Wenn das BSI „Sofort patchen" sagt: Was DarkSword für Deutschlands 60 Millionen iPhone-Nutzer bedeutet

Am 22. März 2026 veröffentlichte das BSI - das Bundesamt für Sicherheit in der Informationstechnik - eine Warnung der höchsten Stufe, in der alle iPhone-Nutzer aufgefordert wurden, umgehend auf die aktuelle iOS-Version zu aktualisieren. Die Sprache war ungewöhnlich direkt für eine Behörde, die normalerweise in abgewogenen technischen Hinweisen kommuniziert. Der Grund: DarkSword, ein voll funktionsfähiges Exploit-Kit, das auf GitHub geleakt wurde und iPhones über einen einzigen Webseitenbesuch kompromittieren kann.

Für Deutschland ist das nicht nur eine Geschichte über Cybersicherheit. Es ist eine Geschichte über rund 60 Millionen iPhone-Nutzer, die möglicherweise innerhalb von Tagen handeln müssen. Es ist eine Geschichte über DSGVO-Pflichten, die greifen, wenn Geräte von Beschäftigten kompromittiert werden. Und es ist eine Geschichte über ein Land, dessen Regierung dieselbe Kategorie von Überwachungswerkzeugen gekauft hat, vor denen sie nun ihre Bürger warnt.

Sechzig Millionen Ziele

Deutschland hat eine der höchsten iPhone-Durchdringungsraten in Europa. Schätzungen von Marktforschungsunternehmen setzen den Anteil des iPhones am deutschen Smartphone-Markt durchgehend zwischen 35 und 40 Prozent an, mit einer installierten Basis von ungefähr 55 bis 65 Millionen aktiven Geräten. In den großen deutschen Städten, besonders unter Berufstätigen und jüngeren Bevölkerungsgruppen, liegt dieser Anteil noch höher.

DarkSword zielt auf iPhones mit iOS-Versionen 18.4 bis 18.7. Die Exploit-Kette nutzt eine WebKit-Schwachstelle als Einstiegspunkt - dieselbe Rendering-Engine, die Safari und jeden anderen Browser unter iOS antreibt. Der Besuch einer manipulierten Webseite genügt. Kein Download, keine Berechtigung, kein verdächtiges Verhalten sichtbar für den Nutzer.

Die Warnung des BSI hat eine Tragweite, die über eine Empfehlung hinausgeht. Nach dem BSI-Gesetz hat die Behörde die Befugnis, verbindliche technische Richtlinien für Betreiber kritischer Infrastrukturen zu erlassen. Während die DarkSword-Warnung für alle Bürger gilt, stehen Organisationen, die als Betreiber kritischer Infrastrukturen eingestuft sind - Energieunternehmen, Krankenhäuser, Finanzinstitute, Telekommunikationsanbieter - vor konkreten Pflichten, BSI-Vorgaben innerhalb festgelegter Fristen umzusetzen.

Das DSGVO-Problem, über das niemand spricht

Wenn das iPhone eines Beschäftigten durch DarkSword kompromittiert wird, steht die Organisation, die dieses Gerät bereitgestellt oder für die berufliche Nutzung zugelassen hat, vor einer Kaskade von Datenschutzpflichten nach der Datenschutz-Grundverordnung.

Artikel 33 der DSGVO verlangt von Verantwortlichen, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden über eine Verletzung des Schutzes personenbezogener Daten zu informieren. Artikel 34 verlangt die Benachrichtigung betroffener Personen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Ein kompromittiertes iPhone, das auf geschäftliche E-Mails zugreift, Kundendaten speichert oder sich über VPN mit internen Systemen verbindet, erfüllt diese Schwelle mit hoher Wahrscheinlichkeit.

Das Problem ist die Erkennung. DarkSword hinterlässt keine sichtbare Spur auf dem Gerät. Kein App-Symbol, keine Benachrichtigung, kein offensichtlicher Hinweis auf eine Kompromittierung. Eine Organisation kann eine Datenschutzverletzung nicht melden, von der sie nichts weiß. Und nach deutschem Datenschutzrecht ist Unkenntnis keine Verteidigung, wenn die Organisation es versäumt hat, angemessene Sicherheitsmaßnahmen umzusetzen.

Deutschlands Datenschutzbehörden - der Bundesbeauftragte für den Datenschutz (BfDI) und die sechzehn Landesdatenschutzbehörden - haben ihre Bereitschaft gezeigt, erhebliche Bußgelder zu verhängen. Die Berliner Datenschutzbehörde verhängte 2019 ein Bußgeld von 14,5 Millionen Euro gegen ein Immobilienunternehmen wegen Datenschutzverstößen. Ein Krankenhaus in Düsseldorf geriet 2020 in den Fokus, nachdem ein Ransomware-Angriff die Patientenversorgung verzögert und zum Tod eines Menschen beigetragen hatte. Eine massenhafte Kompromittierung von Beschäftigtengeräten durch DarkSword könnte das größte DSGVO-Durchsetzungsverfahren auslösen, das Deutschland in der Kategorie mobiler Geräte je gesehen hat.

Für Organisationen ist die unmittelbare Frage nicht abstrakt. Sie ist operativ: Weißt du, welche iPhones deiner Beschäftigten auf dem aktuellen Stand sind? Kann dein Mobile-Device-Management-System den Patch-Status über die gesamte Geräteflotte überprüfen? Und wenn ein Gerät vor dem Patch kompromittiert wurde - hast du die forensischen Fähigkeiten, das zu erkennen?

Deutschlands komplizierte Geschichte mit Überwachungswerkzeugen

Die Reaktion der deutschen Regierung auf DarkSword steht in einem unbehaglichen politischen Kontext. Deutschland ist nicht nur ein potenzielles Opfer kommerzieller Spähsoftware. Es ist ein dokumentierter Kunde.

2021 enthüllten Recherchen der Zeit und des investigativen Kollektivs Netzpolitik.org, dass das BKA - das Bundeskriminalamt - die Pegasus-Spähsoftware der NSO Group gekauft und eingesetzt hatte. Die Beschaffung erfolgte 2019, in derselben Zeit, in der Pegasus gegen Journalisten und Dissidenten in Ländern wie Saudi-Arabien, Mexiko und Ungarn eingesetzt wurde. Das BKA zahlte Berichten zufolge einen siebenstelligen Betrag für eine Version der Software, die an die Anforderungen des deutschen Bundesverfassungsgerichts bezüglich Überwachung angepasst worden war.

Der BND, Deutschlands Auslandsnachrichtendienst, hat seine eigene Geschichte mit offensiven digitalen Werkzeugen. Parlamentarische Kontrollgremien haben die Fähigkeiten und Praktiken des BND im Bereich digitaler Überwachung wiederholt hinterfragt, insbesondere nachdem die Snowden-Enthüllungen 2013 eine enge Zusammenarbeit zwischen BND und NSA offenlegten. Auch das BfV, der Inlandsnachrichtendienst, hat die Beschaffung kommerzieller Spähsoftware geprüft.

Das erzeugt einen strukturellen Widerspruch. Dieselbe Regierung, die ihre Bürger anweist, ihre iPhones gegen ein Überwachungswerkzeug zu patchen, hat funktional identische Werkzeuge für den eigenen Gebrauch gekauft. Das BSI warnt vor Ausnutzung, während das BKA sie betreibt. Die politische Spannung ist nicht theoretisch - sie wurde im Innenausschuss des Bundestages debattiert, nachdem die Pegasus-Beschaffung öffentlich wurde.

Der Bundestag selbst weiß, wie sich eine institutionelle Kompromittierung anfühlt. Im Mai 2015 drangen Hacker - zugeordnet dem russischen Militärgeheimdienst GRU - in das interne Netzwerk des Bundestages ein. Der Angriff, der später mit der Gruppe APT28 in Verbindung gebracht wurde, kompromittierte E-Mail-Konten von Abgeordneten und Mitarbeitern, erbeutete rund 16 Gigabyte an Daten und zwang dazu, die gesamte IT-Infrastruktur des Bundestages neu aufzubauen. Der Vorfall bleibt der schwerwiegendste Cyberangriff auf eine deutsche demokratische Institution. Ein Werkzeug wie DarkSword, das nur einen Webseitenbesuch erfordert, würde einen ähnlichen Angriff auf persönliche Geräte einzelner Abgeordneter erheblich vereinfachen.

Der CCC-Faktor

Deutschlands Cybersicherheitsdiskurs wird von einer Institution geprägt, die in den meisten anderen Ländern kein Äquivalent hat: dem Chaos Computer Club. 1981 in Hamburg gegründet, ist der CCC die größte Hackervereinigung Europas und fungiert als informelles, aber einflussreiches technisches Gewissen in deutschen Technologiedebatten.

Der CCC hat eine Erfolgsbilanz darin, Transparenz bei staatlichen Überwachungsfähigkeiten zu erzwingen. 2011 zerlegten CCC-Forscher den „Bundestrojaner" - eine staatliche Überwachungssoftware, die von der Firma DigiTask für deutsche Strafverfolgungsbehörden entwickelt worden war. Ihre Analyse ergab, dass die Fähigkeiten der Software weit über das hinausgingen, was deutsche Gerichte genehmigt hatten, und der daraus resultierende Skandal führte zu einem Urteil des Bundesverfassungsgerichts, das den rechtlichen Rahmen für staatliches Hacking verschärfte.

Wenn Exploit-Kits wie DarkSword öffentlich auftauchen, gehört die technische Gemeinschaft des CCC zu den Ersten, die sie analysieren und die Ergebnisse für ein breiteres Publikum aufbereiten. Ihr jährlicher Kongress zwischen Weihnachten und Neujahr ist die Plattform, auf der deutschsprachige Analysen von Überwachungswerkzeugen ihr größtes Publikum erreichen. Das DarkSword-Leak wird mit hoher Sicherheit ein Thema auf dem nächsten Kongress sein.

Das Unternehmens-Deutschland unter Druck

Deutschlands Mittelstand - die kleinen und mittleren Unternehmen, die das Rückgrat der Wirtschaft bilden - steht vor einer besonderen Verwundbarkeit. Großkonzerne betreiben in der Regel Mobile-Device-Management-Systeme, die Updates über ihre gesamte Geräteflotte verteilen können. Die DAX-40-Unternehmen haben eigene IT-Sicherheitsteams. Ein mittelständischer Werkzeugmaschinenhersteller in Schwaben oder ein familiengeführter Automobilzulieferer in Nordrhein-Westfalen hat möglicherweise eine IT-Abteilung von drei Personen, die für alles von E-Mail bis Produktionssysteme zuständig ist.

Die eigenen Statistiken des BSI zeichnen ein besorgniserregendes Bild. Sein Jahresbericht zur Lage der IT-Sicherheit in Deutschland identifiziert den Mittelstand durchgehend als schwächstes Glied in der Cybersicherheitsaufstellung des Landes. Viele kleinere Unternehmen erlauben Beschäftigten, persönliche Geräte für die berufliche Nutzung unter BYOD-Richtlinien einzusetzen, die nur begrenzte zentrale Kontrolle über Update-Status oder Sicherheitskonfiguration bieten.

DarkSword fügt diesem Problem eine neue Dimension hinzu. Bisherige große Bedrohungen für mobile Geräte erforderten eine gezielte Zustellung - eine bestimmte Nachricht an eine bestimmte Person. DarkSwords Browser-basierter Ansatz bedeutet, dass ein kompromittiertes Werbenetzwerk, eine gehackte regionale Nachrichtenseite oder ein manipulierter Link in einer geschäftlichen E-Mail jeden Beschäftigten gefährden kann, der die Seite zufällig besucht. Die Zielerfassung kann breit statt individuell sein, und die begrenzten IT-Ressourcen des Mittelstands machen eine schnelle Erkennung unwahrscheinlich.

Was deutsche iPhone-Nutzer jetzt tun sollten

Die unmittelbare Maßnahme ist dieselbe, die das BSI empfohlen hat: Update auf die aktuelle iOS-Version. Apple hat die DarkSword-Schwachstellen in iOS 26.3 und iOS 18.7.3 behoben. Für iPhones, die iOS 26 nicht unterstützen, hat Apple iOS 18.7.2 und Folgeupdates veröffentlicht, die dieselben WebKit- und Kernel-Schwachstellen auf älteren noch unterstützten Modellen beheben. Nutzer sollten ihre aktuelle iOS-Version in den Einstellungen unter Allgemein und Softwareupdate überprüfen.

Der Blockierungsmodus, verfügbar seit iOS 16, bietet einen sinnvollen zusätzlichen Schutz. Er deaktiviert die JavaScript-JIT-Kompilierung in WebKit, also genau den Mechanismus, den DarkSwords initialer Exploit angreift. Die Aktivierung schränkt einige Browserfunktionen ein und lässt bestimmte Webseiten nicht mehr korrekt funktionieren, aber für Nutzer, die mit sensiblen Daten umgehen - Journalisten, Anwälte, Führungskräfte, Politiker, Aktivisten - ist der Kompromiss vertretbar. Das BSI empfiehlt den Blockierungsmodus für Hochrisikonutzer seit seiner Einführung.

Für Organisationen ist die Checkliste länger. Überprüfe den Patch-Status aller verwalteten Geräte. Prüfe die Konfigurationen des Mobile-Device-Managements, um sicherzustellen, dass automatische Sicherheitsupdates aktiviert und durchgesetzt werden. Bewerte, ob BYOD-Richtlinien ausreichende Transparenz über den Sicherheitsstatus der Geräte bieten. Konsultiere den Datenschutzbeauftragten zu Meldepflichten bei Datenschutzverletzungen im Fall einer erkannten Kompromittierung. Und für Organisationen, die als kritische Infrastruktur eingestuft sind: überprüfe die Einhaltung der technischen Richtlinien des BSI zur Sicherheit mobiler Geräte.

Die unbequeme Realität ist, dass DarkSword ein einzelnes Exploit-Kit ist, das eine bestimmte Gruppe von Schwachstellen ausnutzt, die Apple bereits gepatcht hat. Das nächste Kit wird die nächste Gruppe angreifen. Deutschlands iPhone-Nutzer sind heute geschützt, wenn sie updaten. Ob sie nächsten Monat geschützt sein werden, hängt von demselben unsicheren Kreislauf aus Entdeckung und Patchen ab, der die mobile Sicherheit seit einem Jahrzehnt bestimmt.