DarkSword: Der iPhone-Angriff, der Nachrichten, Passwörter und private Daten in Minuten absaugen kann

Viele Menschen verlassen sich beim iPhone auf ein Gefühl, das Apple über Jahre aufgebaut hat: Sicherheit. Genau deshalb wirkt der Name DarkSword im ersten Moment fast wie eine überdrehte Schlagzeile. Dahinter steckt aber keine erfundene Medienfigur, sondern eine reale Angriffskette, die von Googles Threat-Intelligence-Team untersucht wurde. Google beschreibt DarkSword als vollständige iOS-Exploit-Kette, die sechs Schwachstellen miteinander kombiniert, um ein iPhone vollständig zu kompromittieren. Beobachtet wurde der Einsatz seit mindestens November 2025. Dokumentierte Kampagnen gab es unter anderem in Saudi-Arabien, der Türkei, Malaysia und der Ukraine. Das bedeutet allerdings nicht, dass nur dort ein Risiko besteht. Es bedeutet lediglich, dass die Angriffe dort konkret nachgewiesen wurden.

Für Leser ist deshalb eine andere Frage viel wichtiger als die Liste der Länder: Bin ich jetzt betroffen oder nicht? Genau hier gibt Apple eine erstaunlich klare Antwort. Wer sein iPhone aktuell gehalten hat, ist nach heutigem Stand gegen diese gemeldeten Web-Angriffe geschützt. Apple schreibt ausdrücklich, dass Geräte mit aktualisierter Software von diesen Angriffen nicht gefährdet waren. Kritisch wird es vor allem für Menschen, die noch mit älteren iOS-Versionen unterwegs sind. Denn laut Apple zielen die beschriebenen Angriffe auf veraltete iOS-Versionen über schädliche Webinhalte. Das heißt ganz praktisch: Die zentrale Frage lautet nicht „Wurde das schon bei uns gesehen?“, sondern „Ist mein iPhone aktuell oder nicht?“

Genau das macht DarkSword so unangenehm. Es geht nicht um einen simplen Trojaner, der ein paar Dateien stört oder auffällig Chaos auf dem Gerät verursacht. Es geht um eine mehrstufige Angriffskette, die am Ende hochentwickelte Schadsoftware auf das iPhone bringen kann. Google nennt nach erfolgreicher Kompromittierung drei Malware-Familien ausdrücklich beim Namen: GHOSTBLADE, GHOSTKNIFE und GHOSTSABER. Schon diese Namen erzeugen Aufmerksamkeit. Wirklich eindrucksvoll ist aber, was diese Werkzeuge konkret können.

Am häufigsten beobachtet wurde laut Google GHOSTBLADE. Diese Komponente ist nicht bloß irgendein „Datendieb“, sondern ein Werkzeug, das außergewöhnlich tief ins Gerät greifen kann. Googles Analyse nennt unter anderem iMessage-Datenbanken, Telegram-Daten, WhatsApp-Daten, Mail-Indizes, Anruflisten, Kontakte, Geräte- und Account-Informationen, Schlüsselbund-Daten, SIM-Informationen, Standortverläufe, bekannte WLANs samt Passwörtern, Fotos-Metadaten, Screenshots, iCloud-Drive-Dateien, Notizen, Kalenderdaten, Wallet-bezogene Daten, Safari-Verlauf, Cookies und sogar Inhalte aus der Health-Datenbank. Genau an dieser Stelle kippt die Geschichte von einer abstrakten IT-Meldung in etwas sehr Konkretes: Wer betroffen ist, riskiert nicht nur einzelne Dateien, sondern einen tiefen Einblick in sein gesamtes digitales Alltagsleben.

GHOSTKNIFE geht noch einen Schritt weiter. Google beschreibt diese Variante als Backdoor mit mehreren Modulen zum Auslesen von angemeldeten Konten, Nachrichten, Browserdaten, Standortverläufen und Aufnahmen. Zusätzlich kann GHOSTKNIFE laut Analyse Dateien vom Kontrollserver nachladen, Screenshots anfertigen und Audio über das Mikrofon aufzeichnen. Das ist der Punkt, an dem verständlich wird, warum solche Fälle nicht nur Fachleute beschäftigen. Wer bei Schadsoftware nur an gestohlene Passwörter denkt, unterschätzt die tatsächliche Reichweite solcher Werkzeuge erheblich.

Auch GHOSTSABER zeigt, wie flexibel moderne Angriffe geworden sind. Google beschreibt diese Komponente als JavaScript-Backdoor, die mit einem Kontrollserver kommuniziert und Befehle empfangen kann. Zu den dokumentierten Funktionen gehören unter anderem das Auflisten installierter Apps, das Durchsuchen von Dateien, das Ausführen von SQL-Abfragen auf Datenbanken, das Hochladen kompletter App-Daten und das Ausführen beliebigen JavaScript-Codes. Einzelne zusätzliche Funktionen für Audio, Standort oder Screenshots waren in beobachteten Proben teils schon angelegt. Das deutet darauf hin, dass solche Werkzeuge modular weiterentwickelt werden können. Besonders unangenehm ist außerdem, wie unauffällig diese Werkzeuge arbeiten sollen. Google beschreibt bei mehreren Komponenten Funktionen zum Löschen von Crash-Berichten, also genau jener Spuren, die bei technischen Problemen oder verdächtigen Vorgängen helfen könnten. Das iPhone muss deshalb nicht zwingend sichtbar Alarm schlagen. Von außen kann vieles wie normales Surfen aussehen, während im Hintergrund bereits Daten abgegriffen werden. Gerade diese stille Arbeitsweise macht den Fall so beunruhigend.

Trotzdem ist hier eine saubere Einordnung wichtig. Nicht jedes iPhone ist jetzt automatisch betroffen. Nach dem bisher bekannten Stand sprechen die dokumentierten Fälle für gezielte Einsätze, nicht für wahllose Massenangriffe auf jede beliebige Nutzerin und jeden beliebigen Nutzer. Für Leser in Deutschland heißt das also weder pauschale Entwarnung noch Panik. Die eigentliche Alltagsfrage bleibt schlicht: Ist mein iPhone aktuell oder veraltet? Wer Updates installiert hat, ist nach Apples Darstellung geschützt. Wer sie monatelang aufschiebt, gibt solchen Angriffen unnötig Raum.

Bin ich betroffen?

Ob du betroffen bist, hängt nicht nur davon ab, ob du Updates installiert hast, sondern auch davon, welches iPhone du nutzt.

Eher beruhigend ist die Lage zum Beispiel bei einem iPhone 11, iPhone 12, iPhone 13, iPhone 14, iPhone 15, iPhone 16 oder iPhone SE ab 2. Generation —

wenn das Gerät auf dem neuesten verfügbaren Stand ist. Diese Modelle können laut Apple noch mit iOS 26 betrieben werden und erhalten damit weiterhin wichtige Sicherheitsupdates. Wer also etwa ein iPhone 11 oder iPhone 13 besitzt und regelmäßig aktualisiert, ist nach aktuellem Stand deutlich besser geschützt.

Kritischer ist die Lage bei älteren Geräten, die keine aktuellen iOS-Versionen mehr erhalten oder seit langer Zeit nicht aktualisiert wurden. Apple betont ausdrücklich, dass Geräte mit den neuesten Versionen von iOS 15 bis iOS 26 bereits geschützt sind, während ältere, veraltete Systeme ein höheres Risiko tragen. Wer gar nicht weiß, welches Modell er besitzt, kann das direkt am Gerät nachsehen: Einstellungen > Allgemein > Info. Dort zeigt Apple das Modell und weitere Geräteinformationen an.

So prüfst du, ob ein Update bereitsteht

Der Weg ist einfach: Öffne auf dem iPhone Einstellungen, tippe auf Allgemein und dann auf Softwareupdate. Dort zeigt Apple an, welche iOS-Version installiert ist und ob ein Update verfügbar ist. Wenn eines bereitsteht, tippe auf „Laden und installieren“. Apple erklärt außerdem, dass sich automatische Updates aktivieren lassen. Dann kann das iPhone Updates nachts laden und installieren, während es am Strom hängt und mit WLAN verbunden ist.

Apple schreibt dazu sehr deutlich: Geräte mit den neuesten, aktualisierten Versionen von iOS 15 bis iOS 26 sind bereits geschützt. Für iOS 15 und iOS 16 hat Apple am 11. März 2026 zusätzliche Sicherheitsupdates veröffentlicht, um auch ältere Geräte besser abzusichern. Außerdem weist Apple darauf hin, dass Geräte mit iOS 13 oder iOS 14 auf iOS 15 aktualisiert werden müssen, um diese Schutzmaßnahmen zu erhalten.

So aktivierst du den Blockierungsmodus

Wenn ein Update nicht sofort möglich ist oder jemand ein besonders hohes Risiko sieht, nennt Apple den Blockierungsmodus als zusätzliche Schutzmaßnahme. Auf dem iPhone geht das so: Einstellungen > Datenschutz & Sicherheit > Blockierungsmodus. Dort tippst du auf „Blockierungsmodus aktivieren“, anschließend noch einmal auf „Blockierungsmodus aktivieren“ und danach auf „Aktivieren & Neustart“. Zum Schluss wird der Gerätecode abgefragt. Apple weist außerdem darauf hin, dass der Blockierungsmodus für iPhone, iPad und Mac separat aktiviert werden muss; bei einem iPhone wird er für eine gekoppelte Apple Watch automatisch mit aktiviert.

So deaktivierst du den Blockierungsmodus wieder

Auch das läuft wieder über Einstellungen > Datenschutz & Sicherheit > Blockierungsmodus. Dort kann der Modus wieder ausgeschaltet werden; Apple erklärt dabei, dass zum vollständigen Wechsel erneut ein Neustart gehört.

Wichtig ist: Der Blockierungsmodus ist keine normale Komfortfunktion, sondern eine Schutzstufe für Menschen, die von besonders schweren digitalen Angriffen betroffen sein könnten. Während er aktiv ist, werden bewusst Funktionen eingeschränkt, um die Angriffsfläche zu verkleinern.

Gilt das auch für Android?

Nach aktuellem Stand lautet die Antwort: Nein, DarkSword selbst ist ein iPhone- bzw. iOS-Thema. Google bezeichnet DarkSword ausdrücklich als iOS-Exploit-Kette. Android-Nutzer sind von diesem konkreten Angriff nach derzeitigem Stand also nicht betroffen. Das heißt aber nicht, dass Android automatisch sicher ist. Google veröffentlicht weiterhin regelmäßige Android-Sicherheitsbulletins; das Bulletin für März 2026 nennt Schwachstellen, die mit Patch-Leveln ab 01.03.2026 beziehungsweise 05.03.2026 behoben werden. Wer ein Android-Gerät nutzt, sollte deshalb genauso regelmäßig prüfen, ob Sicherheitsupdates verfügbar sind.

Am Ende bleibt damit eine Botschaft, die fast unspektakulär klingt, aber entscheidend ist: Die wichtigste Schutzmaßnahme ist oft kein Spezialwissen, sondern ein aktuelles System. DarkSword zeigt sehr eindrucksvoll, wie tief moderne Angriffe in ein Smartphone eindringen können. Apple zeigt zugleich, wie klar die wichtigste Gegenmaßnahme ist: prüfen, updaten, nicht monatelang aufschieben. Wer zusätzlich ein erhöhtes Risiko hat, kann den Blockierungsmodus als weitere Schutzstufe nutzen.

recherche Quellen

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

https://support.apple.com/en-us/126776

https://support.apple.com/de-de/105120

https://support.apple.com/de-de/guide/iphone/iph3e504502/ios

https://support.apple.com/de-de/guide/iphone/-iphe3fa5df43/ios

https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=de