Mit der zweistufigen Authentifizierung wäre es nicht (so einfach) passiert: Ob intime Fotos von Prominenten oder plötzlich von Dritten gesperrte iOS-Geräte, wenn das Passwort zur Apple-ID und damit zum iCloud-Account in die falschen Hände gerät, kann das ärgerlich, peinlich und im schlimmsten Fall auch teuer werden. Durch die Verknüpfung der Geräte und Dienste über diese eine ID, wird diese zu einer begehrten Beute für Kriminelle. Schließlich schreibt ja Apple selbst: „Dein Account für alles von Apple“. So gab es schon mehr als eine Welle von Erpressungsversuchen über die „iPhone verloren“-Funktion von Apple.
Inhaltsverzeichnis
Sicherheitsfunktion als Erpressungstool
Diese Funktion ist an sich äußerst praktisch: Kommt das Apple-Gerät, ob iPhone, iPad, Mac oder Apple watch, abhanden, dann kann man es über iCloud.com als verloren melden und sperren. Auf dem Gerät ist dann nur noch eine Sperrmeldung zu sehen und ein unehrlicher Finder oder Dieb kann mit dem gesperrten Gerät nichts mehr anfangen.
Diese praktische Funktion kann aber auch gegen den Eigentümer der Geräte verwendet werden, wenn man seine iCloud-Accountdaten besitzt und die zweistufige Authentifizierung nicht aktiv ist. Immer wieder mal tauchen in Apple-Foren Nachrichten von verblüfften Usern auf, deren Gerät plötzlich gesperrt ist und nur noch eine Mail-Adresse zeigt, an die man sich wenden solle. Wendet man sich tatsächlich an diese Adresse, dann folgt die Aufforderung, doch bitte Lösegeld zu bezahlen, damit man wieder Zugriff auf den iCloud-Account bekommt. An dieser Stelle läuft es nicht anders als bei Ransomware.

Test: Kundendienst bei Ransomware
Das Problem ist nicht wirklich neu und es gab schon verschiedene größere Wellen solcher Erpressungsattacken. Trotzdem haben offensichtlich immer noch viele Nutzer von diesem Problem noch nichts gehört oder halten ihr eigenes iCloud-Passwort für unangreifbar. Egal ob Unkenntnis der Bedrohungslage oder die falsche Einschätzung der Sicherheitslage, im Ergebnis bleibt in so einem Fall immer noch das Gespräch mit dem Apple-Support.
Solange man möglichst alle bei der Apple-ID verwendeten Daten hat, bekommt man den Account und damit die gesperrten Geräte wieder zurück. Aber man kann sich auch vorab gegen einen solchen Angriff schützen, indem man die zweistufige Authentifizierung aktiviert.
Was ist eine Zwei-Faktor-Authentifizierung?
Ganz allgemein ist eine Zwei-Faktor-Authentifizierung eine Anmeldung über zwei unterschiedliche Mechanismen, die beide korrekt sein müssen, damit man den Zugriff erhält. Der erste Faktor ist weiterhin das bekannte Account-Passwort, der zweite Faktor ist je nach System ein Code, den man zum Beispiel per SMS erhält oder der über eine entsprechende Software regelmäßig berechnet wird. Das zweite Verfahren, mit dem berechneten Code, ist hier wohl am weitesten verbreitet und die bekannteste App dafür der Google Authenticator, den auch andere Dienste gerne verwenden.
Apples zweistufige Authentifizierung
Apple setzt hier auf die Zusendung des Codes, entweder an ein „vertrauenswürdiges Gerät“ mit iOS oder per SMS an eine „vertrauenswürdige Telefonnummer“. Welche vertrauenswürdig sind, das legt man selbst in den Einstellungen zur Apple-ID fest.
Will man sich nun mit seiner Apple-ID anmelden oder ein neues Gerät mit der eigenen ID verknüpfen, dann gibt man zuerst wie gewohnt das Passwort zur Apple-ID ein und wird dann gefragt, an welches der Geräte oder an welche Nummer der Code zur Bestätigung verschickt werden soll. Gibt man diesen erhaltenen Code dann korrekt ein, ist man drin. Es gibt hier natürlich Backup-Möglichkeiten, für den Fall, dass man keinen Zugriff mehr auf die entsprechenden Geräte oder Telefonnummern hat.
Zum einen empfiehlt Apple hier auch die Telefonnummer einer vertrauenswürdigen Person hinzuzufügen, zum Beispiel eines Familienmitglieds, damit man sich im Zweifel mit deren Hilfe anmelden kann. Sollte man das nicht wollen oder können, dann gibt es noch den Wiederherstellungsschlüssel, der beim Aktivieren der zweistufigen Authentifizierung erzeugt wird. Diesen sollte man ausdrucken und sicher verwahren – Apple empfiehlt hier das mehrfache Ausdrucken und die Aufbewahrung an verschiedenen Orten.
Anwendungsspezifische Passwörter als Workaround
Und auch für Programme, die mit dieser zweistufigen Authentifizierung (noch) nicht umgehen können, gibt es eine Lösung. Hier sind vor allem Mailprogramme ganz vorne dabei, die auf die iCloud-Mails per IMAP zugreifen sollen. Für solche kann man sich anwendungsspezifische Passwörter anlegen. Diesen gibt man einen Namen, dann erhält man ein Passwort zurück, das man sofort kopiert und in die entsprechende Anwendung einfügt, denn man bekommt dieses Passwort nur dieses eine Mal angezeigt. Anschließend kann man das Passwort nur noch anhand des Namens aus der Liste dieser Passwörter entfernen.

Apple erlaubt bis zu 25 solcher Passwörter gleichzeitig für eine Apple-ID, was normalerweise ohne Probleme ausreichen sollte. Aus Gründen der Sicherheit deaktiviert Apple aber automatisch alle anwendungsspezifischen Passwörter, sobald man das Hauptpasswort der Apple-ID ändert.
Aktivierung der zweistufigen Authentifizierung
Die Aktivierung der zweistufigen Authentifizierung ist bei Apple einfach gelöst – man muss aber manchmal warten, bis man sie aktivieren darf. Nach größeren Änderungen an der Apple-ID, zu denen auch die Änderung des Passwortes oder das Festlegen neuer Sicherheitsfragen gehört, muss man drei Tage warten, bis man die zweistufige Authentifizierung aktivieren darf. Mit dieser Wartezeit möchte Apple es erschweren, dass eine Apple-ID von Dritten übernommen und dann durch die Aktivierung der zweistufigen Authentifizierung vor dem eigentlichen Account-Inhaber „geschützt“ wird. Ob das im Zweifelsfall wirklich funktioniert, ist eine andere Frage.

Zumindest sorgt diese Wartezeit dafür, dass wir die Schritt-für-Schritt-Anleitung mit Screenshots erst in einigen Tagen an dieser Stelle nachliefern können und werden. Aber auch ohne diese ist die Aktivierung einfach durchführbar, Apple führt Schritt-für-Schritt durch den Prozess auf der Apple-ID-Verwaltungsseite.
Passwortsicherheit ist jetzt kein Thema mehr?
Man könnte jetzt auf die Idee kommen, dass Passwortsicherheit kein Thema mehr wäre, wenn erst einmal die zweistufige Authentifizierung aktiv ist. Diese Idee ist aber falsch. Natürlich ist es verlockend, jetzt auf ein kurzes und simples Passwort zu wechseln, aber man sollte sich niemals blind auf solche Mechanismen verlassen. Immerhin besteht ja die Gefahr, dass ein Angreifer möglicherweise nicht nur Zugriff auf das Passwort, sondern gleichzeitig auch auf ein vertrauenswürdiges Gerät erhält. Auch kann niemand garantieren, dass nicht vielleicht noch irgendwo in dem Verfahren eine Sicherheitslücke lauert, die bei Entdeckung das Berechnen der Codes ermöglichen könnte und so den Zugriff auf einen Account ohne vertrauenswürdiges Gerät erlauben könnte.
Daher sollte jedes Passwort, auch wenn es für einen per 2FA gesicherten Account verwendet wird, immer möglichst sicher sein. Also nicht einfach das Geburtsdatum oder den Hochzeitstag oder bekannte Klassiker wie 1234567890, qwertz und passwort.