Update 28.03.2017: Es hat einige Monate gedauert, aber mit iOS 10.3 hat Apple das Problem mit SPAM-Einladungen zumindest teilweise gelöst: Calendar adds the ability to delete an unwanted invite and report it as junk. Zumindest auf dem iPhone und dem iPad kann man nun diese Einladungen ohne Rückmeldung an den Absender löschen und Apple über den SPAM informieren.
Ursprüngliche Meldung vom 8.11.2016:
Die iCloud-Kalender-Einladungen sind eine praktische Sache: Landet eine Kalender-Einladung im Postfach, dann erkennt Mail das und schubst diese auf Wunsch direkt an den Kalender. Dort taucht die Einladung dann entsprechend auf und kann dort angenommen oder abgelehnt werden. Und damit man auch keine Einladung verpasst, gibt es auch eine Push-Benachrichtigung. Das ist auch wirklich ziemlich praktisch, dummerweise lässt sich das aber auch missbrauchen und wird derzeit verstärkt missbraucht.
SPAM per Kalender-Einladung
Spammer schicken einfach ihren SPAM als Kalendereinladung an beliebige Mailadressen – gehören diese einem Nutzer von macOS oder iOS und sind mit seinem iCloud-Account verknüpft, dann landen diese SPAM-Termine praktischerweise (also für die Absender) direkt im Kalender. Es gibt womöglich noch eine Pushbenachrichtigung und der Empfänger muss zumindest mal einen Blick auf die Werbebotschaft werfen. Im ersten Moment mag man geneigt sein, so eine Einladung dann einfach abzulehnen, das ist aber eine sehr sehr schlechte Idee.
Egal, auf welche Reaktion – es stehen „Annehmen“, „Ablehnen“ und „Vielleicht“ zur Verfügung – man tippt oder klickt, der Absender wird darüber informiert. Im Ergebnis ist die Mailadresse damit als aktiv verifiziert und es ist mit weiterem SPAM zu rechnen oder aber sogar gezielten Attacken auf den iCloud-Account. Am besten ist es also gar nicht zu reagieren.

Workaround
Was man tun sollte und kann, beschreiben die Kollegen von iphone-ticker.de:
- Einen Screenshot des Kalendereintrags machen und zusammen mit einem kurzen Hinweis auf den SPAM via Kalendereinladung an abuse@icloud.com schicken, damit Apple die als Absender genutzte Adresse filtern bzw. den dahinter stehenden iCloud-Account sperren kann – wenn sie es denn tun, denn was genau die dann tun, verrät Apple bislang nicht.
- Um den Kalendereintrag ohne Rückmeldung an den Spammer los zu werden, legt man sich einen neuen Kalender an, verschiebt die Einladung in eben jenen und löscht dann den ganzen Kalender. So wird man übrigens auch andere Termine los, bei denen man aus anderen Gründen vielleicht keine Rückmeldung an den Absender geben will ;)
Okay, es gibt einen Workaround, aber eigentlich müsste es den nicht geben, wenn Apple nicht vor Jahren schon die Funktion in Mac OS X zum Löschen einer Einladung ohne Benachrichtigung an den Absender gestrichen hätte. Denn diese gab es mal. Damit wäre dieses Problem kein Problem.
Aufgrund der sich häufenden Meldungen in den Apple Support Foren bleibt zu hoffen, dass diese Funktion zurück kommt und am besten noch ein Button, um eine Einladung direkt als SPAM zu melden.
SPAM per Photofreigabe
Einen solchen Button sollte Apple dann auch gleich in seiner iCloud Photos App einbauen, denn auch hier verwenden Spammer inzwischen die Funktion, andere zu einem geteilten Album einzuladen, um ihren SPAM zu verbreiten. Leider gibt es hier bislang keinen Workaround, eine Einladung ohne Rückmeldung an den Absender abzulehnen, bis jetzt bleibt hier also nur die Möglichkeit einer Mail an abuse@icloud.com und das Ignorieren der angezeigten Einladung. Sehr unbefriedigend.
Zwei-Faktor-Authentifizierung
In dem Zusammenhang passt natürlich wieder der Hinweis auf die Zwei-Faktor-Authtifizierung für die Apple-ID und iCloud. Denn selbst wenn man unbeabsichtigt seinen iCloud-Account verifiziert hat durch das Ablehnen so einer Einladung und womöglich noch auf eine darauf folgende Phishing-Mail hereingefallen ist, ist der Zugriff auf die sensiblen Daten des Kontos erst einmal gesichert – das Passwort sollte man in so einem Fall natürlich trotzdem ändern.
Apple-ID: Zweistufige Authentifizierung für mehr Sicherheit aktivieren
Workarounds und zusätzliche Absicherung des Accounts sind natürlich keine echte Lösung für das Problem, hier muss Apple aktiv werden und mindestens Möglichkeiten zur Verfügung stellen, solche Einladungen ohne Rückmeldung zu löschen, besser noch einen einfachen Mechanismus bereit stellen, SPAM auch direkt zu melden.
via Heise