- und Informationssicherheit bei der dänischen Health Data Authority, verdeutlichte, dass Kooperation zwar unverzichtbar sei, „geteilte Verantwortung“ allein in der Praxis aber nicht ausreiche. Entscheidend seien klar definierte Zuständigkeiten. Das eigentliche Defizit liege aus seiner Sicht darin, „dass Politik häufig Regeln formuliert, aber nicht ausreichend zeigt, wie diese in realen Organisationen umgesetzt werden sollen.“

Greenfield plädierte deshalb dafür, politische Maßnahmen immer mit konkreten Leitlinien, Pilotansätzen und Umsetzungswerkzeugen zu verbinden. Vorschriften müssten parallel zur Praxis gedacht werden, nicht von ihr losgelöst.

Mensch bleibt größte Schwachstelle

Dr. Päivi Sillanaukee, Sonderbeauftragte für Gesundheit und Wohlbefinden im finnischen Ministerium für Soziales und Gesundheit, lenkte den Blick auf den menschlichen Faktor. Viele Sicherheitsvorfälle hätten ihren Ursprung nicht in der Technik selbst, sondern in Fehlern bei Anwendung, Organisation und Aufsicht. Standards und Regeln seien wichtig, müssten aber verstanden, eingeübt und kontrolliert werden.

Als Beispiel verwies Sillanaukee auf den bekannten finnischen Vastaamo-Datenskandal aus dem Jahr 2020, bei dem Patientendaten eines privaten Psychotherapieanbieters im Netz landeten. Das Problem habe damals nicht in fehlender Regulierung gelegen, sondern darin, dass bestehende Vorgaben nicht umgesetzt worden seien. Daraus leitete sie die Notwendigkeit ab, neben Bewusstseinsbildung und Übungen auch die Aufsicht über die tatsächliche Implementierung von Sicherheitsmaßnahmen zu stärken.

Kliniken sitzen im Dilemma zwischen Schutz und Datennutzung

Die Krankenhausperspektive brachte Just Ebbesen, Sonderbeauftragter für Gesundheit und zukünftige Krankenhäuser am Universitätsklinikum Oslo / Norway Health Tech, in die Diskussion ein. Er arbeitet an der Schnittstelle von künftiger Klinikorganisation, neuen Versorgungsmodellen, Digitalisierung und Industriekooperation. Aus seiner Sicht stehen Kliniken vor einem strukturellen Zielkonflikt: „Einerseits müssen sie Systeme absichern, andererseits sind sie zunehmend auf Datenintegration, externe Geräte, Dienstleister und digitale Schnittstellen angewiesen“.

Gerade in spezialisierten Gesundheitseinrichtungen fallen heute enorme Datenmengen an. Wie diese Daten sicher genutzt werden können, ohne die Privatsphäre von Patientinnen und Patienten zu gefährden, erforscht etwa das Projekt AnoMed – mit dem Ziel, Gesundheitsdaten für Forschung und KI-Entwicklung nutzbar zu machen. Gleichzeitig sind Primärversorgung, Spezialversorgung und externe Datenquellen vielerorts noch unzureichend miteinander verbunden. Das erschwert nicht nur die Versorgung, sondern erhöht auch die Komplexität bei der Absicherung.

Deutschland: Regulierung, Fördermittel und Monitoring

Stephan Krumm, Fachreferent für Cybersicherheit und Interoperabilität beim Bundesministerium für Gesundheit, schilderte die deutsche Perspektive. Für Krankenhäuser gebe es bereits seit mehreren Jahren verbindliche Anforderungen an die Cybersicherheit. Die Herausforderung bestehe nun darin, sichtbarer zu machen, wo in der Praxis noch die größten Lücken liegen.

Zu diesen Baustellen gehörten unter anderem Altsysteme, fehlende Netzwerksegmentierung und der sehr unterschiedliche Reifegrad einzelner Einrichtungen. Krumm verwies in diesem Zusammenhang auf das Krankenhauszukunftsprogramm und den DigitalRadar, mit dem auch Fortschritte im Bereich der digitalen Reife und Cybersicherheit beobachtet werden.

Regulierung bleibt reaktiv

Ein wiederkehrendes Thema des Panels war die Geschwindigkeit von Bedrohungen. Dass Regulierung in der Praxis oft zu langsam greift, zeigte sich zuletzt auch beim BSI-Sicherheitskongress, wo die NIS-2-Umsetzung weit hinter den Erwartungen zurückblieb. Die Diskutierenden waren sich weitgehend einig, dass Regulierung fast zwangsläufig langsamer ist als die Entwicklung neuer Angriffsformen.

Greenfield argumentierte, Politik könne immer nur auf bekannte Risiken reagieren. Statt zu versuchen, jede neue Bedrohung einzeln zu regulieren, müsse der Fokus stärker auf universelle Fähigkeiten gelegt werden: Erkennung von Vorfällen, Zusammenarbeit zwischen Organisationen, Krisenmanagement, Kommunikationswege und belastbare Vertrauensstrukturen.

Kleine Einrichtungen als systemisches Risiko

Ein besonders wichtiger Punkt kam von Greenfield: „Kleine Praxen, Kliniken und andere medizinische Einrichtungen sind oft die übersehene Schwachstelle in einem immer stärker vernetzten Gesundheitssystem.“ Diese Einrichtungen wollten die Regeln meist einhalten, hätten aber weder die nötigen Fachkräfte noch die Zeit, sich tief in komplexe Sicherheitsanforderungen einzuarbeiten.

Deshalb warb Greenfield für einfache und robuste Unterstützungssysteme, die kleinere Einrichtungen technisch entlasten. Wenn immer mehr Akteure digital miteinander verbunden würden, dann müsse man auch die schwächsten Glieder dieser Kette gezielt absichern.

Norwegische Sicht: Pragmatismus statt Perfektion

Ebbesen argumentierte mehrfach für einen pragmatischen Ansatz. „Gesundheitssysteme könnten nicht vollständig abgeschottet werden, wenn sie zugleich moderne, datengetriebene Versorgung anbieten wollen. Entscheidend sei deshalb, Mittel dort einzusetzen, wo sie den größten Nutzen für Sicherheit und Versorgung gleichzeitig stiften.“

Europa soll seine Kräfte bündeln

Zum Ende weitete sich die Diskussion auf die europäische Ebene aus. Sillanaukee hob hervor, dass nordische Kooperation, gemeinsame Übungen und langfristige Austauschstrukturen wertvolle Erfahrungen geliefert hätten. Solche Formate müssten konsequenter auf europäischer Ebene gedacht werden.

Krumm unterstrich schließlich, „dass Europa bei künftigen KI-gestützten Bedrohungen nicht nationalstaatlich denken kann. Kein einzelnes Land wird auf Dauer mit den Ressourcen großer internationaler Technologieanbieter mithalten können.“ Wenn Europa eigene Antworten entwickeln wolle, müsse es Kompetenzen, Wissen und Fähigkeiten stärker bündeln.

Das Panel war sich einig, dass Cybersicherheit im Gesundheitswesen weit mehr ist als ein IT-Thema. Es gehe um Organisation, Zuständigkeiten, Ausbildung, Standards, Finanzierung und internationale Zusammenarbeit. Die größten Probleme lägen nicht unbedingt im Fehlen von Strategien, sondern darin, sie unter realen Bedingungen in Krankenhäusern, Praxen und anderen Einrichtungen wirksam umzusetzen.

(vza)