iPhone-Klau: So leicht kommen Diebe an alle eure Daten

Stellt euch vor, euch klaut jemand das iPhone und innerhalb weniger Minuten habt ihr keinen Zugriff mehr auf eure Apple ID. Ihr könnt weder das iPhone orten noch euer Passwort ändern, zudem schrumpft allmählich euer Bankguthaben. Was zunächst nach einem Horrorszenario klingt, hat sich dieser Tage wiederholt in den USA so zugetragen. Bei dem iPhone-Klau kommt eine simple Masche zum Einsatz, die sich eine Schwachstelle in Apples Sicherheitsarchitektur zunutze macht. Wie die Kriminellen dabei vorgehen und wie ihr euch schützen könnt, erfahrt ihr hier.

iPhone-Code erlaubt Zugriff auf alle Daten und Passwörter

Als iPhone-Nutzer ist man geneigt zu glauben, dass die eigenen Daten und Privatsphäre optimal geschützt sind. Schließlich hängt Apple seine Bemühungen, die Sicherheit der Nutzer immer weiter zu verbessern, gerne an die große Glocke. Allerdings ist man auch als iPhone-Besitzer nicht vor Diebstahl und folgenschweren Konsequenzen gefeit, wie ein aktueller Bericht des Wall Street Journal zeigt.

Demnach häufen sich derzeit Fälle, in denen Nutzern das iPhone geklaut wird und diese nur kurze Zeit später aus ihren Apple-ID-Konten ausgesperrt werden. Dafür müssen die Diebe neben dem Smartphone nur in den Besitz des Passcodes zum Entsperren des Gerätes gelangen, welches vor dem Klau ausgespäht wird. Dabei wird gezielt nach Situationen Ausschau gehalten, in denen Nutzer anstelle von Face ID oder Touch ID ihren PIN-Code manuell eingeben. Anschließend verschaffen sich die Kriminellen Zugang zum iPhone und sperren die Geschädigten binnen kürzester Zeit aus dem eigenen Apple-Konto aus, indem sie das Apple-ID-Passwort ändern. Das geht – sofern man den iPhone-Code kennt – ganz einfach in den Einstellungen.

Danach können die Diebe auch die „Mein iPhone suchen“-Funktion deaktivieren, sodass es nicht von einem anderen Gerät aus lokalisiert und aus der Ferne gesperrt bzw. gelöscht werden kann. Mit dem Ändern der vertrauenswürdigen Telefonnummer und der Erstellung eines einmaligen Wiederherstellungsschlüssels kann das Apple-ID-Passwort dann auch nicht mehr zurückgesetzt werden. In der Folge ist der Account für immer verloren und die Langfinger können mit den erbeuteten Daten tun und lassen, was sie wollen. Damit fällt nicht nur das iPhone, sondern auch die gesamte digitale Existenz des Opfers in die Hände der Diebe. Schließlich haben sie dank Apples Passwort-Sammelstelle, dem iCloud-Schlüsselbund, Zugriff auf allerlei Kennwörter, z. B. für E-Mail-, Social-Media- und Banking-Apps.

Laut der Reportage des WSJ sind Fälle bekannt, in denen nach wenigen Stunden mehrere Tausend US-Dollar von den Bankkonten Betroffener entwendet wurden. Und das alles nur mit dem Wissen über den iPhone-Code, der quasi wie eine Art Generalschlüssel zu allerlei schützenswerten persönlichen und finanziellen Informationen fungiert.

So könnt ihr euch schützen

Apple zeigt sich angesichts der jüngsten Angriffswelle machtlos und verspricht in vagen Worten den Schutz der Nutzerkonten in Zukunft besser zu schützen. Wenn aber diese Methode Schule macht, werden wir in absehbarer Zeit auch hierzulande immer mehr solcher Fälle sehen. Man sollte sich also nicht in falscher Sicherheit wiegen, nur weil Apple öffentlichkeitswirksam den Schutz von Nutzerdaten und Privatsphäre propagiert. Es hilft aber auf jeden Fall ein paar einfache Dinge bei der Nutzung des iPhones zu berücksichtigen, um auf der sicheren Seite zu sein. Folgendes könnt/solltet ihr tun:

• Immer Face ID oder Touch ID zum Entsperren nutzen
• Bei manueller Passcode-Eingabe das iPhone mit einer Hand verdecken
• Anstelle von iCloud-Schlüsselbund alternative Passwortmanager nutzen, um Zugriff auf alle Passwörter mittels iPhone-Code zu verhindern.
• Alphanumerischen Passcode einrichten (zu finden unter „Einstellungen“ -> „Face ID & Code“ -> „Code ändern“ -> „Codeoptionen“ -> „Eigener alphanumerischer Code“)
• Eigenen Wiederherstellungsschlüssel festlegen, um das Ändern des Apple-ID-Passwortes zu verhindern (zu finden unter „Einstellungen“ -> eigener Name -> „iCloud“ -> „Erweiterter Datenschutz“ -> „Accountwiederherstellung“ -> „Wiederherstellungsschlüssel“).