Apple hat eine der dringendsten Sicherheitswarnungen seiner Geschichte veröffentlicht. Grund sind zwei hochgefährliche Exploit-Kits namens DarkSword und Coruna, die aktuell Hunderte Millionen iPhone-Nutzer weltweit bedrohen. Die im März 2026 entdeckten Angriffswerkzeuge nutzen Schwachstellen im Betriebssystem aus und markieren eine gefährliche Wende: Techniken, die einst Geheimdiensten vorbehalten waren, werden jetzt massenhaft eingesetzt.
Zwei gefährliche Angriffswerkzeuge im Detail
Angesichts solch komplexer Bedrohungen verlieren viele iPhone-Nutzer den Überblick über die technischen Details und Sicherheitsbegriffe. Dieses kostenlose Lexikon erklärt die 53 wichtigsten Apple-Begriffe in einfachen Worten, damit Sie bei Sicherheitswarnungen genau wissen, worum es geht. Gratis iPhone-Lexikon jetzt anfordern
Im Zentrum der Krise stehen zwei professionell entwickelte Exploit-Kits. Das erste, DarkSword, wurde von Google und iVerify analysiert. Es kann bis zu sechs verschiedene Schwachstellen in iOS kombinieren, um Remote Code Execution (RCE) zu erreichen. Die Infektion erfolgt dabei über manipulierte Webseiten – ein simpler Besuch genügt. DarkSword zielt auf iPhones mit iOS 18.4 bis 18.7 ab und könnte rund 270 Millionen Geräte gefährden. Die Malware kann nahezu alle Daten stehlen: Passwörter, Browserverlauf und sogar Live-Audio über das Mikrofon.
Parallel dazu kursiert das Coruna-Kit, das auch als CryptoWaters bekannt ist. Es attackiert ältere Softwareversionen von iOS 13.0 bis 17.2.1 und umfasst 23 einzelne Exploits. Angreifer nutzen getarnte iFrames auf gefälschten Finanz- und Kryptoseiten, um Schadcode auf die Geräte zu schleusen. Die Bedrohung ist real und global: Betroffen sind Nutzer in der Ukraine, Saudi-Arabien, der Türkei, Malaysia und China.
Apples Notfall-Patches und das neue Sicherheitssystem
Als Reaktion hat Apple seinen Patch-Zyklus massiv beschleunigt. Bereits am 11. März 2026 veröffentlichte der Konzern spezielle Updates für iOS 15 und iOS 16, um auch ältere iPhone-Modelle zu schützen, die kein neueres Betriebssystem mehr erhalten. Nutzer von iOS 13 oder 14 müssen mindestens auf iOS 15 aktualisieren, um die kritischen Sicherheitsupdates zu erhalten.
Eine entscheidende Neuerung ist das Background Security Improvement-System. Dieser Mechanismus erlaubt es Apple, leichte Sicherheitsupdates für Kernkomponenten wie WebKit im Hintergrund einzuspielen – ohne Neustart und ohne vollständiges OS-Update. Erstmals kam das System am 18. März 2026 zum Einsatz, um eine kritische Lücke in der Navigation API (CVE-2026-20643) zu schließen. Diese stille Aktualisierung ist jedoch nur für Nutzer der neuesten iOS-26-Version verfügbar.
Vom Zielobjekt zur Massenware: Die Kommerzialisierung von Hackertools
Die aktuelle Bedrohungslage markiert einen fundamentalen Wandel. Hochkomplexe iPhone-Exploits waren früher das exklusive Werkzeug von Nationalstaaten und wurden gezielt gegen Journalisten oder Aktivisten eingesetzt. DarkSword und Coruna zeigen nun eine gefährliche Kommerzialisierung und Skalierung. Die Angriffswerkzeuge werden breit vermarktet und eingesetzt.
Künstliche Intelligenz befeuert diese Entwicklung zusätzlich. Wie Forscher von Lookout berichten, ermöglichen KI-gestützte Designprozesse den Bedrohungsakteuren, ihre Malware-Module mit nie dagewesener Geschwindigkeit zu pflegen und an neue Patches anzupassen. Ein funktionierender Zero-Click-Exploit, dessen Entwicklung einst Millionen kostete, wird so immer erschwinglicher. Für Unternehmen, deren Mitarbeiter iPhones geschäftlich nutzen, entstehen dadurch immense regulatorische und rechtliche Risiken.
Besonders für Einsteiger und Umsteiger ist es oft schwierig, die richtigen Sicherheitseinstellungen auf einem neuen Gerät von Anfang an korrekt zu setzen. Dieser kostenlose Guide begleitet Sie Schritt für Schritt durch die Einrichtung und zeigt Ihnen die wichtigsten Handgriffe für eine sichere Bedienung. Kostenloses iPhone-Starterpaket herunterladen
Vergleich mit Pegasus und die Rolle des Browsers
Die Exploit-Kits werden mit der berüchtigten Pegasus-Spyware der NSO Group verglichen – mit einem entscheidenden Unterschied: der Einfachheit der Verbreitung. Während Pegasus oft über gezielte Nachrichten verteilt wurde, nutzen DarkSword und Coruna den Webbrowser als Haupteinfallstor. Das macht die Bedrohung unberechenbar: Jeder Nutzer, der im offenen Web surft, könnte auf eine Infektionsquelle stoßen.
Apple empfiehlt risikobewussten Nutzern weiterhin den Lockdown-Modus. Dieser extreme Schutz deaktiviert bestimmte Webtechnologien und blockiert die meisten Nachrichtenanhänge. Sicherheitsberater gehen davon aus, dass immer mehr hochrangige Professionals diesen Modus als Standardvorsorge nutzen werden.
Die Zukunft des Mobilfunkschutzes: Was kommt als Nächstes?
Der Sicherheitskampf verlagert sich zunehmend auf Memory Safety und Post-Quantum-Kryptografie. Apple hat bereits damit begonnen, das Post-Quantum-Protokoll PQ3 in iMessage zu integrieren. Die aktuellen Exploits zeigen jedoch, dass die unmittelbare Gefahr weiterhin auf Kernel- und Browserebene lauert.
Experten erwarten, dass Angreifer ihren Fokus vermehrt auf Drittanbieter-App-Stores und alternative Browser-Engines lenken werden. Diese gewinnen aufgrund neuer regulatorischer Vorgaben in verschiedenen Märkten an Bedeutung. Die Timeline der DarkSword-Kampagne, die bereits im November 2025 begann, aber erst im März 2026 vollständig adressiert wurde, unterstreicht die anhaltende Lücke zwischen der Entdeckung von Schwachstellen und ihrer globalen Behebung.
Die einhellige Empfehlung der Cybersicherheitsexperten bleibt eindeutig: Der wirksamste Schutz sind sofortige Software-Updates. Bei schätzungsweise 800 Millionen bis 1,2 Milliarden potenziell gefährdeten iPhones mit veralteter Software ist Sicherheit eine geteilte Verantwortung – zwischen dem schnellen Patchen des Herstellers und der Sorgfalt der Nutzer.
