Nach Angaben von Wikileaks wurden die Dokumente aus einer Art internem Wiki entwendet, in dem Agenten des Geheimdienstes sich über Überwachungsmöglichkeiten informieren können, zum Teil aber auch über verschiedene Themen debattieren. Sie decken einen Zeitraum von 2013 bis 2016 ab.

Grundsätzlich ist es nach den Veröffentlichungen nicht notwendig, das eigene Sicherheitskonzept grundlegend zu überarbeiten. Auch wenn die CIA offenbar über Möglichkeiten verfügt, um gezielt Smartphones anzugreifen, gibt es bislang keine Indizien für eine Massenüberwachung aller Nutzer eines bestimmten Betriebssystems.

Die Dokumente zeigen, um es provokant zu sagen: Auch die CIA kocht nur mit Wasser und ganz gewöhnlichen Sicherheitslücken.

Eingekaufte Schwachstellen für iPhones

Auf Grund des abgeschotteten Betriebssystems gelten die Geräte von Apple als relativ sicher, verglichen mit den Android-Geräten von Google, die oft nur schlecht mit Updates versorgt werden.

Offenbar hat sich die CIA in der Vergangenheit Informationen über bislang unbekannte Schwachstellen und die zugehörigen Exploits von speziellen Unternehmen eingekauft. Unter Exploits versteht man die Software, mit der man solche Sicherheitslücken im Betriebssystem ausnutzen kann.

Im Zeitraum, den die Dokumente abdecken (2013 bis 2016), hatte die CIA mehrere solcher Exploits. Das bedeutet aber nicht, dass die Agenten einfach jedes Telefon von Apple hacken können – vor allem, weil die meisten Schwachstellen die kaum mehr benutzte iOS-Version 8.1 betreffen – die aktuelle Version ist 10.0.

Und: Längst nicht alle diese Schwachstellen sind aus der Ferne ausnutzbar. In vielen Fällen müsste also ein Agent der CIA ein Telefon von Hand mit Malware infizieren, was sehr aufwendig ist.

Außerdem gehen die Geheimdienste in der Regel sparsam mit solchen Schwachstellen um – denn je häufiger der Exploit genutzt wird, desto größer das Risiko, dass der Angriff entdeckt wird und künftig nicht mehr funktioniert. Zur Orientierung: Eine iOS-Schwachstelle, die sich aus der Ferne ausnutzen lässt, kostet auf dem Grauen Markt in der Regel rund eine Million US-Dollar, ist also kein Schnäppchen.

Nach Angaben von Apple sind die meisten Schwachstellen, die in den Dokumenten aufgezählt wurden, bereits durch ein Update behoben. iPhones werden in der Regel schnell mit den verfügbaren Aktualisierungen beliefert, so dass die Fehler nur noch bei wenigen Kunden vorhanden sein dürften.

Alte Schwachstellen für Android

Auch für Android listet das CIA-Dokument zahlreiche Schwachstellen in einer Tabelle auf. Auch hier betreffen die meisten Fehler alte Versionen des Betriebssystems, etwa die Version 4.4 aus dem Jahr 2013. Die aktuelle Android-Version ist 7.0.

Geräte mit diesen alten Versionen sind in Deutschland durchaus noch im Umlauf. Wer sich in den vergangenen beiden Jahren ein neues Android-Smartphone gekauft hat, sollte aber eine aktuellere Version haben.

Dass in der Tabelle nur alte Schwachstellen stehen, muss nicht heißen, dass die CIA nicht auch neuere Telefone hacken kann – theoretisch. Sicherheitsforscher sehen Indizien, dass der Katalog nicht besonders gut gepflegt wurde. es kann also gut sein, dass der entsprechende Eintrag aus dem Jahr 2013 stammt und schlicht nicht aktualisiert worden ist.

Grund zur Panik besteht dennoch nicht. Jeden Monat schließt Google vergleichbare Sicherheitslücken. Und selbst eine bekannte, kritische und weit verbreitete Sicherheitslücke mit dem Namen Stagefright wurde nach Angaben von Google-Ingenieuren eher selten tatsächlich ausgenutzt.

Nutzer sollten aber unbedingt darauf achten, alle verfügbaren Updates einzuspielen – und die Update-Politik des Herstellers in künftige Kaufentscheidungen miteinbeziehen. Geräte, für die der Hersteller keine Angaben macht, wie lange sie mit Updates versorgt werden, sollten man schlicht nicht kaufen.

Angst vor dem smarten Fernseher

Viel Aufmerksamkeit hat auch ein Angriff auf ein Modell der sogenannten Smart-TVs der Firma Samsung bekommen. Tatsächlich gelang es der CIA offenbar, ein bestimmtes Modell des Herstellers zu kompromittieren und damit aus der Ferne das Mikrophon abzuhören.

Allerdings musste auch in diesem Fall ein Agent in der Wohnung sein, um den Hack zu aktivieren – zur Massenüberwachung ist auch diese Technik also eher nicht geeignet.

Verwirrende Angaben machte Wikileaks außerdem über die Nutzung verschlüsselter Messenger wie WhatsApp, Signal oder Telegram. Hier sei es der CIA möglich „die Verschlüsselung zu umgehen“. Was Wikileaks nicht schreibt: Dazu muss zunächst das zugrundeliegende Betriebssystems des Smartphones gehackt werden. Die Verschlüsselung selbst wird dabei nicht geknackt.

Es ist also weiterhin zu empfehlen, verschlüsselte Messenger zu nutzen und keine einfachen SMS-Nachrichten. Die Verschlüsselung von WhatsApp oder Signal gilt nach wie vor als sicher.

Fazit

Insgesamt hat Wikieaks die Folgen der CIA-Enthüllungen etwas übertrieben. Das soll nicht von dem, laut Wikileaks eigentlichen, Ziel der Quelle ablenken – einer kritischen Diskussion über die Fähigkeiten der Geheimdienste.

Diese Diskussion sollte auch in Deutschland, gerade angesichts des neuen, problematischen BND-Gesetzes unbedingt geführt werden. Aber bitte ohne Smartphonenutzer in Panik zu versetzen.