Nach Angaben von Reuters passt Apple seine Patch-Politik an die beschleunigte Bedrohungslage an. Das Unternehmen hatte große Sammlungen von Fehlerbehebungen traditionell oft bis zu neuen Versionen seines Betriebssystems zurückgehalten. Die nun veröffentlichten Sicherheitsupdates für iPhones, iPads, Macbooks und Safari stehen dagegen für einen häufigeren, von großen Versionswechseln entkoppelten Rhythmus.

Apple machte dabei deutlich, dass die jüngsten Korrekturen nicht auf aktiv ausgenutzte Schwachstellen zielten. Der Schritt ist damit ausdrücklich nicht als Reaktion auf konkrete bekannte Cyberangriffe beschrieben, sondern als generelle Umstellung auf schnellere Auslieferung von Sicherheitsupdates.

Rocky Cole, CEO von iVerify, hält das für sinnvoll, aber nicht für ausreichend. Schnellere Patches seien hilfreich, sagte er, schlossen die Lücke aber nicht vollständig, weil sie nur einen einzelnen Verteidigungspunkt darstellten und es keinen Rückfallmechanismus gebe, wenn doch etwas durchrutsche. Gerade bei KI-beschleunigter Schwachstellensuche werde das passieren.

Zur Begründung verweist Cole auf Mandiants Daten zur „Zeit bis zur Ausnutzung“. 2018 habe der Durchschnittswert bei rund 63 Tagen gelegen. In den vergangenen zwei Jahren sei dieser Wert laut Cole ins Negative gekippt. Das bedeute, dass Angreifer Schwachstellen im Durchschnitt inzwischen routinemäßig bewaffnen, noch bevor ein Patch überhaupt öffentlich ist. Zero-Days würden inzwischen im Mittel häufiger eingesetzt als n-Days.

Cole berichtet zudem von eigenen Erfahrungen mit KI-gestützter Schwachstellenforschung. Über OpenAIs Programm „Trusted Access for Cyber“ habe sein Team neue Modelle getestet und dabei rund ein Dutzend Fehler gefunden. Einer davon sei von Apple inzwischen als CVE anerkannt worden. In manchen Fällen habe sein Team die KI-Werkzeuge auch nutzen können, um die gefundenen Schwachstellen bis zur Ausnutzung weiterzuentwickeln. Nach Coles Worten besteht sein Team nur aus zwei Forschern und ist erst seit rund zwei Monaten in dem Programm.

Ein weiteres Problem sieht Cole im Update-Verhalten vieler Nutzer. Weil Apple Sicherheits- und Funktionsänderungen lange als Paket ausgeliefert habe, hätten sich manche Anwender angewöhnt, Updates insgesamt zu meiden. Als Beispiel nennt er eine Coruna-Infektion aus der vergangenen Woche bei einer Person, die noch iOS 16 nutzte. Laut Cole sagte die betroffene Person, sie habe Updates ausgelassen, weil ihr die neue Benutzeroberfläche nicht gefallen habe. Schnellere Patches helfen demnach nicht, wenn sie nicht installiert werden.

Besonders kritisch bewertet Cole das iOS-Sicherheitsmodell. iOS sei die einzige weit verbreitete Computerplattform ohne ein echtes Sicherheits-Framework, auf dem die Sicherheitsgemeinschaft aufbauen könne. Es gebe dort kein Äquivalent zu XDR- oder EDR-Ebenen, und das Ökosystem sei für Cybersicherheitswerkzeuge von Drittanbietern abgeschottet. Apples Ansatz laute im Kern: Vertraut uns, wir schützen das Gerät.

Für Unternehmen sei das noch stärker ein Problem als für Privatnutzer, weil viele aus Kompatibilitätsgründen und zur Vermeidung von Abstürzen eine N-1-Patch-Strategie verfolgten. Cole folgert daraus, dass iPhones ein Sicherheits-Framework bräuchten, mit dem Unternehmen die Verteidigung selbst in die Hand nehmen können, so wie auf anderen Endpunkten auch.