Dein iPhone hat leider eine gravierende Sicherheitslücke – und wenn diese von Dieben ausgenutzt wird, kann das richtig teuer werden. In diesem Beitrag erkläre ich dir zunächst, worin genau diese iPhone Sicherheitslücke besteht und dann gebe ich dir 5 Tipps an die Hand, mit denen du dafür sorgst, dass sich die Diebe an deinem Gerät die Zähne ausbeißen.
Update: Apple schließt mit iOS 17.3 und der neuen Funktion „Schutz für gestohlene Geräte“ die hier beschriebene iPhone-Sicherheitslücke.
Wie wurde die iPhone Sicherheitslücke bekannt?
Obwohl es diese besagte Sicherheitslücke schon lange gibt, wurde sie erst kürzlich durch einen Beitrag des Wall Street Journal so richtig bekannt gemacht. Darin ging es um folgenden konkreten Fall, der jedoch stellvertretend ist für viele andere dieser Art.
Die New Yorkerin Reyhan Ayas besuchte eines Abends mit einer Freundin eine Bar. Als sie die Bar verließ und ihr iPhone herausholte, um ein Taxi zu rufen, wurde es ihr aus der Hand gerissen – und der Dieb machte sich damit aus dem Staub. „Ok, schon ärgerlich, aber auch noch nichts Besonderes“, denkst du jetzt vielleicht. Aber was dann passierte, war wirklich schockierend:
Nach eigener Aussage reagierte Reyhan nämlich direkt und versuchte nur wenige Minuten nach dem Diebstahl, über das iPhone ihrer Freundin das eigene iPhone als gestohlen zu markieren, damit die Diebe damit nichts anfangen können. Allerdings konnte Reyhan sich nicht in ihr Apple-ID Konto einloggen. Die Diebe hatten ihr Konto-Passwort bereits geändert.
Nun ist es schlimm genug, dass sie keinen Zugriff mehr auf des iPhone hatte, aber es kam noch viel schlimmer: Die Diebe hatten nicht nur das Passwort geändert, sondern auch alle anderen Apple-Geräte wie z.B. ihr MacBook vom Apple-Konto abgemeldet. Sie hatte damit auch keinen Zugang mehr zu ihren Daten am Computer zu Hause. Und am Tag darauf folgte der nächste Schock: sie bemerkte, dass etwa 10.000 Dollar von ihrem Bankkonto an fremde Konten überwiesen worden waren.
Von diesen Schäden abgesehen hatten die Diebe damit auch Zugriff auf Reyhans iCloud mit allen dort gespeicherten Bildern und Dokumenten. Von einem Erpressungsversuch sahen die Diebe zwar offenbar ab, aber du erkennst jetzt glaube ich, welche weitreichenden Folgen dieser zunächst gewöhnlich wirkende Diebstahl hatte.
Als Kirsche auf der Diebstahl-Sahnetorte konnten die Diebe am Ende das iPhone vom iCloud-Konto abkoppeln, die Daten darauf löschen und es komplett funktionsfähig weiterverkaufen. Der übliche Trost, dass gestohlene iPhones abseits vom Wert der verbauten Einzelteile keinen Wiederverkaufswert haben, weil sie bei Diebstahl gesperrt werden können – nicht einmal das stimmte in diesem Fall.
Jetzt stellt sich die Frage: Wie konnte das genau geschehen, worin bestand die iPhone Sicherheitslücke, die die Diebe ausgenutzt haben – und wie hätte Reyhan es verhindern können? Die Polizei rekonstruierte den Hergang so:
Wahrscheinlich beobachtete ein Komplize des Diebs Reyhan in der Bar dabei, wie sie ihr iPhone mit einem eingetippten Code entsperrte. Diesen Code gab er an seinen Kumpanen weiter, der sich das iPhone später draußen schnappte.
Worin besteht die iPhone Sicherheitslücke?
Und hier kommen wir zu dem Schwachpunkt im iPhone-Kontensystem, den die Diebe ausnutzen konnten. Denn den Dieben genügte der Entsperrcode, um das Apple ID-Passwort zu ändern. Du kannst das selbst bei deinem iPhone nachvollziehen, es muss dazu nur die – an sich empfehlenswerte 2 Faktor-Authentifizierung aktiv sein.
Tippst du in den iPhone-Einstellungen auf deinen Namen und dann auf „Passwort & Sicherheit“, wirst du tatsächlich nur nach dem Entsperrcode gefragt – ist dieser korrekt, kannst du einfach ein neues Passwort setzen. Und um das Ganze auf die Spitze zu treiben, kann unser iPhone-Dieb danach noch in die Einstellungen für „Accountwiederherstellung“ gehen und dort deinen vertrauensvollen Kontakt entfernen (falls du diesen eingerichtet hast) und dann den Wiederherstellungsschlüssel aktivieren.
Oder, falls es bereits einen Wiederherstellungsschlüssel gibt, kann er einen neuen generieren – und nur wer über diesen neuen Schlüssel verfügt, ist in der Lage, den Zugang zu dem betreffenden Apple ID-Konto wiederherzustellen, worauf das iPhone auch hinweist – sehr schlecht, wenn dieser jemand der Dieb ist. Du hast dann absolut keine Chance mehr, in dein Konto zu kommen und auch der Apple Kundendienst wird dir nicht mehr helfen können.
Bei allem Verständnis dafür, dass Apple die iPhone-Nutzung so bequem wie möglich machen möchte – das ist eine wirklich gravierende iPhone Sicherheitslücke, und sie wäre sooo einfach zu beheben: Das iPhone müsste beim Ändern des Apple ID-Passworts nur nach dem aktuell gültigen Apple-ID Passwort fragen, bevor es dir erlaubt, ein neues zu setzen. Aber das ist leider nicht der Fall.
Vor dieser eine eingebauten Schwachstelle bist du nicht 100% geschützt, nur weil du meistens Face ID nutzt. Denn, das kennst du bestimmt, falls Face ID mal nicht funktioniert, z.B. weil du eine Sonnenbrille oder Maske trägst, dann kannst du als Ersatz dein iPhone immer mit den Entsperrcode entsperren – und wenn den jemand erspäht hat, ist dein iPhone genauso in Gefahr wie das von Reyhan. Es ist also ein Problem, das alle iPhone-Nutzer angeht, egal ob sie Face ID oder Touch ID nutzen oder prinzipiell nur den Entsperrcode.
Video: TEURE iPhone Sicherheitslücke: So schließt du sie
Was kannst du nun tun, um die iPhone Sicherheitslücke einzudämmen? Wenn du die folgenden 5 Tipps anwendest, verringerst du dein Risiko auf ein absolutes Minimum.
1. Sicheren Entsperrcode wählen.
Das beginnt damit, dass dein Code natürlich nicht 0000 oder 1234 oder 4321 oder dein Geburtsjahr sein sollte – aber vierstellige Codes sind generell nicht besonders sicher – bestimmt hast du einen Freund oder eine Freundin schon mal einen solchen Code eintippen sehen und konntest an den Fingerbewegungen genau erkennen, was für ein Code es war – dafür muss man kein ausgebildeter Dieb sein.
Wenn du unter „Face ID & Code“ auf „Code Ändern“ gehst, kannst du hier unter Codeoptionen eine andere Variante wählen. Entweder den Eigenen numerischen Code – der lässt dich so viele Ziffern eingeben, wie du möchtest – oder sogar Eigener alphanumerischer Code, dann kannst du auch Buchstaben und Sonderzeichen hinzufügen und aus dem Entsperrcode ein richtiges Passwort machen. Gerade letzteres macht das Spicken schon deutlich schwerer als ein einfacher vierstelliger Zahlencode.
Natürlich möchte niemand zum iPhone-Entsperren ein 34-stelliges kryptisches Passwort eingeben, aber es gibt ja auch viele Möglichkeiten zwischen den Extremen. Wähle also einen Entsperrcode, der für dich noch immer einfach einzugeben ist, aber eben nicht beim kurzen Blick über die Schulter sofort erkannt werden kann.
2. Nutze Face ID oder Touch ID
Nachdem du den Entsperrcode angepasst hast, ist die zweite Maßnahme: Nutze wo immer möglich in der Öffentlichkeit nur Face ID oder Touch ID und vermeide es, den Entsperrcode überhaupt einzugeben. Ok, das geht nicht immer. Falls du den Entsperrcode doch einmal eingeben musst, dann achte darauf, dass deine Eingabe nicht von anderen eingesehen werden kann. Gehe genau so vor, wie wenn du am Bankautomaten deine PIN eingibst, hab das iPhone also dabei möglichst nah „am Mann“, wie man so schön sagt.
Stelle außerdem sicher, dass unter Face ID & Code die beiden Schieberegler für „Aufmerksamkeitsprüfung für Face ID“ und „Aufmerksamkeitssensible Funktionen“ aktiviert sind. Die Aufmerksamkeitsüberprüfung sorgt z.B. dafür, dass niemand dein iPhone mit deinem Gesicht entsperren kann, wenn du bewusstlos sein solltest.
3. Benutze einen anderen Passwort-Manager als den iCloud-Schlüsselbund
Wenn jemand die Kontrolle über dein iPhone hat und den Entsperrcode kennt, dann hat er oder sie auch Zugriff auf deine im iCloud Schlüsselbund gespeicherten Kontodaten, also Nutzernamen und Passwörter für Anwendungen.
In der täglichen Nutzung ist das zwar praktisch, aber es vergrößert das Schadenspotenzial bei einem derartigen Diebstahl eben auch immens. Die Diebe in Reyhans Fall kamen genau auf diese Weise in ihr Bankkonto, denn die Logindaten der Banking-App hatte sie im iCloud-Schlüsselbund gespeichert.
Für dieses Problem gibt es eine sehr einfache Lösung: Verwende einen anderen Passwortmanager anstelle des iCloud Schlüsselbunds – und sichere diesen mit einem Master-Kennwort, das natürlich nicht mit deinem iPhone-Entsperrcode identisch sein darf. Das klingt vielleicht umständlich, aber ich kann aus Erfahrung sagen, dass das nach der Einrichtung genauso schnell geht wie mit Apples Passwort-Manager.
4. Überprüfe Inhalte deiner iCloud-Ordner
Überlege dir immer gut, welche Inhalte du iCloud anvertraust. Am besten bewahrst du dort keine Unterlagen bzw. Medien auf, die sich dazu eignen würden, dich zu erpressen. Gehe ruhig einmal die Online-Ordner durch und überlege dir, ob du im Zweifel damit leben könntest, falls deren Inhalte an die Öffentlichkeit kämen. Falls du wichtige Dokumente in der Cloud belassen willst, damit du sie nicht verlierst, dann verschiebe sie zumindest in einen Ordner, dem du eine zusätzlichen Passwortabfrage hinzufügst.
5. Sperre den Zugang zu den Apple-ID Einstellungen
Falls du wirklich ganz sicher gehen möchtest, dass kein Dieb dein Apple-ID Passwort ändern kann, gibt es noch die Möglichkeit, den Zugriff zu den Apple-ID Einstellungen komplett zu sperren. Dann nützt es dem Dieb nämlich nichts, wenn er deinen Entsperrcode kennt, er kann gar nicht mehr in den Bereich gelangen, in dem man das Apple ID Passwort ändert.
Um diese Sperre einzurichten, gehst du in den Einstellungen auf Bildschirmzeit und – falls noch nicht geschehen – aktivierst du einmal die Bildschirmzeit. Dann tippst du unten auf Beschränkungen und aktivierst den Schieberegler „Beschränkungen“. Jetzt scrollst du runter zu „Account-Änderungen“ und wählst „nicht erlauben“.
Um den Schutz zu aktivieren, tippst du dann noch auf „Bildschirmzeit-Code verwenden“ und wählst hier einen Code, der natürlich nicht identisch mit deinem Entsperrcode sein darf. Einmal bestätigen und dann fragt dich dein iPhone noch, ob du dir als Schlupfloch diesen Bildschirmzeit-Code an deine aktuelle Apple ID-Adresse schicken lasen willst, falls du ihn vergisst.
Dies ist in jedem Fall zu empfehlen, da es dann notwendig ist, die aktuelle Apple-ID E-Mail-Adresse sowie das Passwort einzugeben, bevor der Bildschirmzeit-Code geändert werden kann. Und da die Diebe in unserem Beispielfall nur den Entsperrcode kennen, kommen sie hier nicht weiter.
Fazit: Schwere akute iPhone Sicherheitslücke
Wenn du alle 5 Tipps umsetzt, können Diebe zwar immer noch dein iPhone klauen – aber sie werden mit Sicherheit nicht so einen verheerenden Schaden anrichten können, wie im Fall der armen Reyhan.
Was denkst du: Ist es nicht erstaunlich, dass Apple diese iPhone Sicherheitslücke nicht schließt, auch nicht in den 2 Monaten, die seit dem Erscheinen des all Street Journal-Beitrags bereits vergangen sind und obwohl dieser recht hohe Wellen geschlagen hat? Mich interessiert deine Meinung dazu, schreib sie mir in die Kommentare.
Auch interessant: 24 iOS 16 Einstellungen, die du SOFORT abschalten solltest