Nach Promi-Hack: Tim Cook will iCloud besser absichern

Apple will bei der Sicherheit des Cloud-Speicherdienstes iCloud nachbessern. Künftig sollen eine Warnmail und eine Push-Benachrichtigung verschickt werden, wenn ein Passwort geändert wurde oder ein Konto mit einem unbekannten Gerät synchronisiert wurde. Nutzer, die Opfer eines Übergriffs wurden, können damit schnell reagieren, wie CEO Tim Cook dem Wall Street Journal (WSJ) darglegte.

Bisher gab es nur die E-Mail-Benachrichtigung, und auch die wurde im Fall einer Datenwiederherstellung nicht verschickt – nur bei Passwortwechseln. Die Maßnahmen werden Cook zufolge etwa in zwei Wochen in Kraft treten.

Vergangenes Wochenende waren private Fotos einer Reihe von Hollywoodschauspielerinnen auf dem Imageboard 4chan eingestellt worden. Unzweifelhaft ist, dass diese Fotos aus den iCloud-Konten der betroffenen stammen. Wie die Unbekannten daran gelangten, ist unklar. Apple patcht zwar eine Lücke in dem Dienst “Find My iPhone“, die soll jedoch nicht dafür genutzt worden sein, die Bilder aus den Konten auszulesen.

Sicherheitsforscher haben inzwischen die Vermutung vorgebracht und mit Indizien belegt, dass ein Polizei-Tool für Brute-Force-Angriffe benutzt wurde. Apple selbst spricht von einem “sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsabfragen”.

Unter anderem haben die Hacker in einigen Fällen wohl Sicherheitsabfragen wie die nach dem Mädchennamen der Mutter korrekt beantwortet, was sich im Fall Prominenter leicht recherchieren lässt. Das Apple-nahe Wall Street Journal, das als eine von wenigen Publikationen weltweit Apple-Geräte vorab zum “Test” erhält, spricht in dem aktuellen Bericht ohne weitere Erklärung von “Phishing”.

Cook sagte dem WSJ noch, es habe nicht an Apples Sicherheitsarchitektur gelegen, der Konzern hätte aber mehr tun können, um seine Kunden auf Gefahren hinzuweisen und sie etwa zum Einsatz starker Passwörter zu motivieren. “Wenn ich von dem schrecklichen Fall, der eingetreten ist, einen Schritt zurück mache und nachdenke, was hätten wir mehr tun können, fällt mit vor allem das Element Sicherheitsbewusstsein ein. Ich glaube, wir haben die Verantwortung, das zu verschärfen. Das ist eigentlich kein Problem der Entwicklung.”

Auch den Einsatz von Zwei-Faktor-Authentifizierung will Apple weiter intensivieren. Dabei kommt üblicherweise ein Einmalcode zum Einsatz, der von einem separaten Token oder einer Smartphone-App generiert wird, ein separates Gerät oder ein biometrisches Kennzeichen. Da die Methode auf iPhones zum Einsatz kommen soll, fällt die Möglichkeit Smartphone-App aus: Es würde sich nicht um einen zweiten Faktor handeln. Denkbar ist aber der verstärkte Einsatz des von Cook auch angesprochenen Fingerabdruckscanners Touch-ID – oder gar der eines Schmuckstücks, etwa einer iWatch, als externes Security-Token, das Transaktionen aller Art via NFC bestätigen könnte. Dies muss aber mindestens noch einige Tage Spekulation bleiben.

[mit Material von Florian Kalenda, ZDNet.de]