Apple bringt Ende-zu-Ende-Verschlüsselung für plattformübergreifende Chats – doch ein neues Problem taucht auf.
Der iPhone-Hersteller steht vor der Veröffentlichung von iOS 26.5, das für die zweite Maiwoche erwartet wird. Der Release Candidate wurde bereits an Entwickler und Tester verteilt. Im Zentrum des Updates steht ein lang erwarteter Meilenstein: die vollständige Verschlüsselung von RCS-Nachrichten zwischen iPhone und Android.
Nach dem Update auf iOS 26.5 sollten Sie Ihre Datenschutzeinstellungen genau prüfen, um von der neuen Verschlüsselung voll zu profitieren. Apple-Experte Detlef Meyer zeigt Ihnen in diesem kostenlosen Ratgeber, wie Sie Ihr System nach Aktualisierungen optimal absichern. Sichere iOS-Updates: Kostenlose Schritt-für-Schritt-Anleitung sichern
Ende der „grünen Blasen“-Sicherheitslücke
Bislang blieben Chats zwischen Apple- und Android-Geräten auf Protokollebene unverschlüsselt. Zwar hatte Apple RCS bereits früher eingeführt, doch die Sicherheit entsprach lediglich dem Standard der Mobilfunkanbieter. Mit iOS 26.5 ändert sich das grundlegend.
Apple setzt auf das Messaging Layer Security (MLS)-Protokoll. Es stellt sicher, dass Textnachrichten zwischen verschiedenen Betriebssystemen weder von Dienstanbietern noch von Dritten abgefangen werden können. Die Sicherheit der sogenannten „grünen Blasen“ nähert sich damit dem Niveau des iMessage-Ökosystems an.
Der Rollout erfolgt allerdings nicht schlagartig. Die Verschlüsselung setzt Unterstützung durch die Mobilfunkanbieter voraus. Zudem müssen sowohl Sender als auch Empfänger kompatible Softwareversionen nutzen. Eine Neuerung in iOS 26.5 hilft bei der Orientierung: Die Nachrichten-App zeigt künftig ein Schlosssymbol und den Status „Verschlüsselt“ an, sobald eine Unterhaltung gesichert ist.
Passwörter-App: Ungewollte Spuren im Datenschutzbericht
Während Apple die Kommunikation nach außen absichert, haben Sicherheitsforscher eine neue Datenschutzbaustelle im eigenen System entdeckt. Der „App-Datenschutzbericht“ von iOS 26.5 könnte mehr preisgeben, als vielen Nutzern lieb ist.
Das Problem liegt in der Hintergrundaktivität der Passwörter-App. Sie führt regelmäßig Netzwerkanfragen durch – etwa zur Überprüfung der Kontosicherheit, zur Suche nach geleakten Zugangsdaten oder zum Abruf von Website-Icons. Diese Anfragen werden im Datenschutzbericht protokolliert. Exportiert ein Nutzer diesen Bericht zu Diagnosezwecken, enthält die Datei eine Liste aller Domains, für die dort Passwörter gespeichert sind.
Die eigentlichen Zugangsdaten bleiben zwar geschützt. Dennoch warnen Datenschützer vor einer „teilweisen Tresor-Offenlegung“. Gelangt die exportierte Datei in falsche Hände, lässt sich daraus ein detailliertes Nutzerprofil ableiten. Der Fall zeigt das grundlegende Dilemma moderner Betriebssysteme: Je proaktiver Sicherheitsfunktionen arbeiten, desto größer wird die Angriffsfläche für unbeabsichtigte Datenlecks.
Parallel dazu hat Apple die Integration sensibler Wiederherstellungsdaten vorangetrieben. Das aktuelle macOS 26.4 verlagert FileVault-Wiederherstellungsschlüssel in die Ende-zu-Ende-verschlüsselte Passwörter-App. Das soll verhindern, dass Nutzer dauerhaft von ihrer Hardware ausgeschlossen werden – ohne dass Apple selbst Zugriff auf die Entschlüsselungsschlüssel erhält.
Welt-Passwort-Tag 2026: Das wahre Problem sind Standard-Zugänge
Die Veröffentlichung von iOS 26.5 fällt mit der jährlichen Bestandsaufnahme zum Welt-Passwort-Tag am 7. Mai zusammen. Und die fällt ernüchternd aus: Trotz biometrischer Systeme und zunehmender Verbreitung von Passkeys hat sich die grundlegende „Zugangsdaten-Krise“ nicht entschärft – sie hat sich nur verlagert.
Die häufigste Schwachstelle des Jahres 2026 ist nicht mehr das schwache Passwort, sondern der Standard-Zugang. Rund 60 Prozent aller erfolgreichen Angriffe auf Zugangsdaten gehen auf Konten zurück, die noch mit den werkseitigen Standard-Logins betrieben werden. Besonders betroffen sind Administrationsoberflächen, Remote-Desktop-Protokolle und lokale Dateiübertragungsdienste.
Ob Passkeys oder komplexe Passwörter – wer bei der Kontosicherheit auf Nummer sicher gehen will, braucht die volle Kontrolle über seine digitalen Zugänge. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie bei Amazon, WhatsApp und Co. sofort für maximalen Schutz einrichten. Passwort-Stress beenden und Passkeys gratis einrichten
Sicherheitsexperten beobachten zudem eine Verschiebung der Angriffsmethoden. Statt technischer Exploits setzen Kriminelle zunehmend auf Manipulation: Irreführende Suchanzeigen und ausgeklügelte Phishing-Kampagnen, die offizielle Apple-Support-Benachrichtigungen imitieren, sollen Nutzer dazu bringen, ihre Zwei-Faktor-Codes preiszugeben.
Apple reagiert mit seinem Programm für „Hintergrund-Sicherheitsupdates“. Es erlaubt dem Unternehmen, zwischen größeren Softwareversionen gezielte Sicherheitspatches auszuspielen – ohne dass ein vollständiger Neustart des Geräts erforderlich ist. Bereits im Frühjahr 2026 wurde auf diesem Weg eine kritische Sicherheitslücke (CVE-2026-20700) geschlossen, die eine Speicherkorruption ausnutzte und beliebige Codeausführung ermöglichte.
Ausblick: Künstliche Intelligenz als neue Sicherheitsfront
Mit Blick auf den Sommer 2026 und die bevorstehende Worldwide Developers Conference (WWDC) zeichnet sich ein neuer Schwerpunkt ab: die Sicherheit Künstlicher Intelligenz. Analysten erwarten, dass die nächsten großen Betriebssystem-Updates das Problem „überprivilegierter“ KI-Agenten adressieren müssen – also Systemen, die dauerhaften Zugriff auf Kernfunktionen und Passworttresore haben.
Für die unmittelbare Zukunft bedeutet iOS 26.5 eine deutliche Härtung der Kommunikationsinfrastruktur. Mit der Standardisierung von Ende-zu-Ende-Verschlüsselung für RCS schließt Apple eine der größten Lücken für Metadatensammlung und Überwachung, die seit Beginn des plattformübergreifenden Nachrichtenaustauschs bestand.
Die Entdeckung des Datenlecks im App-Datenschutzbericht zeigt jedoch: Je komplexer und proaktiver Betriebssysteme werden, desto größer bleibt die Herausforderung, unbeabsichtigte Datenexpositionen zu vermeiden. Nutzer sollten daher nicht nur auf aktuelle Softwareversionen achten, sondern auch wachsam gegenüber Social-Engineering-Angriffen bleiben. Die Kombination aus hardwaregestützten Passkeys und protokollbasierter Verschlüsselung wie MLS wird sich in den kommenden Jahren als Mindeststandard für professionelle mobile Kommunikation etablieren.
