CISA warnt: So härten Sie Ihr Smartphone gegen Spyware

Washington – Die US-Cybersicherheitsbehörde CISA schlägt Alarm: Kommerzielle Spyware und staatliche Spionagekampagnen nehmen dramatisch zu. Diese Woche veröffentlichte die Behörde neue Richtlinien zur Smartphone-Härtung – nicht nur für Regierungsbeamte, sondern für alle gefährdeten Nutzer.

Die Botschaft ist klar: Passwort und Updates reichen längst nicht mehr. Nutzer müssen jetzt handeln und ihre Gerätekonfigurationen radikal anpassen. Hintergrund sind aktuelle Berichte über Spyware-Varianten wie “Sturnus” und Angriffe, die gezielt Ende-zu-Ende-verschlüsselte Kommunikation ins Visier nehmen.

CISA fordert die sofortige Abkehr von SMS als Sicherheitsfaktor. SMS-basierte Multi-Faktor-Authentifizierung gilt als anfällig für SIM-Swapping und Abfangtechniken im Mobilfunknetz.

Die neuen Standards:

• FIDO-Sicherheitsschlüssel wie YubiKey oder Google Titan statt SMS-TANs
• Ende-zu-Ende-Verschlüsselung über Signal oder WhatsApp als Pflicht
• Achtung: Selbst verschlüsselte Messenger können durch Spyware kompromittiert werden

Android: Detaillierte Härtungsmaßnahmen

Für Android-Nutzer gibt CISA sehr konkrete technische Anweisungen. Die Behörde sieht das fragmentierte Android-Ökosystem als besonders gefährdet.

Sofort umsetzen:

• Privates DNS auf Cloudflare (1.1.1.1) oder Quad9 konfigurieren – das verbirgt DNS-Abfragen vor dem Mobilfunkanbieter
• RCS-Verschlüsselung prüfen: Den SMS-Nachfolger nur mit aktiver Ende-zu-Ende-Verschlüsselung nutzen
• Chrome-Einstellung “Immer sichere Verbindungen verwenden” aktivieren – blockiert unverschlüsselte HTTP-Verbindungen

Passend zum Thema Android-Härtung: Viele Nutzer übersehen einfache Schutzmaßnahmen, die Spyware-Angriffe verhindern können. Der kostenlose Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” erklärt Schritt für Schritt, wie Sie Privates DNS (z. B. Cloudflare), App-Berechtigungen, sichere Messenger-Einstellungen und weitere Einstellungen richtig setzen – ohne technische Vorkenntnisse. Ideal, wenn Sie WhatsApp, Online-Banking oder PayPal am Handy nutzen. Enthalten sind praktische Checklisten und leicht umsetzbare Anleitungen. Jetzt kostenloses Android-Schutzpaket herunterladen

iPhone: Lockdown-Modus wird Mainstream

Apple-Nutzer sollen den Blockierungsmodus aktivieren. Was ursprünglich für Journalisten und Dissidenten gedacht war, empfiehlt CISA nun breiter. Der Modus deaktiviert kritische Angriffsflächen wie JIT-JavaScript-Compiler im Browser – häufige Einfallstore für Zero-Click-Exploits.

Zusätzlich rät die Behörde zur Nutzung von iCloud Private Relay, um den Datenverkehr weiter zu verschleiern.

Warum jetzt?

Sicherheitsexperten beobachten eine Demokratisierung von Überwachungstechnologie. Was früher Geheimdiensten vorbehalten war, ist durch den Markt für kommerzielle Spyware wie Pegasus käuflich geworden.

“Wir sehen eine Verschiebung von opportunistischen Angriffen hin zu gezielter Persistenz auf mobilen Geräten”, analysieren Branchenexperten. CISA reagiert damit auch auf Vorfälle, bei denen Angreifer Schwachstellen in der Bildverarbeitung von Samsung-Geräten nutzten, um ohne Nutzerinteraktion Schadcode auszuführen.

Für Unternehmen bedeutet dies: BYOD-Richtlinien müssen dringend überarbeitet werden. Ein ungehärtetes privates Smartphone im Firmennetzwerk stellt ein unkalkulierbares Risiko dar.

Das Wettrüsten verschärft sich

Für 2026 erwarten Experten einen Paradigmenwechsel: Hardware-basierte Sicherheit wird zum Standard. Die CISA-Empfehlung zu physischen Sicherheitsschlüsseln zeigt, dass reine Softwarelösungen als unzureichend gelten.

Mittelfristig dürften Google und Apple die jetzt optionalen Härtungsmaßnahmen – verschlüsseltes DNS, aggressive Sandbox-Modi – zu Standardeinstellungen machen. Bis dahin liegt die Verantwortung beim Einzelnen: Wer sein digitales Leben schützen will, muss aktiv werden.

PS: Wer sein Gerät gegen kommerzielle Spyware schützen will, sollte die fünf Kernmaßnahmen kennen. Dieser Gratis-Report fasst die wichtigsten Schritte zusammen – von Privates DNS über sichere Chrome-Einstellungen bis zu physischen Sicherheitsschlüsseln – und liefert praktische Checklisten zum sofortigen Umsetzen. Die Anleitung ist kostenlos per E‑Mail verfügbar und sofort umsetzbar. Gratis-Schutzpaket für Android anfordern