So gefährlich ist das iPhone

Das meistverkaufte Smartphone der Schweiz weist grosse Sicherheitslecks auf, wie eine neue Untersuchung zeigt. Autor und Apple-Experte Volker Riebartsch erklärt, wie man verhindert, dass man von Apps ausspioniert wird.

«Warum Apple nicht mal die Daten aller eigenen Apps wirksam schützt, verstehen wir nicht»: Apple wiegt die iPhone-4-Nutzer laut Volker Riebartsch in falscher Sicherheit.

«Warum Apple nicht mal die Daten aller eigenen Apps wirksam schützt, verstehen wir nicht»: Apple wiegt die iPhone-4-Nutzer laut Volker Riebartsch in falscher Sicherheit. Bild: AFP

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Volker Riebartsch, Sie haben das iPhone auf Lecks untersucht. Wie sicher ist das Apple-Handy gemäss Ihrer Studie?
Leider nicht sicher genug. Wir haben das iPhone 4 mit dem aktuellen Betriebssystem iOS 4.3.3 nach Sicherheitslücken untersucht. Mithilfe der sogenannten Custom-Recovery-Ramdisk-Methode können Unbefugte, welche das Gerät in die Finger kriegen, problemlos – trotz eingeschalteter Funktion «Code-Sperre»! – fast alle Benutzerdaten öffnen beziehungsweise auf den PC kopieren. Die wichtigsten Daten sind in wenigen Minuten kopiert, das iPhone 4 wird bei der Prozedur nicht verändert – es wird also kein Jailbreak durchgeführt.

Das heisst, der Nutzer merkt nichts vom Datenklau?
Ja. Der Befund gilt übrigens auch für den iPod touch, das iPhone 3GS und das iPad.

In der Information zur Datenschutzfunktion erklärt Apple, dass E-Mails und deren Anhänge verschlüsselt werden. Stimmt das?
Diese Aussage können wir bestätigen. Auch bei unseren Einbruchsversuchen liessen sich Mails und Anhänge nicht anzeigen oder kopieren. Alle anderen Daten – auch die im Lieferumfang enthaltenen Apple-Apps – sind jedoch ungeschützt: Die Daten von Einstellungen (Liste bekannter Netzwerk), die Fotos samt Geodaten, Musik und Filme, Kalender (Kalender, Termine, Benachrichtigungen, Teilnehmer), Karten (Ortshistorie, Suche), Nachrichten (kompletter SMS-Text, Adressaten, Bild und Ton aus MMS), Notizen (Text inklusive Datum), der Browser Safari (Lesezeichen, Historie), das Telefon (Voice-Mails, Anrufliste etc.) können leicht ausspioniert werden.

Dann macht Apple also nicht genug für die Sicherheit?
Zwar bot schon das iPhone 3GS vor knapp zwei Jahren mit hardwareseitiger Verschlüsselung eine sehr gute Basis, Apples Softwaresicherheit allerdings war bis einschliesslich iOS 3.x lausig. Warum Apple nicht mal die Daten aller eigenen Apps wirksam schützt, verstehen wir nicht. Erst seit iOS 4 hat Apple begonnen, echte Sicherheitsmechanismen zu integrieren. Offensichtlich ist man gerade dabei, Versäumtes nachzuholen. Fatal ist, dass sich Apple-Nutzer sicher fühlen, wenn die Funktion «Code-Sperre» eingeschaltet ist. Wie wir zeigen konnten, hilft das nicht. Diese Information darf Apple doch nicht vorenthalten. Vertrauliche Unterlagen in den Händen der falschen Leute richten einen weitaus grösseren Schaden an, als der materielle Verlust des iPhone bei einem Diebstahl. Apple ist in der Pflicht, den vorhandenen Schutzmechanismus flächendeckend einzusetzen.

Apple hat Anfang Mai eine Software-Aktualisierung freigegeben (iOS 4.3.3), um das Problem der Sammlung von Standortdaten der Handynutzer zu lösen. Müssen sich die Nutzer nicht mehr sorgen?
Ich glaube nicht, dass man vor oder nach iOS 4.3.3 wegen «Locationgate» Angst haben musste. Unwahrscheinlich, dass Apple die Ortsdaten heimlich für Marketingzwecke auswerten oder gar weitergeben wollte. Hier gibt es viele Theorien, warum es die genannte Datei bis iOS 4.3.2 gab – persönlich bin ich überzeugt, dass in diesem Fall keine böse Absicht vorlag. Aber natürlich hätte Apple die Benutzer darüber informieren müssen, dass derartige Daten überhaupt erhoben und gesammelt werden.

Haben Sie Tipps für Nutzer, die sensible Daten auf dem iPhone aufbewahren?
Informationen wie der EC-PIN, Zugangsdaten zu Internet-Portalen, Online-Auktionen und so weiter gehören niemals in eine App wie «Notizen». Die App 1Password Pro (17 Franken) schützt sensible Daten mit einem eigenen Verschlüsselungsmechanismus. Mit Goodreader (5,50 Franken) gibt es eine ausgezeichnete App, die Dokumente aller Art an iOS-Geräten aufnimmt und Apples Verschlüsselungs-API (Schnittstelle für Anwendungsprogramme, Red.) nutzt. Die App bietet auch Zugriff auf Server, der Benutzer kann also auch vom Firmen-Server Daten unterwegs laden, sicher aufbewahren und in der App nutzen.

Einige Sicherheitsexperten raten davon ab, das Smartphone für Online-Banking-Geschäfte zu nutzen. Sie auch?
Ich rate grundsätzlich davon ab, Online-Banking über einen Web-Browser zu erledigen – auf Smartphones und auch am PC! Die Gefahr durch Schadsoftware, die Daten ausspäht, ist einfach zu gross. Ich selbst nutze am PC ein Banking-Programm, ebenso am iPad. Beide nutzen einen sehr sicheren Standard namens HBCI, sie verbinden sich verschlüsselt mit dem Bankrechner. SMS-TAN ist ausserdem viel besser als TAN-Listen. (TAN: Transaktionsnummern, die bei jeder Aktion geändert werden und die PIN ergänzen, Red.)

Apple sagt, dass Apps rigoros kontrolliert werden. Trotzdem greifen viele Miniprogramme auf Nutzerdaten zu.
Viele Apps müssen bestimmte Daten vom iPhone-Benutzer erheben, um «einfach» zu funktionieren. Nehmen Sie eine Nahverkehrs-App. Es ist schon praktisch, dass die umliegenden Haltestellen automatisch angezeigt werden und nicht erst ein Strassenname einzutippen ist. Dazu werden die Geodaten aus dem GPS-Modul geladen und in vielen Fällen auch an Server im Internet übertragen. Viele Apps fragen beim ersten Start, ob «der aktuelle Ort verwendet werden darf». Verschwiegen wird allerdings immer, ob die Daten dann nicht nur intern am iPhone genutzt werden.

Wann ist denn eine App sicher, wann unsicher?
Das ist eine Frage, die jeder selbst beantworten muss. Damit etwa eine App für ein soziales Netzwerk beim Posten einer Nachricht auch gleich automatisch den aktuellen Ort des Benutzers verzeichnen kann, müssen diese Daten erhoben werden. Damit ein Instant Messenger automatisch die Liste aller Freunde darstellt, die einen Account beim selben Service nutzen, müssen die Adressdaten aus der App Kontakte mit denen anderer Nutzer verglichen werden, dazu also auf den Server des Betreibers geladen werden. Will der Benutzer das nicht, sollte er die App und damit den Dienst nicht nutzen.

Allerdings ist es doch fast unmöglich zu erkennen, ob eine App Daten sammelt oder nicht.
Es lässt sich für einen Normalnutzer tatsächlich meist nicht erkennen, ob Daten gesammelt werden. Vor allem weiss man nicht, was nachher damit passiert. Darum mein Tipp: Installieren und nutzen Sie nur diejenigen Apps, die Sie unbedingt benötigen.

Gibt es eigentlich Sicherheitssoftware für das iPhone, die Sie empfehlen?
Ich empfehle Firmen, mit dem Apple-Programm iPhone-Konfigurationsprogramm Profile für alle Mitarbeiter mit iOS-Geräten zu erstellen und deren Nutzung zu erzwingen, also sie zu installieren. Damit kann sichergestellt werden, dass etwa die Code-Sperre zwingend genutzt wird. Auch kann die Nutzung auf bestimmte Apps, die als sicher gelten, beschränkt werden. Zudem lässt sich bei Vorhandensein eines Firmen-VPN (eines gesicherten Firmennetzwerks, Red.) auch sicherstellen, dass die Wi-Fi- und UMTS-Datenverbindungen unterwegs abhörsicher geführt werden. Hier lassen sich diverse Parameter einstellen, die die Sicherheit beträchtlich erhöhen. Viele Benutzer empfinden das allerdings häufig als Eingriff in ihre mobilen Arbeitsmethoden. Die Mitnahme von sensiblen Unternehmensunterlagen wie Präsentationen, Kalkulationen und so weiter darf nur in Apps wie Goodreader erfolgen – zurzeit sind die Daten nur hier sicher.

Ist es nicht viel wichtiger, das Bewusstsein der Benutzer zu schulen.
Natürlich. Kein System ist auf die Dauer gegen Hackerangriffe zu 100 Prozent gesichert, wenn ein Datendieb physisch Zugriff auf das Gerät hat. Es ist eine Frage der Zeit und der vorhandenen Ressourcen, bis Schlupflöcher gefunden werden, welche Daten zutage fördern. Darum: Man muss immer das aktuelle iOS nutzen, sichere Apps einsetzen und nicht mehr sensible Daten mit sich herumtragen als unbedingt nötig. Zusammenfassend kann man sagen: In punkto Sicherheit ist das iPhone nicht schlechter oder angreifbarer als andere. Durch den enormen Marketing- und Verkaufserfolg ist Apple allerdings enorm im Fokus. Es gibt zahlreiche Baustellen, wo Apple schnellstens tätig werden muss. Natürlich wird es weiterhin ein Katz-und-Maus-Spiel zwischen Apple und Hackern bleiben.

Erstellt: 19.05.2011, 14:18 Uhr

Volker Riebartsch, 53, kam während des Studiums 1985 erstmals mit Macintosh-Computern in Berührung und arbeitete von 1987 bis 2001 beim Hamburger Fachmagazin «MACup», zuletzt als Chefredaktor.


Seit 2003 ist er als freier Autor für den in München ansässigen Verlag IDG Magazine Media GmbH tätig. Der aktuelle Schwerpunkt der Tätigkeit liegt in redaktionellen Beiträgen für die Magazine «iPhoneWelt» (seit 2008) und «iPadWelt» (seit 2010).


Daneben ist Riebartsch im Bereich Datensicherheit, Datenbanken und Netzwerk für diverse Unternehmen tätig.


Die im Interview erwähnte Studie zur iPhone-Sicherheit finden Sie in der neusten Ausgabe des Magazins «iPhoneWelt» (jetzt am Kiosk erhältlich).

Artikel zum Thema

Dieses Update dürfen iPhone-Nutzer nicht verpassen

Apple hat am Mittwoch eine Software-Aktualisierung freigegeben, um das Problem der Sammlung von Standortdaten der Handynutzer zu lösen. Mehr...

«Apple ist kein technologischer Vorreiter»

Exklusiv Der iPhone-Konzern muss nicht sympathisch, sondern nur berechenbar sein, sagt Wolf Lotter. Der Autor und«digitale Atheist» über Apple als «Weltkirche mit Vollprogramm» und Steve Jobs' «Gutsherrenart». Mehr...

787'000 iPhones in der Schweiz

Jedes zweite Smartphone zwischen Genfer- und Bodensee ist laut dem «Weissbuch 2011 - der ICT-Marktreport» ein Apple-Handy. Im Tablet-Markt ist der US-Konzern noch viel dominanter. Mehr...

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Kommentare

Weiterbildung

Gamen in der Schule

Die Schule bereitet Kinder auf die Arbeitswelt vor. Das Rüstzeug soll auch spielerisch vermittelt werden.

Die Welt in Bildern

In allen Farben: Die Saint Mary's Kathedrale in Sydney erstrahlt in ihrem Weihnachtskleid. (9. Dezember 2019)
(Bild: Steven Saphore) Mehr...