Verborgene Schwachstellen in der Smartphone-Sicherheit bedrohen sowohl die Privatsphäre als auch Geschäftstätigkeiten. Erfahren Sie mehr über die versteckten Gefahren sowie die Gründe für verzögerte Aktualisierungen und entdecken Sie, welche konkreten Schritte unternommen werden können, um Ihr Gerät vor Datenlecks, Identitätsdiebstahl und gezielten Angriffen zu schützen.
Ungepatchte Sicherheitslücken in Smartphones sind ein Problem für Privatpersonen und Unternehmen.
(Bild: sdecoret - stock.adobe.com)
Smartphones sind unentbehrlich für unser persönliches und berufliches Leben. Sie verbinden uns mit der Welt und ermöglichen kritische Arbeitsabläufe. Doch diese Geräte sind häufig anfälliger, als Smartphone-Hersteller uns glauben lassen wollen. Mit jedem neuen Gerät versprechen Hersteller mehr Sicherheit, betonen eine längere Unterstützung für Aktualisierungen von Betriebssystemen (OS) und behaupten, dass auch nach dem Ende größerer OS-Updates Sicherheitspatches über Jahre hinweg verfügbar sein werden, um den Nutzern einen kontinuierlichen Schutz zu bieten.
Egal, ob Sie ein Apple iOS oder Google Android Gerät benutzen – selbst die modernsten Geräte sind nicht sicher vor Angriffen. Ungepatchte Schwachstellen, die oft übersehen oder unterschätzt werden, bergen erhebliche Risiken für alle, angefangen bei Privatpersonen bis hin zu Unternehmen, die ganze Flotten von Geräten verwalten.
Ich begeistere mich seit mehr als zehn Jahren für die iOS-Sicherheit und zwei entscheidende Ereignisse haben aufgezeigt, wie wichtig es ist, diese Risiken jetzt mehr denn je zu verstehen und sie zu bekämpfen. Aus diesem Grund wollte ich in meinem Blogartikel Patch Me If You Can: The Truth About Smartphone Vulnerabilities noch tiefer in dieses Thema eintauchen.
Kompromittierte Tools und ihre Folgen
Bei diesen beiden Ereignissen handelte es sich um die 2024 geleakten Funktionen von Cellebrite Premium und GrayKey – Tools, die weltweit von Strafverfolgungsbehörden eingesetzt werden, um Daten aus gesperrten Smartphones zu extrahieren. Diese Sicherheitslücken beleuchten die potenziellen Möglichkeiten von böswilligen Akteuren und zeigen die Schwierigkeiten auf, mit denen Smartphone-Hersteller konfrontiert sind.
Die Sicherheitslücken machten deutlich, dass ältere Geräte wie das iPhone 11 sowie seine Vorgänger große Schwachstellen aufweisen und leicht angreifbar sind. So können ältere Telefone durch Brute-Force-Angriffe auf Passwörter kompromittiert werden und neuere Geräte sind bereits nach dem ersten Entsperren (After First Unlock) ungeschützt, sodass Benutzerdaten für Angriffe zugänglich sind.
Hinzu kommt, dass forensische Software wie Oxygen, Mobile Edit und UFED raubkopiert wurde, was den Zugang zu Tools, die nicht korrigierte Schwachstellen ausnutzen, weiter erleichtert hat. Angesichts der geleakten Fähigkeiten von Software und Tools wie Cellebrite und GrayKey ist es wichtig, deren Missbrauchspotenzial und Folgen zu verstehen, die mit Diebstahl und Weiterverkauf sowie die Kompromittierung von Beweisen verbunden sind.
Wir wissen mittlerweile, dass aktuell sogar ein iPhone 15 Pro Max trotz seiner Sicherheitsfunktionen aktiviert und verkauft werden kann. Noch besorgniserregender ist jedoch, dass Smartphones, die als Beweismittel dienen, keine Datenintegrität mehr gewährleisten können, da es möglich ist, Informationen einzuschleusen oder zu verändern.
Hindernisse für rechtzeitige Updates
Diese Entwicklungen gefährden verstärkt Privatpersonen und Unternehmen, da Tools, die früher nur Spezialisten vorbehalten waren, nun auch für böswillige Akteure zugänglich sind.
Die schnelle Behebung von Sicherheitslücken sollte oberste Priorität haben, dennoch zögern Hersteller häufig mit Updates. Allerdings ist die Aktualisierung älterer Geräte kostspielig und sie bevorzugen möglicherweise neuere Modelle mit höheren Gewinnspannen. Das öffentliche Eingeständnis von Schwachstellen könnte auch das Vertrauen der Verbraucher untergraben, insbesondere da Exploit-Entwickler stets einen Schritt voraus zu sein scheinen. Außerdem bauen viele Smartphone-Marken auf externe System-on-Chip (SoC)-Hersteller, was ihre Kontrolle über die Hardware-Sicherheit begrenzt.
Hochriskante Exploits und ethische Zwickmühle
Ungepatchte Schwachstellen haben reale Konsequenzen. Besonders bekannte Fälle verdeutlichen ihre konkreten Auswirkungen, wie im grundstürzenden Pegasus-Projekt gezeigt. Organisationen wie das Security Lab von Amnesty International dokumentieren, wie Schwachstellen für Überwachung und Cyber-Spionage missbraucht werden und wie Technologien zur Datenrettung in Notfällen auch für böswillige Zwecke wie die Fälschung von Beweisen oder die Verletzung der Privatsphäre missbraucht werden können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die ethischen Fragen sind hier komplex. Tools, die entwickelt wurden, um Schaden zu verhindern, können ihn ebenso leicht verursachen. Ohne klare Richtlinien und Kontrolle wird dieses Dilemma bestehen bleiben.
Auswirkungen auf Privatpersonen und Unternehmen
Bei Privatpersonen sind ihre personenbezogenen Daten, Bankkonten und sensible Austausche gefährdet. Aktivisten, Journalisten und gefährdete Bevölkerungsgruppen wiederum laufen vermehrt Gefahr, überwacht und belästigt zu werden.
In Unternehmen werden Mobilgeräteverwaltungssysteme (MDM) unwirksam, wenn Geräte physisch kompromittiert werden. Proprietäre Daten, die auf Firmengeräten gespeichert sind, sind dann anfällig für Sicherheitsverletzungen und Spionage. Außerdem verursacht der häufige Austausch von Geräten und zusätzliche Sicherheitsebenen erhöhte Betriebskosten.
Die starke Nutzung von Smartphones bedeutet, dass diese Schwachstellen sich negativ auf Vertrauen, Produktivität und Sicherheit auswirken.
Lösungen und zukünftige Vorgehensweisen
Um Smartphone-Schwachstellen zu beheben, sind koordinierte Aktionen in verschiedenen Bereichen notwendig.
Verschärfte Vorschriften: Regierungen müssen verbindliche Zeiträume für das Beheben von Schwachstellen durchsetzen, ungeachtet von Garantiebedingungen.
Technische Neuerungen:
Es ist ratsam, speichersichere Programmiersprachen und umgeschriebene Legacy-Codes zu verwenden.
Es sollten auch Technologien wie Memory Tagging Extension (MTE) eingesetzt werden, wie es bei Google Pixel Geräten bereits der Fall ist.
Einstellbare Sicherheitsfunktionen: Optionen wie die Umstellung von Geräten vom Zustand „After First Unlock“ (AFU) in den Zustand „Before First Unlock“ (BFU) können den Schutz verstärken.
Unterstützung über den gesamten Lebenszyklus: Hersteller müssen Updates über die gesamte realistische Lebensdauer ihrer Geräte zusichern.
Die Rolle von Transparenz und Rechenschaftspflicht
Sowohl Privatpersonen als auch Unternehmen müssen informiert bleiben und vorausschauend handeln. Es liegt jedoch nicht in der Verantwortung der Öffentlichkeit, reaktiv zu sein. Vielmehr müssen die Hersteller verstehen, dass Transparenz der Schlüssel zu einem sicheren Smartphone-Ökosystem ist. Es ist ihre Aufgabe, Schwachstellen und deren potenzielle Folgen öffentlich anzuerkennen und regelmäßige Updates bereitzustellen, die mit ihren Versprechen einer verlängerten Unterstützung übereinstimmen. Außerdem müssen sie mit Aufsichtsbehörden zusammenarbeiten, um die Einhaltung von Vorschriften zu gewährleisten und das Vertrauen der Verbraucher zu gewinnen.
Ungepatchte Sicherheitslücken in Smartphones sind ein Problem, das sowohl Privatpersonen als auch Unternehmen betrifft. Indem wir Transparenz fördern, Innovationen unterstützen und Verantwortlichkeit einfordern, können wir diese Risiken reduzieren und eine sicherere digitale Welt für alle gestalten.
Über den Autor: Sergey Nikitin arbeitet seit April 2010 für die Group-IB. Dort unterstützte und führte er über ein Jahrzehnt lang das IT-Forensik und Incident Response Team als stellvertretender Leiter der digitalen Forensik an. Sein herausragendes Fachwissen trug zu zahlreichen Strafverfahren bei und führte zur Festnahme mehrerer Hackergruppen. Heute leitet Sergey den Geschäftsbereich LATAM der Group-IB.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/63/7a/637a2bfec49b3d45e54e48da84f6d3cd/0128524440v2.jpeg "2026 verknüpfen Angreifer kompromittierte Software-Lieferketten mit der Übernahme exponierter Edge-Geräte. Verkürzte Exploit-Fenster machen Segmentierung, überprüfbare Provenienz und schnelle Patches zentral. (Bild: © anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/cb/86cba06e04d8887274e82b4732ff0330/0124978903v2.jpeg "Die Backdoor in den Routern von Asus lässt sich weder durch Firmware-Upgrades des Herstellers, noch durch Neustarts allein entfernen. Es braucht eine Reihe zusätzlicher Eingriffe. (Bild: Dall-E / KI-generiert)")