iCloud Konto kann nur mit iPhone Passcode übernommen werden

iphone passcode

Die Sicherheit des iCloud Accounts hängt an sechs Ziffern.

In einem aktuellen Bericht des Wall Street Journals wird darauf hingewiesen, dass es einen neuen Trend bei iPhone Diebstählen gibt: es wird vor dem Klau nämlich der iPhone Passcode des Gerätes ausgespäht.

Das heißt es steht jemand so hinter Euch, dass bei einer Eingabe des Zahlencodes dieser erkannt werden kann. Da die meisten den sechstelligen Zahlencode wählen ist das nicht schwer zu merken und auch recht einfach zu erkennen, da die Ziffern auf dem Bildschirm ja immer die gleiche Position haben.

Wer jetzt denkt: gut, ist halt das iPhone weg, aber ich kann es ja noch via iCloud löschen, denkt zwar nicht komplett falsch, hat dafür aber nur Minuten. Grund dafür ist ein Versäumnis in Apples Weg das Passwort des iCloud Accounts zu ändern.


iCloud Passwort kann ohne das aktuelle Passwort geändert werden!

Möchte man nämlich in den Einstellungen das iPhone aus der iCloud abmelden (Einstellungen > Euer Name > letzte Option) oder Wo ist? (Einstellungen > Euer Name > Wo ist?) abschalten fragt das iPhone aus Sicherheitsgründen nach dem aktuellen iCloud Passwort. Dieses geschieht aber nicht wenn man das Passwort selbst ändern will! Und das ist das Einfallstor für die Diebe.

password security ios
enter iphone passcode
icloud change password

Diese gehen auf Einstellungen > Euer Name > Passwort & Sicherheit und ändern dort einfach in minutenschnelle das Passwort für Euren iCloud Account. Schaut Euch die Option mal an wenn Ihr es nicht glaubt. Das iPhone fragt lediglich nach dem iPhone Passcode, der ja vorher ausgespäht wurde, nicht jedoch nach dem aktuellen iCloud Passwort!


Daten, Erinnerungen, Geld: alles weg.

Damit seid Ihr sofort alles los: Alle Daten auf dem iPhone, alle Daten in der iCloud inklusive aller Fotos. Da das direkt nach dem Diebstahl passiert gibt es keine Möglichkeit mehr das iPhone zu löschen, was ja fast noch ertragbar wäre. Aber da das iCloud Passwort geändert wurde sind auch alle Daten in der iCloud futsch. Alles.

Aber es kommt noch schlimmer: wenn ihr Onlinebankingapps habt, haben diese zur Sicherheit noch ein Extra Passwort. Dieses kann im iCloud Passwortmanager gespeichert werden. Solltet Ihr diesen Passwortmanager nutzen sind auch alle Onlinebankingapps frei zugänglich, da ja der Dieb mit dem neuen iCloud Passwort als regulärer Besitzer gilt und Eure Konten werden leer geräumt.

Zudem können auch alle mit dem iCloud Account verbundenen Geräte ohne weitere Überprüfung gelöscht und gesperrt werden. Viel Spaß dabei Apple nachzuweisen, dass Ihr die rechtmäßigen Besitzer seid.


Tipps: Erhöht die Sicherheit selbst

Viele werden jetzt sagen: selbst Schuld wer sich den Sicherheitscode abgucken lässt. Nun ja. Manchmal geht das nicht anders, weil das iPhone die neue Brille doch nicht ganz korrekt erkennt beim Supermarkt an der Kasse. Und manchmal fragt das iPhone zufällig auch einfach zwischendurch den Code ab – was die Sicherheit senkt und nicht erhöht. Das grundsätzliche Problem ist jedoch, dass Apple es ermöglicht nur mit dem Gerätecode, der ja eigentlich nur den Zugang aufs iPhone ermöglichen sollte, die komplette iCloud zu übernehmen. Vor der Änderung des iCloud Passwortes das alte nicht abzufragen ist extrem unsicher. Stattdessen wird der Gerätecode abgefragt, den der Dieb ja gerade eingegeben hat um überhaupt in die Einstellungen zu gelangen.

Was also tun? Der Bericht des Wall Street Journals schlägt ein paar Dinge vor und wir ergänzen auch noch etwas.

  1. Passcode komplexer machen: In Einstellungen > Face ID & Passwort > Passwort ändern könnt Ihr von einem sechsstelligen Zahlencode auf einen alphanumerischen wechseln. Das bietet Euch lange Passwörter mit Buchstaben. Das ist deutlich sicherer, erhöht aber den Aufwand, wenn Face ID nicht will. Anzuraten wenn Ihr sehr wichtige Daten auf dem iPhone habt
  2. Bei Bankingapps einstellen, dass diese auch noch mit einem Passwort entsperrt werden müssen, bevor man sie nutzen kann. Dabei sollte der Code natürlich nicht der Gleiche sein wie der Gerätecode des iPhones. So kann man eine zweite Sicherheitsebene einziehen: die Diebe kommen zwar an die kompletten iCloud Daten, können aber zumindest die Bankingapps nicht nutzen.
  3. Auf gar keinen Fall den integrierten Passwortmanager von Apple nutzen. Der gibt die Passworte nach Diebstahl des iPhones sofort an die Diebe frei und damit auch die Bankingapps, wenn Ihr deren Passwörter dort speichert. Also am besten gleich alle Passwörter dort löschen.
  4. Stattdessen einen anderen Passwortmanager verwenden, beispielsweise unseren Favoriten Bitwarden. Dieser lässt sich mit einem separaten Passwort schützen. So sind alle Passwörter immer noch praktisch nutzbar, liegen aber nicht frei nur weil jemand den Entsperrcode des iPhones beobachtet hat.
  5. Für Partyabende eventuell ein altes iPhone mit separater Apple ID verwenden. Denkt daran, dass bei dem aktuellen Trick nicht nur Zugriff auf Eure iCloud Daten bestehen, es können auch alle anderen iPads, iMacs und MacBooks gesperrt, gelöscht und deaktiviert werden. Eure gesamte Infrastruktur ist angreifbar!
  6. Speichert keine Fotos auf dem iPhone, die wichtige Daten enthalten, wie vielleicht Eure Ausweise, wichtige Versicherungsdaten etc. Wenn überhaupt, verwendet dafür eine App, die sich wiederum mit einem separaten Passwort sichern lasst.
  7. Falls Ihr iClouds Fotos nutzt, macht auf Eurem Mac immer auch ein richtiges Backup, ladet die Fotos also auf eine externe SSD oder Festplatte runter. Ist der Gerätecode Eures iPhones bekannt sind sonst alle Eure Erinnerung für immer weg. Es gibt kein Backup bei Apple.
  8. Solltet Ihr in der Öffentlichkeit den Gerätecode eingeben müssen, deckt das Display mit der anderen Hand ab. Sieht bescheuert aus, aber aktuell hängt das ganze digitale Leben bei Apple an den paar Zahlen.


Fazit: Apple muss grundlegende Passwortabfrage nachreichen

Wenn man die weitgehenden Probleme sieht ist es unabdingbar, dass Apple bei Änderung des iCloud Passwortes das aktuelle Passwort abfragt – wie es auch auf Macs oder so gut wie jeder anderen Anwendung der Welt der Fall ist. Wir gehen davon aus dass Apple sich nicht großartig zu diesem Umstand äußert und in einem der nächsten iOS Updates diese Änderung einführen wird.

Aber selbst wenn dieser grundlegende Fehler abgestellt wird, gelten viele der obigen Tipps weiterhin. Die Wichtigste dabei: Die Bankingapps mit eigenen Passwörtern sichern und nicht Apples Passwortmanager verwenden. Und, wenn Ihr an Euren Erinnerungen hängt, manuelle Backups von der iCloud Fotobibliothek machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Close