Die meisten iPhone-, iPad und macOS-Nutzer glauben immer noch an den Mythos, ihre Geräte wären hundertprozentig sicher vor Cyberattacken. Aus Sicht der IT-Security lässt sich jedoch sagen: Sie sind nicht so risikolos wie vermutet. In der Vergangenheit kam es bereits zu etlichen erfolgreichen Hacks. Der Mythos von der uneinnehmbaren Festung Apple gerät so ins Wanken. Wer als Nutzer blind auf das Betriebssystem vertraut und glaubt unverwundbar zu sein, wird nachlässiger und bald selbst zum Sicherheitsrisiko Nummer eins. Es drohen auch andere Arten von Angriffen, u. a. Phishing-Attacken.
Und dagegen hilft Apple nicht, nur gesunder Menschenverstand.
Geschlossene Umgebungen = mehr Sicherheit?
Apps auf iPhones oder iPads laufen in ihren eigenen virtuellen Räumen und können nur in sehr begrenztem Umfang miteinander kommunizieren. Das bedeutet, bösartige Anwendungen können weder Informationen von legitimen Programmen erhalten noch können sie sich normalerweise so verbreiten, wie es beim Betriebssystem Android der Fall wäre. Bei Android hingegen können Anwendungen weitreichende Berechtigungen haben, um auf andere Anwendungen und gespeicherte Daten zuzugreifen.
Apple gilt darüber hinaus aufgrund seines geringeren Marktanteils als weniger attraktiv für Cyberkriminelle. Es lohnt sich für Hacker eher, Hersteller mit einer breiten Abdeckung anzugreifen, da bei einer erfolgreichen Attacke mehr Geräte und Nutzer betroffen sind.
Ein geschlossenes Ökosystem und geringere Verbreitung machen Apple-Geräte allerdings nicht immun gegen Schadsoftware: Cyberkriminelle bringen immer wieder schadhafte Apps über das Beta-Programm „TestFlight“ in Umlauf. Der Vorteil für die Hacker: Apple prüft diese Beta-Versionen nicht so gründlich wie reguläre Apps und gibt sie schnell frei. Für Nutzer, die sich auf den hohen Sicherheitsstandard des Herstellers verlassen, ist dies höchst gefährlich.
Auch iMacs bleiben nicht verschont: Ende 2023 kam es zu einer breit angelegten Malware-Kampagne, die auf Mac-Nutzer abzielte. Mithilfe gefakter Updates für Safari gelang es Hackern, Malware auf den Geräten ihrer Opfer zu installieren und Daten auszuspionieren.
Heißt also: Im Gegensatz zu Android sind iOS-Geräte für die meisten Cyberkriminellen weniger attraktiv, wenn auch nicht uneinnehmbar. Nutzer sollten sich daher nicht in Sicherheit wiegen. Cyberkriminelle sind bei Attacken nicht nur auf Malware angewiesen, wenn sie Geräte angreifen.
Welche Bedrohungen gibt es für Apple-Nutzer?
Doch ausgefeilte Betrugsmaschen machen auch vor Apple-Nutzern nicht Halt. Hacker greifen beispielsweise auf Social-Engineering-Techniken wie Phishing zurück. Angreifer geben sich als legitime Unternehmen oder Institutionen aus, um sensible Daten ihrer potenziellen Opfer zu erbeuten. Und der Fall ist gar nicht mal so selten: Apple war im zweiten Quartal 2023 die am dritthäufigsten imitierte Marke bei Phishing-Betrügereien.
Ein weiteres Beispiel ist ein falscher Anruf vom technischen Support: Der Nutzer erhält einen Anruf eines vermeintlichen Apple-Support-Mitarbeiters. Er verlangt persönliche Daten, um ein angeblich bestehendes Problem zu lösen. Damit der Anruf noch glaubwürdiger erscheint, verwendet er eine gefälschte ID, so dass die Nummer den Eindruck vermittelt, als käme sie von einem legitimen Apple-Supportcenter.
Wie erfolgreich ein Phishing-Angriff wird, hängt davon ab, wie viele Daten der Hacker vom Opfer stehlen kann. Das Ausmaß des Schadens reicht von einem gekaperten E-Mail-Konto, das zur Verbreitung von Spam genutzt wird, bis hin zu schwerwiegenderen Vorfällen wie Identitätsdiebstahl oder Geldabbuchungen.
iPhones können auch angegriffen werden, wenn Nutzer sich mit einem ungeschützten öffentlichen WLAN verbinden. Kostenlose Hotspots in Hotels und Flughäfen mögen bequem sein, können aber zum Verlust sensibler Daten wie Kreditkarteninformationen oder Passwörter führen. Die meisten öffentlichen WLAN-Netzwerke verschlüsseln die Kommunikation zwischen Gerät und Router nicht, so dass Nutzerdaten leichter abgefangen werden können.
Und schließlich gibt es noch den „klassischen“ physischen Diebstahl. Im Februar 2023 gab es erste Berichte über iPhone-Diebe, die Menschen aus ihren Apple-Konten aussperrten und ihre Bankkonten leerten. Zunächst beobachteten die Diebe ihre Opfer genau, um deren Passwörter zu erfahren, und stahlen dann die Geräte. Mit den Passwörtern drangen sie in das Privat- und Finanzleben ihrer Opfer ein und verhinderten gleichzeitig, dass die Besitzer der iPhones ihre Telefone auffinden konnten.
Auch Macs sind mit ähnlichen Problemen konfrontiert, wenn sie mit einem öffentlichen WLAN verbunden sind. Denn ihre Benutzer sind unter Umständen über E-Mails, private Nachrichten und gefälschte Websites Phishing-Bedrohungen ausgesetzt. Hinzu kommt zahlreiche Malware, die speziell auf macOS abzielt, wie z. B. CloudMensis, das kürzlich von ESET Forschern entdeckt wurde.
Warum ein Passwort-Manager und eine Multi-Faktor-Authentifizierung nützlich sind
Apple hat einen eigenen Passwort-Manager, den iCloud Schlüsselbund, der Passwörter speichert und schützt, aber es gibt einige bekannte Schwachstellen. So können die zuvor erwähnten iPhone-Diebe dieser Schlüsselbund auch mit gestohlenen Passwörtern umgehen. Ein separater Passwort-Manager eines anderen Anbieters bietet Ihnen in solchen Situationen zusätzlichen Schutz.
Der ESET Password Manager beispielsweise schützt und speichert nicht nur Passwörter und persönlichen Daten, der integrierte Passwort-Generator fordert Nutzer auch dazu auf, starke Passwörter zu erstellen und speichert diese sicher ab.
Die Anmeldedaten werden auch automatisch gespeichert, wenn neue Konten erstellt werden. Der ESET Password Manager enthält auch eine Funktion zum Ausfüllen von Formularen, die Nutzern Zeit spart, indem sie Webformulare automatisch und genau ausfüllt.
ESET VPN – Hilfe zur Selbsthilfe?
Im Allgemeinen wird die Nutzung von öffentlichem WLAN nicht empfohlen, da es oft unsicher ist. Dennoch ist es häufig nötig, unterwegs erreichbar sein. In diesem Fall sollten sich Nutzer mit einem VPN (Virtual Private Network) verbinden, das eine private Netzwerkverbindung herstellt und Internetnutzer anonym macht. ESET VPN ist für macOS, iPadOS und iOS als eigenständige App verfügbar. Nach der Verbindung mit ESET VPN erhält das Gerät des Benutzers eine neue dynamische IP-Adresse, und der Online-Verkehr wird gesichert und verschlüsselt.
Auf diese Weise verhindert ESET VPN, dass Cyberkriminelle bei der Nutzung von öffentlichem WLAN Nutzerdaten stehlen können, und erschwert es Dritten, die Online-Aktivitäten eines Nutzers zu verfolgen, da ESET keine Protokolle erstellt.
ESET VPN ist Teil des ESET HOME Security Ultimate Pakets.
Mit iCloud-Relay bietet Apple zwar einen eigenen Service, der einem VPN-Dienst in vielen Bereichen ähnelt, hierbei handelt es sich aber um kein vollständiges VPN: Apple verschleiert mit iCloud-Relay die IP-Adresse von Nutzern, um ein Tracking und damit die Erstellung von Nutzer-Profilen zu erschweren. Allerdings lässt sich damit keine andere Region auswählen und iCloud-Relay funktioniert bis jetzt nur mit Apples Safari-Browser. Zudem erkennen manche Netzwerke, beispielsweise in Universitäten und Unternehmen, den Dienst als Proxyserver und verweigern somit den Zutritt – „echte“ VPN-Dienste wie ESET VPN machen hier keine Probleme.
Eine Plattform für alles: ESET HOME
Die Nutzung eines VPN und Passwort-Managers mag komplex und zeitaufwändig klingen. Aber tatsächlich können Nutzer all diese Funktionen und mehr von einer einzigen, einfach zu bedienenden Plattform aus verwalten: ESET HOME.
Die umfassende Sicherheitsmanagement-Plattform und die dazugehörige mobile App für Android und iOS bieten Nutzern ein bequemes und informatives Management-Dashboard mit Informationen zu ihren ESET-Produkten, Geräten, Lizenzen und Diensten, auf das sie jederzeit und überall zugreifen können.
ESET hat gleichzeitig sein ESET HOME Portal verbessert. Nutzer erhalten in der Webansicht einen Überblick des gesamten Sicherheitsstatus aller Geräte, die von ESET Lösungen geschützt werden, und ob ein Sicherheitsvorfall bei einem Gerät vorliegt. Das Online-Portal zeigt zudem den Status aller laufenden Lizenzen.