Der iCloud-Dienst ist «ein Stück Scheisse».
Zumindest findet das die US-Schauspielerin Kirsten Dunst. Nachdem die iPhone-Besitzerin mit Schrecken feststellte, dass höchst intime Aufnahmen von ihr ins Internet gelangt waren, tat sie, was Prominente in solchen Situationen tun. Sie setzte einen verärgerten Tweet ab.
Thank you iCloud🍕💩
— Kirsten Dunst (@kirstendunst) 1. September 2014
Das Statement der Hollywood-Schönheit zeugt, abgesehen von der originellen Ausdrucksweise, von einer grossen Unsicherheit. Und damit sind die Opfer des jüngsten Hacker-Angriffs nicht allein.
Da hilft es wenig, wenn Apple behauptet, dass die iCloud weiterhin sicher sei, und den Schwarzen Peter an die Nutzer weiterreicht. Sie sollen Passwörter wählen, die nicht erraten werden können ...
Wirklich sichere Passwörter bestehen aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen. Wie Kollege Ole Reissmann von «Spiegel Online» richtig festhält, kann man von den Nutzern aber nicht erwarten, dass sie komplizierte, 20-stellige Passwörter verwenden. Das gleiche Problem stellt sich bei den Sicherheitsfragen zur Apple-ID – diese sind ebenso wichtig und angreifbar wie das Hauptpasswort.
Kaum hilfreich ist auch die Zwei-Faktor-Authentifizierung, die Schweizer Apple-Kunden seit Juli 2014 zur Verfügung steht. Grundsätzlich handelt es sich um eine gute Methode, um dem Einloggen über fremde Geräte einen Riegel zu schieben. Allerdings hat Apple bei der Implementierung eine grosse Unterlassungssünde begangen: iCloud-Backups und die sogenannten «Photo Streams» sind nicht geschützt durch das zweistufige Anmeldeverfahren, wie TechCrunch festhält.
Apple muss bei der Zwei-Faktor-Authentifizierung umgehend nachbessern. Es darf nicht sein, dass böswillige Dritte auch weiterhin nur das Passwort und den Benutzernamen (Apple-ID) eines Opfers herausfinden müssen, um dessen iCloud-Backup zu stehlen und mithilfe von Spezialsoftware zu plündern.
So richtig beruhigend ist das noch nicht.
Natürlich betrifft das Passwort-Dilemma nicht nur Apple, sondern die gesamte Tech-Welt. Doch sind die Kalifornier der Konkurrenz einen Schritt voraus und haben ein mächtiges Eisen im Feuer: den mit dem iPhone 5S lancierten Fingerabdruck-Scanner.
Apple nennt seine biometrische Sicherheitstechnologie Touch ID. Die neuen iPhones, die nächste Woche vorgestellt werden, haben den Scanner an Bord. Wie auch die nächste iPad-Generation, die vermutlich ebenfalls im Herbst auf den Markt kommt.
Touch ID gewährleistet den Schutz der Nutzerdaten, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Das Einrichten auf dem iPhone 5S dauert wenige Minuten. Dann genügt ein sanftes Antippen des Homebuttons, um das Gerät freizuschalten.
Noch lassen sich mit Touch ID lediglich digitale Einkäufe im Apple-eigenen iTunes-Store tätigen. Das ändert sich mit iOS 8. Neu soll der Finger-Scanner in die verschiedensten Apps und Dienste integriert werden – und Passwörter überflüssig machen.
An dieser Stelle muss erneut an zwei zentrale Elemente von Touch ID erinnert werden. 1. Es werden keine Fingerabdrücke respektive Bilder davon auf dem Gerät gespeichert oder gar an die iCloud oder andere Apple-Server übermittelt. Und 2. Bei den für die Identifizierung erforderlichen Daten handelt es sich um mathematische Berechnungen, aus denen sich die Fingerabdrücke nicht mehr rekonstruieren lassen. Diese Daten liegen verschlüsselt in einer speziell abgeschotteten «Sicherheits-Enklave» des iPhone-Prozessors.
Laut Gerüchteküche wird Touch ID bei Apples neuem mobilen Bezahlsystem eine wichtige Rolle spielen. Damit sich das iPhone als digitales Portemonnaie durchsetzt, ist eine schnelle und zuverlässige Identifizierung des rechtmässigen Besitzers vonnöten. Zwar bietet auch der Fingerabdruck-Scanner keinen hundertprozentigen Schutz vor Missbrauch. Er ist aber um Welten besser als die im Alltag gebräuchlichen Passwörter.
Ein anderes Einsatzgebiet ist die iCloud, die mit iOS 8 ausgebaut wird und viele neue (und potenziell gefährliche) Funktionen bietet. So lassen sich Bilder, Videos und andere vom Nutzer erstellte Inhalte noch einfacher auf mehreren Geräten nutzen und teilen.
Ob harmloser Schnappschuss oder Nackt-Selfie: Angesichts des jüngsten Hackerangriffs wäre Apple gut beraten, den Fingerabdruck-Scanner tief in den Online-Speicherdienst zu integrieren und so eine zusätzliche Sicherheitsstufe einzubauen. Damit die iCloud rege genutzt wird, muss sie benutzerfreundlich UND sicher sein.
Wie schon beim iPhone 5S sollte Apple Touch ID auf freiwilliger Basis lancieren, um die skeptischen Kunden nicht zu vergraulen. Im Alltag dürfte sich dann schnell zeigen: Wer den Fingerabdruck-Scanner verwendet, will nicht mehr zum verhassten Passwort zurück.
Anmerkung: Auch Schweizer Unternehmen arbeiten daran, das unsichere Passwort abzulösen. Am Donnerstag informierten Swisscom, Sunrise und Orange über den neuen Dienst Mobile ID für die sichere und einfache Authentifizierung via Mobiltelefon. Mobile ID ermögliche den Nutzern, sich einfach via Handy auf Online-Portalen oder beim E-Banking einzuloggen. Benötigt werde lediglich eine SIM-Karte der neuesten Generation. Diese sei bei Swisscom bereits erhältlich. Sunrise und Orange nehmen Mobile ID Ende Jahr ins Angebot auf.