Die US-Cybersicherheitsbehörde CISA hat eine dringende Warnung vor mehreren kritischen Sicherheitslücken in Apple-Betriebssystemen herausgegeben. Diese werden bereits aktiv für gezielte Angriffe ausgenutzt. Im Zentrum steht die hochkomplexe Angriffskette „DarkSword“, die vor allem iPhones und iPads ins Visier nimmt. Die Behörde setzt eine strikte Frist für Sicherheits-Updates.
DarkSword: Sechs Schwachstellen kompromittieren Geräte
Sicherheitsforscher von Google und iVerify deckten eine koordinierte Kampagne auf. Sie nutzt eine Kette von sechs Schwachstellen, um Apple-Geräte vollständig zu übernehmen. Drei dieser Lücken nahm die CISA bereits in ihren Katalog der aktiv ausgenutzten Schwachstellen auf. DarkSword umgeht Schutzmechanismen wie die Sandbox und erlangt weitreichende Systemrechte.
Angesichts hochkomplexer Angriffe wie DarkSword ist es für iPhone-Nutzer wichtiger denn je, die Sicherheitsmechanismen ihres Geräts genau zu kennen. Dieses kostenlose Lexikon erklärt Ihnen die 53 wichtigsten Apple-Begriffe verständlich und hilft Ihnen, Sicherheitswarnungen besser einzuordnen. Kostenloses iPhone-Lexikon jetzt anfordern
Der Angriff startet meist mit dem Besuch einer präparierten Webseite in Safari oder einem In-App-Browser. Eine erste Lücke ermöglicht die Code-Ausführung, ohne dass der Nutzer zustimmen muss. In der nächsten Phase nutzt die Schadsoftware einen Pufferüberlauf, um direkt in den Kernel-Speicher zu schreiben. So gewinnen die Angreifer tiefgreifende Kontrolle.
Die finale Stufe stabilisiert den Zugriff und richtet eine dauerhafte Präsenz auf dem Gerät ein. Betroffen sind vor allem Geräte mit iOS-Versionen zwischen 18.4 und 18.7. Apple hat in den neuesten Releases wie iOS 26.3 bereits Gegenmaßnahmen implementiert. Ein sofortiges Update ist daher zwingend erforderlich.
Staatliche Spionage und kommerzielle Spyware im Spiel
Hinter den Angriffen stehen vermutlich keine gewöhnlichen Cyberkriminellen, sondern hochentwickelte, staatlich gestützte Akteure. Die DarkSword-Infrastruktur wird mit mehreren Bedrohungsgruppen in Verbindung gebracht. Eine davon, UNC6748, soll Kunde des türkischen Überwachungsanbieters PARS Defense sein. Das deutet auf professionell vertriebene Spyware für Regierungen hin.
Zudem gibt es Hinweise auf die Gruppe UNC6353, die der russischen Spionage zugeordnet wird. Sie soll DarkSword in sogenannten Watering-Hole-Angriffen eingesetzt haben. Dabei wurden gezielt ukrainische Webseiten kompromittiert, um Besucher zu infizieren. Solche Kampagnen zielen auf sensible Informationen von Entscheidungsträgern, Journalisten oder Aktivisten.
Die eingesetzte Schadsoftware ist äußerst vielseitig. Drei verschiedene Malware-Familien kommen zum Einsatz: ein aggressiver Infostealer für Browserdaten, eine Backdoor zum Abfluss großer Datenmengen und ein Tool zur Ausführung von beliebigem Code. Die Komplexität zeigt, dass es nicht um kurzfristigen Diebstahl, sondern um langfristige Überwachung geht.
CISA zwingt Behörden zum Handeln – Privatnutzer in Gefahr
Wegen der nachgewiesenen aktiven Ausnutzung hat die CISA alle US-Bundesbehörden angewiesen, die Systeme bis zum 3. April 2026 zu patchen. Die Anordnung basiert auf einer Richtlinie zum Schutz von Regierungsnetzwerken. Doch private Unternehmen und Individualnutzer sollten das Risiko keinesfalls unterschätzen.
Da professionelle Spionage-Software oft unbemerkt im Hintergrund agiert, sollten Nutzer die grundlegenden Sicherheitsfunktionen ihres iPhones sicher beherrschen. Erfahren Sie in diesem gratis Ratgeber, wie Sie Ihr Gerät optimal einrichten und sich vor digitalen Bedrohungen schützen. Gratis iPhone-Starterpaket herunterladen
Die Schwachstellen betreffen nicht nur das iPhone. Da fehlerhafte Komponenten im Kern der Apple-Plattformen liegen, erstreckt sich das Risiko auch auf iPadOS, macOS, watchOS, tvOS und visionOS. Experten raten, die automatische Update-Funktion zu aktivieren. Vor großen Updates ist eine vollständige Datensicherung empfehlenswert.
Für Unternehmen bedeutet die Warnung, das Schwachstellenmanagement für mobile Geräte zu priorisieren. Ein kompromittiertes Smartphone kann als Brückenkopf für Angriffe auf die gesamte Infrastruktur dienen. Die Zeitspanne zwischen Entdeckung einer Lücke und ihrer Ausnutzung wird immer kürzer. DarkSword zeigt, dass selbst iOS durch die Verkettung mehrerer Fehler verwundbar ist.
Immer raffinierter: Die Evolution der mobilen Bedrohungen
Die Entdeckung von DarkSword ist ein weiteres Beispiel für den wachsenden Markt kommerzieller Exploits. Eine ganze Industrie sucht gezielt nach Zero-Day-Lücken in mobilen Systemen, um sie an staatliche Kunden zu verkaufen. Während Apple seine Sicherheitsarchitektur stetig stärkt, rüsten auch die Angreifer auf.
Angriffe erfolgen immer häufiger ohne direkte Nutzerinteraktion. Bei DarkSword reicht das Laden einer Webseite. Im Vergleich zu früheren Kampagnen wie „Pegasus“ werden die Methoden immer raffinierter und greifen mehrere System-Ebenen gleichzeitig an – vom Browser bis tief in den Kernel.
Für die Zukunft ist zu erwarten, dass Apple weitere Sicherheitsfeatures einführen wird. Doch das Wettrüsten zwischen Sicherheitsforschern und Exploit-Entwicklern bleibt. Die Aufforderung der CISA zur sofortigen Aktualisierung ist eine notwendige Reaktion auf eine reale und aktive Bedrohung.
