Wird ein iCloud-Konto geplündert, ist Fahrlässigkeit die Ursache. Wir zeigen, wie die Apple-Wolke sicher bleibt.
Wir zeigen, wie die iCloud sicher bleibt
Die Nackt-Selfies der Promis bewegen das Internet. Doch die Diskussion dreht sich weniger um die neuen Einblicke, sondern um eine Frage: «Wie sicher ist Apples iCloud»? Die Antwort lautet: Sehr sicher. Apple betreibt in dieser Hinsicht einen enormen Aufwand auf allen Ebenen. Bis heute ist kein Fall bekannt, bei dem ein Eindringling auch nur in die Nähe der Daten gekommen wäre.
Deshalb war der «Einbruch» möglich
Warum prominente Damen aus dem US-Showgeschäft trotzdem um ihre Nackt-Selfies erleichtert wurden, ist unterdessen klar: Die Konten wurden durch einen «Brute-Force»-Angriff geknackt («rohe Gewalt»), bei dem alle möglichen Kennwörter durchprobiert wurden. Dazu wurde der Apple-Dienst «Find My iPhone» mit einem Script namens iBrute bombardiert. Hier lag tatsächlich eine Schwachstelle seitens Apple vor, da es scheinbar möglich war, beliebig viele Kennwörter über diesen Dienst auszuprobieren. (Unterdessen werden solche Massenanmeldungen verhindert.) So war es laut Experten möglich, bis zu einer Million Kennwörter pro Tag auszuprobieren. Das klingt nach viel – doch wenn ein starkes, längeres Kennwort verwendet wird, ist dies nicht einmal ein Tropfen auf den heissen Stein. Lange Rede, kurzer Sinn: Die iCloud-Accounts der Promis konnten nur deshalb angezapft werden, weil die Kennwörter sehr schwach waren.
Alte Kennwörter sind vielleicht unsicher
Die Risiken bei schwachen Kennwörtern sind natürlich auch bei Apple ein Thema. Bereits seit einiger Zeit ist es so, dass beim Anlegen einer neuen Apple-ID ein längeres, kompliziertes Kennwort verwendet werden muss. Dieselben Auflagen werden auch gemacht, wenn ein bestehendes Kennwort geändert werden soll. Problematisch sind die alten Kennwörter. Vor einigen Jahren reichten 8 Zeichen ohne jegliche Raffinesse aus. Apple hat sich nie dazu durchringen können, die bestehenden Kunden zum Wechsel auf ein sicheres Kennwort zu zwingen. Und das gereichte der weiblichen Prominenz zum Nachteil. Damit sind die Ursachen geklärt. Sehen wir uns an, durch welche Massnahmen ein iCloud-Account und die Apple-Geräte sicher bleiben. Und natürlich starten wir mit dem Kennwort. Lesen Sie auf der nächsten Seite: Ein besseres Kennwort für die Apple-ID
Ein besseres Kennwort für die Apple-ID
Am einfachsten ändern Sie das Kennwort der Apple-ID, indem Sie am Rechner die Adresse appleid.apple.com/de/ aufrufen und anschliessend auf «Ihre Apple-ID verwalten» klicken:
Melden Sie sich mit Ihrer Apple-ID an. Falls das Kennwort nicht den aktuellen Richtlinien von Apple entspricht, werden Sie aufgefordert ein neues Kennwort zu definieren. Und diese Vorgaben haben es in sich:
Vorzugsweise verwenden Sie ein Kennwort, das Sie sich mit ein wenig Übung merken können, zum Beispiel «Finger-Hund18!». Denn dieses Kennwort müssen Sie jedes Mal eingeben, wenn Sie im App Store eine App kaufen. Dieses Problem haben die Besitzer eines iPhone 5s nicht, weil sie mit ihrem Fingerabdruck bezahlen können. So getan, ist das iCloud-Konto gegen Brute-Force-Attacken geschützt, denn der Lapsus mit den beliebig vielen Anmeldeversuchen wird Apple nicht noch einmal unterlaufen.
Sicherheitsfragen
Die Sicherheitsfragen sind dazu da, Ihre Identität beim Ändern des Kennwortes zu bestätigen. Damit wird verhindert, dass ein erschlichenes Kennwort den Besitzer des Accounts aussperren kann, weil der Eindringling das Kennwort ändert. Klicken Sie dazu auf den Bereich «Passwort und Sicherheit». Geben Sie Ihr (richtiges!) Geburtsdatum an und wählen Sie eine Sicherheitsfrage aus dem Einblendmenü:
Die Antworten zu den Sicherheitsfragen sollten unbedingt erlogen sein. Wenn Sie Ihr erstes Geld als Elektriker verdient haben, dann dürfte das einigen Leuten bekannt sein. Vielleicht findet sich die Antwort sogar in Ihrem Facebook-Profil. Beantworten Sie deshalb die Frage nach Ihrem ersten Beruf zum Beispiel mit «Sandkasten». Falsche Antworten bedingen, dass man all diese Fehlinformationen irgendwo aufschreibt, vorzugsweise in einer spezialisierten Software wie 1Password (Test). Denn morgen wissen Sie vielleicht bereits nicht mehr, dass Sie Ihre berufliche Laufbahn als junger Sandkasten begonnen haben. Das bringt uns nahtlos zum nächsten Thema. Sicherheitsfragen sind zwar wichtig – aber sie sind auch lästig, weil man sie sich verlässlich merken oder aufschreiben muss, was wiederum ein Sicherheitsrisiko darstellen kann. Deshalb bietet Apple eine «Zwei-Faktor-Authentifizierung» an, damit die Apple-ID nicht nur sicher, sondern auch komfortabel zu verwalten ist. Lesen Sie auf der nächsten Seite: Zwei-Faktor-Authentifizierung einrichten
Die Zwei-Faktor-Authentifizierung
Bei der «Zwei-Faktor-Authentifizierung» reichen Apple-ID und Kennwort nicht aus, um einen iCloud-Account zu modifizieren. Denn jede Änderung muss vorher durch einen vierstelligen Code bestätigt werden, der auf das Mobiltelefon des Besitzers übertragen wird. Wichtig: Diese zusätzliche Sicherheitsstufe schützt das Konto vor Manipulationen – sie nützt jedoch nichts, wenn sich jemand durch ein erschlichenes Kennwort den Zugang zu den Daten verschafft! Die Zwei-Faktor-Authentifizierung kommt bei Apple in den folgenden Situationen zum Einsatz:
Sie wollen die Daten zu Ihrer Apple-ID bearbeiten (zum Beispiel das Kennwort ändern).
Sie kaufen mit einem neuen Apple-Gerät zum ersten Mal im iTunes Store, dem Mac App Store oder im iBooks Store ein.
Sie benötigen Support von Apple, der im Zusammenhang mit Ihrer Apple-ID steht.
Die Prozedur für die Aktivierung ist einfach, aber sie bedingt eine Menge Klicks. Lassen Sie sich davon nicht abschrecken, die Sache ist halb so wild.
Zwei-Faktor-Authentifizierung einrichten
Melden Sie sich erneut unter appleid.apple.com/de/ mit jener Apple-ID an, die Sie durch die Zwei-Faktor-Authentifizierung ergänzen möchten. Klicken Sie auf den Bereich «Passwort und Sicherheit». Beantworten Sie die Sicherheitsfragen.
Klicken Sie unter «Zweistufige Bestätigung» auf «Erste Schritte».
Der nächste Schritt weist Sie darauf hin, wie die Prozedur abläuft. Klicken Sie auf «Weiter», genauso wie auf der nächsten Seite.
Es gibt aber auch Warnungen:
Sobald Sie die Sicherheitseinstellungen aktualisiert haben, ist eine Wartezeit von drei Tagen angesagt, bevor die Zwei-Faktor-Authentifizierung aktiviert wird. Das gehört zu den Sicherheitsmassnahmen, denn just in diesem Moment könnte sich ja eine unbefugte Person am Konto zu schaffen machen und den eigentlichen Besitzer damit aussperren:
Nach Ablauf der Frist erhalten Sie eine E-Mail – und zwar sowohl an die zu schützende Apple-ID, als auch an die Backup-Adresse (sofern hinterlegt).
Melden Sie sich erneut unter der Adresse appleid.apple.com an und klicken Sie auf den Bereich «Passwort und Sicherheit» und beantworten Sie die Sicherheitsfragen – zum letzten Mal. Klicken Sie erneut auf «Erste Schritte» und durchlaufen Sie die Informationen und Warnungen, die Sie bereits kennen. So getan, können Sie jetzt ein «vertrauenswürdiges Gerät» bestimmen, das in Zukunft für Änderungen am Konto benötigt wird. Jedes Mobiltelefon ist dazu qualifiziert, weil es sich dabei um eine ganz gewöhnliche SMS handelt.
Geben Sie Ihre Telefonnummer ein und warten Sie ein paar Sekunden, bis eine SMS mit dem vierstelligen Code eintrifft. Geben Sie diesen ein.
Als nächstes liefert Ihnen das System den Wiederherstellungsschlüssel. Drucken Sie ihn aus und verwahren Sie ihn an einem sicheren Ort. Danach muss der Schlüssel manuell eingegeben werden. So wird sichergestellt, dass er wirklich irgendwo auf Papier vorliegt.
Das war’s. Nach dieser Prozedur ist die Zwei-Faktor-Authentifizierung aktiv und die doofen Sicherheitsfragen sind Geschichte. Lesen Sie auf der nächsten Seite: Wie sieht der GAU aus?
Wie sieht der GAU aus?
Durch die Zwei-Faktor-Authentifizierung und einem gesunden Kennwort ist Ihr iCloud-Account verriegelt und verrammelt – und zwar so gründlich, dass nicht einmal Apple an die Daten herankommt. Insgesamt gibt es also drei Sicherheitsmerkmale:
Das Kennwort
Das vertrauenswürdige Gerät
Den Wiederherstellungsschlüssel
Damit Sie Herr über Ihr Konto bleiben, benötigen Sie mindestens zwei dieser drei Sicherheitselemente: Wenn Sie das Kennwort vergessen, benötigen Sie das vertrauenswürdige Gerät und den Wiederherstellungsschlüssel, um ein neues zu definieren. Wenn Sie das vertrauenswürdige Gerät verlieren, benötigen Sie das Kennwort und den Wiederherstellungsschlüssel, um ein neues Gerät zu autorisieren. Wenn Sie den Wiederherstellungsschlüssel verlieren, benötigen Sie das vertrauenswürdige Gerät und das Kennwort, um einen neuen Schlüssel zu generieren. Wenn Sie jedoch zum Beispiel das Kennwort vergessen und den Wiederherstellungsschlüssel nicht mehr finden, dann war’s das mit dieser Apple-ID. Auch Apple wird Ihnen nicht mehr weiterhelfen können. Doch diese Form der Sicherheit war ja schliesslich der Zweck dieser Übung.
