Erpressung durch iCloud-Fernlöschung: Wie Sie Ihr iPhone schützen

Unbekannte drohen damit, wahllos iPhones zu löschen – wenn Apple nicht zahlt. Die Angreifer sind offenbar in Besitz von iCloud-Zugangsdaten. Mac & i erklärt, wie man sich gegen einen derartigen Angriff wappnen kann.

In Pocket speichern vorlesen Druckansicht 75 Kommentare lesen
Erpressung durch iCloud-Fernlöschung: Wie Sie Ihr iPhone schützen
Lesezeit: 6 Min.
Inhaltsverzeichnis

Die iCloud-Fernortungsfunktion ist enorm praktisch bei Verlust oder Diebstahl: iPhone, iPad und Mac lassen sich jederzeit orten, aus der Ferne sperren und – wenn nötig – auch löschen. Fallen die iCloud-Zugangsdaten allerdings Dritten in die Hände, können diese die Funktionen gegen den Nutzer einsetzen: In der Vergangenheit wurde “Mein iPhone suchen” bereits für die Erpressung einzelner iPhone- und Mac-Besitzer verwendet, nun soll Apple zahlen: Unbekannte, die sich als “Turkish Crime Family” bezeichnen, fordern öffentlich Geld von dem Konzern. Sie drohen mit der Fernlöschung von iPhones am 7. April.

Apple hat bereits betont, es liege kein Einbruch in iCloud vor, die Zugangsdaten müssen aus anderen Quellen stammen – etwa durch die Wiederverwendung der gleichen Kombination von Benutzername und Passwort bei anderen kompromittierten Diensten. Die Angreifer geben vor, in Besitz der Zugangsdaten für mehrere hundert Millionen iCloud- respektive Apple-ID-Accounts zu sein, eine Behauptung, die sich nicht überprüfen lässt.

ZDNet wurde inzwischen eine Liste mit gut 50 Zugangsdaten zu iCloud-Konten übermittelt. Man konnte zehn der Nutzer persönlich kontaktieren, so die News-Seite, diese haben bestätigt, dass es sich tatsächlich um ihr echtes Passwort handelt. Fast alle räumten ein, ihr Kennwort schon seit Jahren unverändert zu verwenden, die meisten gaben zu, es auch bei anderen Diensten hinterlegt zu haben. Drei der Nutzer betonten gegenüber ZDNet allerdings, das Passwort ausschließlich für iCloud verwendet zu haben – wie die Angreifer in Besitz dieser Daten gelangt sind, bleibt unklar. Apple-ID- und iCloud-Nutzer sind regelmäßig das Ziel von Phishing-Angriffen, die teils sehr versiert durchgeführt wurden und den Nutzer etwa persönlich ansprechen.

Apples Passwortvorgaben für Apple-ID und damit auch iCloud.

Die erste Schutzmaßnahme ist die Änderung des Passwortes unter appleid.apple.com. Legen Sie unbedingt ein eigenes Passwort für die Apple-ID respektive iCloud fest, das sonst nirgends Verwendung findet. Apple verlangt seit längerem, dass das Passwort mindestens acht Zeichen sowie eine Mischung aus Groß- und Kleinbuchstaben sowie mindestens eine Zahl enthält.

Tragen Sie im Abschnitt “Sicherheit” in jedem Fall eine eigene “E-Mail-Adresse für Benachrichtigungen” ein, die nicht ihrer iCloud-E-Mail-Adresse entspricht. Apple schickt nämlich wichtige Zugriffswarnungen an diese Adresse, etwa über Logins oder den Versuch, das Passwort zurückzusetzen. Ist ein Angreifer in Besitz ihrer iCloud-Zugangsdaten, kann dieser die Mails sonst einfach löschen, wenn sie an die @icloud.com-Mail-Adresse zugestellt werden.

Prüfen Sie auf jeden Fall, ob ihr iCloud-Backup aktuell ist und starten Sie bei Bedarf ein frisches. Dies geht in den iOS-Einstellungen unter iCloud im Abschnitt Backup. Sollten Angreifer das iPhone tatsächlich aus der Ferne löschen, können Sie dann auf eine möglichst junge Datensicherung zurückgreifen, um das Gerät wiederherzustellen. Zusätzlich empfiehlt sich eine lokale und verschlüsselte Datensicherung mit iTunes. Dieses Backup enthält auch (fast) sämtliche Zugangsdaten. Im Unterschied zum iCloud-Backup landen die Zugangsdaten zudem auf einem neuen Gerät, praktisch etwa beim Umzug auf ein neues iPhone.

Auf Geräten ohne Touch ID schnell nervend, aber essentiell: Die Codesperre schützt iPhone und iPad.

Dringend zu raten ist auch das Aktivieren der Code-Sperre in den Einstellungen unter Touch ID & Code (oder nur “Code” auf älteren Geräten). Dies verhindert nicht nur im Alltag und bei Verlust, dass Dritte einfach so auf ihr Gerät zugreifen können, sondern hebelt auch einen Angriffsvektor von “Mein iPhone suchen” aus. Ein Angreifer kann mit Kenntnis Ihrer Zugangsdaten ein iPhone und iPad zwar aus der Ferne sperren, sie können es aber mit Ihrem Code jederzeit wieder öffnen. Ist jedoch kein Code gesetzt, lässt sich dieser aus der Ferne frisch festlegen – und Sie werden ausgesperrt.

Zu den drastischeren Gegenmaßnahmen zählt, “Mein iPhone suchen” zu deaktivieren. Dann kann zwar kein Dritter mehr das iPhone fernlöschen, aber im – wohl wahrscheinlicheren – Fall des Verlustes oder Diebstahls haben Sie dann auch keine Möglichkeit mehr, das Gerät leicht aufzuspüren. Das Abschalten von “Mein iPhone suchen” setzt zudem die Aktivierungssperre außer Kraft: Ein Dieb kann das gestohlene Gerät dann einfach frisch aufsetzen und weiterverwenden.

Sollten Sie tatsächlich keinen von Apples zahlreichen iCloud-Diensten verwenden, können Sie das iPhone oder iPad auch komplett abmelden in den Einstellungen unter “iCloud”. Auch damit gehen Fernortung und Aktivierungssperre natürlich verloren.

Richtig geschützt wird eine Apple-ID und damit auch der iCloud-Account nur durch Apples Zwei-Faktor-Authentifizierung. Unbefugte können dann nicht mehr auf Ihre iCloud-Daten zugreifen, auch wenn sie den Benutzernamen und das Passwort kennen. Wie Sie Apples Zwei-Faktor-Authentifizierung einrichten und was dabei zu beachten ist, können Sie in einem ausführlichen Mac & i-Artikel auch online nachlesen.

Apples Zwei-Faktor-Authentifizierung einrichten (10 Bilder)

Öffnen Sie zuerst die Einstellungen auf Ihrem iPhone oder iPad und wählen dort den Menüpunkt "iCloud" aus. Tippen Sie dann auf Ihren Account-Namen ganz oben.

Allerdings hilft selbst die Zwei-Faktor-Authentifizierung nicht gegen das derzeitige Bedrohungsszenario der Fernlöschung: Diese ist nämlich auch ohne zweiten Faktor möglich. Zwar fragt Apple den Autorisierungscode inzwischen ab, wenn der Löschvorgang über iCloud.com im Browser ausgelöst wird – aber nicht beim Zugriff über die App “iPhone-Suche” von einem anderen iOS-Gerät aus.

Dies soll Nutzern ermöglichen, ihr iPhone – das meist ja zugleich der “zweite Faktor” ist und die SIM mit der hinterlegten Mobilnummer enthält – im Verlustfall von einem anderen Gerät aus zu sperren und zu löschen. Offenbar versucht das Unternehmen derzeit aber, unrechtmäßige Löschversuche zu verhindern oder zumindest zu verzögern – in unseren Testläufen wurde ein ohne zweiten Faktor eingeleiteter Fernlöschbefehl nicht immer sofort ausgeführt. Über den Fremdzugriff auf "Mein iPhone suchen" werden Sie übrigens nicht informiert – weder per E-Mail noch durch einen Hinweisdialog auf Ihren anderen Geräten.

Mehr zum Thema:

(lbe)