https://www.faz.net/-gum-7teyt

Hacker veröffentlicht Nacktbilder : Wie sicher sind meine Fotos in der Cloud?

  • Aktualisiert am

Auf Wolke sieben: Daten in der Cloud sind auch nur ein Passwort entfernt. Bild: dpa

Hacker haben zahlreiche Nacktbilder von Prominenten ins Internet gestellt. Viele Nutzer fragen sich nun ebenfalls, ob ihre privaten Fotos in der iCloud sicher sind. Wir beantworten die wichtigsten Fragen.

          3 Min.

          Ein Hacker hat Nacktbilder von mehr als 100 Prominenten im Internet veröffentlicht. Auf der Liste stehen vor allem Schauspielerinnen und Sängerinnen aus Amerika, darunter Jennifer Lawrence, Rihanna und Kim Kardashian. Viele User fragen sich jetzt: Kann mir das auch passieren? Wir geben Antworten auf die wichtigsten Fragen.

          Wie ist der Täter an die Daten gelangt?

          Offenbar sind nur Nutzer von iOS-Systemen (etwa iPhone, iPad) betroffen, denn aus den Metadaten der Bilder (Exif-Daten) ist ersichtlich, dass die meisten Fotos mit iPhones aufgenommen wurden. So ist der Hacker, der die Nacktbilder von Prominenten ins Netz gestellt hat, nach ersten Erkenntnissen an die Passwörter ihrer iPhones gelangt, indem er automatisiert zahllose Passwörter nacheinander ausprobierte (Brute-Force-Methode mittels eines Python-Skriptes). Über die Programmierschnittstelle (API) des Services „Find my iPhone“ konnte er unbegrenzt Passwortabfragen tätigen. In der Regel tritt nach mehreren fehlgeschlagenen Versuchen eine Sperre in Kraft, bei „Find my iPhone“ vergaß Apple das allerdings. Im Mai hatten Hacker offenbar schon Nutzen aus dem Fehler geschlagen und sperrten Geräte zufällig ausgewählter Nutzer, für deren Entsperrung sie dann Geld forderten.

          Welche Informationen benötigte der Täter?

          Der Täter benötigte lediglich die E-Mail-Adresse des iCloud-Accounts. Da viele Schauspieler einander im Adressbuch eingespeichert haben, das ebenfalls in iCloud hinterlegt ist, war es einfach, weitere Accounts zu finden.

          Was sagt Apple zur Sicherheitslücke?

          Apple hat sich bislang nicht geäußert. Die Tatsachen sprechen allerdings dafür, dass die Daten über iCloud entwendet wurden. Dabei lag kein Daten-Leck beim Service selbst vor (außer der einfachen Passwort-Abfrage), sondern vielmehr sind die Passwörter der Opfer entsprechend einfach zu entschlüsseln gewesen. Apple hat die Lücke in vielen Staaten an diesem Montag geschlossen, in einigen Ländern existiert sie aber noch.

          Wie kam der Täter an Bilder, die nach Aussage des Opfers „vor einem Jahr gelöscht worden sind“?

          Diese Lücke bestand offenbar seit sehr langer Zeit. Es ist davon auszugehen, dass er die Bilder bereits vor mehr als einem Jahr heruntergeladen hat.

          Wie sicher sind die Daten in der iCloud?

          Wenn die Nutzung von iCloud im Gerät aktiviert ist, speichert Apple Bilder, Mails, Kontakte und weitere Informationen auf seinen Servern und synchronisiert die Daten bei Bedarf zwischen verschiedenen Geräten. Die Daten können auch über die Seite icloud.com  eingesehen werden. Die Verschlüsselung der Daten gilt aber als vergleichsweise sicher, nach Angaben von Apple werden iCloud-Daten sowohl auf dem Server als auch während der Übertragung verschlüsselt. Bei Bildern beispielsweise mit dem Advanced Encryption Standard und einer Schlüssellänge von 128 Bit.

          Was ist dann das Hauptproblem?

          Die unsicherste Stelle ist in der Regel der Mensch, der einfache Passwörter nutzt. Bei iCloud muss ein Passwort derzeit aus mindestens acht Zeichen, einer Ziffer, einem Großbuchstaben und einem Kleinbuchstaben bestehen. Das kann bei einigen älteren Passwörtern allerdings nicht der Fall sein.

          Welche Wege hat ein Täter, an meine Daten zu gelangen?

          Ein Täter braucht lediglich die Anmelde-Adresse von iCloud, um etwa mittels des bestehenden Fehlers das Passwort durch Ausprobieren herauszufinden. Das geht mitunter recht rasch, wie damals bei Paris Hilton, als sie den Namen ihres Schoßhundes als Passwort nutzte. Auch ein komplexes Passwort kann geknackt werden. Dafür braucht der Hacker allerdings Zugriff auf Ihr E-Mail-Postfach. Dann kann er versuchen, das Passwort für Ihren iCloud-Account mittels der entsprechenden Funktion zurückzusetzen. Sollten die Angaben zu den Sicherheitsfragen (Vorname der Mutter, erstes Haustier, etc.) einfach zu erraten sein, hat das Opfer das Nachsehen. Allerdings muss der Hacker das Passwort nach dem Zurücksetzen ändern, was dem Opfer auffallen wird.  Und auch das ausgefeilteste Passwort nutzt im Zweifel nichts, wenn es für mehrere Accounts genutzt wird.

          Bietet Apple eine sicherere Methode an?

          Ja, die sogenannte zweifache Verifizierung. Bei dieser Methode wählen Sie ein vertrauenswürdiges Gerät, das vierstellige Sicherheitscodes per SMS oder der oben genannten „Find my iPhone“-App empfangen kann. Das Gerät kann auch ein altes Nokia-Handy sein. Es muss nur in der Lage sein, Kurznachrichten zu empfangen. Bei jedem Login wird ein Sicherheitscode versandt, der zusätzlich angegeben werden muss. Ursprünglich funktionierte die Sicherheitsabfrage nur bei Käufen im App Store. Seit wenigen Monaten funktioniert das System auch für Dienste in der iCloud. Zusätzlich wird ein 14 Zeichen umfassender Schlüssel angegeben, den der Nutzer ausdrucken muss, falls das Gerät zum Empfang der Sicherheitscodes verloren geht.

          Insofern empfiehlt es sich:

          1. schwer zu erratende Passwörter zu nutzen, am besten verschiedene für alle Services
          2. zweifache Verifizierung zu nutzen
          3. Geräte wo möglich mit Sperren und Passwörtern zu versehen
          4. die jüngste Version des jeweiligen Betriebssystems zu nutzen

          Muss ich meine Daten überhaupt mit iCloud synchronisieren?

          Nein. Entsprechende Geräte können unter Einstellungen iCloud getrennt werden. Die betroffene Schauspielerin Jennifer Lawrence sagte in einem Interview vor geraumer Zeit: „Meine iCloud sagt mir dauernd, ich soll meine Daten sichern. Ich weiß aber gar nicht, wie. Ich lasse das Gerät das einfach machen.” Das ist die denkbar schlechteste Einstellung.

          Kann mir das auch passieren, wenn ich Smartphones anderer Hersteller nutze?

          Potentiell ja, sofern Sie Ihre Daten auf Servern speichern, indem Sie etwa Dienste wie Dropbox oder Google Drive nutzen. Allerdings gibt es bei manchen Anbietern die Möglichkeit, einzelne verschlüsselte Ordner anzulegen.

          Gibt es hundertprozentigen Schutz, damit etwaige diskreditierende Aufnahmen nicht in falsche Hände gelangen?

          Ja: keine Nacktbilder. Und falls tatsächlich kein Weg um Nacktbilder herum führen sollte: Stehen Sie zu Ihrem Körper, notfalls auch in der Öffentlichkeit.

          Weitere Themen

          Topmeldungen

          Drei Nachbarländer öffnen : Viel Not, wenig Bremse

          Trotz hoher Inzidenzwerte wollen drei Nachbarländer Deutschlands Schulen, Geschäfte oder Kinos öffnen. Warum gehen Frankreich, die Niederlande und Österreich diesen Schritt?
          Ministerpräsident Daniel Günther (CDU) im Kieler Landtag

          Daniel Günther im Gespräch : „Laschet kann Wahlen gewinnen“

          Daniel Günther, der Ministerpräsident von Schleswig-Holstein, verteidigt die Entscheidung für Armin Laschet, hält das Corona-Regelwerk für ausreichend und will auch im F.A.Z.-Interview nicht gendern.

          Ärger bei Klopp und Guardiola : „Das ist unmöglich“

          Im Wirbel um die Super League hat die Uefa ihre Champions-League-Reform nahezu geräuschlos durchgewunken. Diese neuen Pläne sorgen nun für heftige Kritik. Spieler und Trainer äußern Befürchtungen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.