Das Cyberrisiko steigt stetig an. Inzwischen sind Cyberangriffe so ausgefeilt, dass Benutzer zum Opfer werden ohne selbst aktiv geworden zu sein oder einen Fehler gemacht zu haben.
Was eher nach Methoden aus einem Spionage-Thriller klingt, ist aber Realität. Erst letzte Woche wurde bekannt, dass es gelungen ist, die Überwachungssoftware Pegasus auf iPhones einzuschleusen – ohne das Zutun der Benutzer. Als Einstiegstor dienten Zero-Day-Sicherheitslücken in der iMessage Software. Doch was genau steckt hinter Zero Click-Angriffen? In unserem aktuellen Blogbeitrag geben wir Auskunft.
Nicht der erste Vorfall mit der Spyware Pegasus
Bereits seit 2016 ist die Spyware Pegasus bekannt. Sie wurden von dem israelischen Unternehmen NSO Group entwickelt und dient dem Ausspähen von Android und iOS Geräten. Die Software erlaubt es, dass unbemerkt auf Daten zugegriffen und diese über das Internet versandt werden können. Der Einsatz von Pegasus ist durchaus umstritten. Bereits 2019 fiel das Unternehmen mit Negativschlagzeilen auf. Damals wurden circa 1.400 Menschenrechtsaktivisten, Journalisten und Politiker mit Whatsapp-Spähangriffen überwacht. Laut WhatsApp-Chef Cathcart seien diese Angriffe auch damals mit Hilfe der Software Pegasus durchgeführt worden. Nun steht die Spyware erneut im Fokus. Dieses Mal kommt allerdings erschwerend hinzu, dass Pegasus ganz ohne menschliche Aktivität auf die Geräte eingeschleust werden kann. Mit sogenannten Zero-Click Angriffen.
Die Gefahr von Zero-Click-Angriffen
Diese Art von Angriffen birgt eine ganze Reihe neuer Risiken. Monika Bubela, Cyber Threat Intelligence Analyst bei Perseus, fasst die Gefährdungslage folgendermaßen zusammen:
“Die größte Bedrohung bei Zero Click-Angriffen besteht darin, dass sie keine Aktion des Opfers erfordern. Es gibt keinen verdächtigen Link oder eine verdächtige Nachricht, auf die das Opfer klicken müsste.”
Somit können Systeme ganz ohne menschliche Interaktion kompromittiert werden. Allein der Erhalt einer manipulierten Nachricht kann beispielsweise ausreichen, um Angreifern die Übernahme von Smartphones zu ermöglichen. Selbst ein sehr aufmerksamer Benutzer mit einem gut gepatchten und aktualisierten System kann so leicht zum Opfer werden.
Wie gehen Cyberkriminelle vor?
Für Zero Click-Angriffe nutzen Cyberkriminelle Sicherheitslücken und Schwachstellen aus, die sie im Betriebssystem von Mobilgeräten oder in den auf dem Gerät installierten Apps finden.
Besonders interessant sind dabei sogenannte Zero-Day-Schwachstellen. Das sind Sicherheitslücken, die dem Hersteller der Software noch nicht bekannt sind und daher noch nicht entschärft bzw. gepatcht wurden.
Achtung! Erst mit der Installation der bereitgestellten Sicherheitsupdates und -patches, werden diese Sicherheitslücken auf dem eigenen Gerät geschlossen und eine aktive Ausnutzung der Schwachstellen durch Cyberkriminelle abgewehrt.
(Anm. d. Red. Im Zusammenhang mit der Pegasus Spyware geben Experten noch keine Entwarnung, dass ein Update auf das aktuelle Betriebssystem iOS 14.7. eine Zero Click-Verbreitung unterbindet.)
Für Experten:
Wie Cyberkriminelle letztlich mobile Endgeräte übernehmen können, erklärt Monika Bubela im Detail:
“Die Malware selbst ‘jailbreakt’ ein iOS-Gerät ohne das Wissen des Benutzers.” In der Informations- sicherheit beschreibt ein ‘Jailbreak’ die unbefugte Aufhebung von Nutzungsbeschränkungen bei Computern oder anderen mobilen Endgeräten. Das heißt, dass bestimmte Funktionen, die der Hersteller standardmäßig gesperrt hat, nun verfügbar sind.
“Für den oben genannten Zero Click-Angriff von Pegasus auf iOS Geräte bedeutet es, dass ein unautorisierter Dritter den Root-Zugriff für das iOS Gerät erhält. Dadurch ist Apple nicht mehr die einzige Quelle für Apps, so dass ein Angreifer nicht von Apple überprüfte Anwendungen auf das Gerät des Opfers herunterladen kann. Auch Android-Geräte sind anfällig. Google ist sich dessen bewusst und versucht, Patches für die bekannte Malware wie Pegasus bereitzustellen.”
Was können Sie tun?
Im Berufsalltag werden Sie mit Zero Click-Angriffen wahrscheinlich nicht in Berührung kommen – zumindest noch nicht. Die Entwicklung der letzten Jahre zeigt aber, dass Angriffe durch Cyberkriminelle immer komplexer werden. Es kann also sein, dass man sich früher oder später mit Zero Click-Angriffen intensiver auseinandersetzen muss.
In dem Fall können Zero Click-Angriffe, wie bereits erläutert, selbst sehr aufmerksame Nutzer betreffen. Ein vollständiger Schutz ist daher kaum möglich, dennoch möchten wir auf wichtige Schutzmaßnahmen hinweisen:
- Führen Sie Aktualisierungen und Updates für Betriebssystem und installierte Apps umgehend durch
- Laden und installieren Sie Apps nur aus den offiziellen iOS und Android App-Stores
- Lesen Sie unseren ausführlichen Beitrag zum Thema: “Wie Sie Ihr Smartphone besser schützen”