So einfach stehlen Diebe nicht nur dein Smartphone sondern auch dein Geld und dein gesamtes digitales Leben

Die allzu einfache Methode

In den beschriebenen Fällen wurde die Eingabe des Pin-Codes ausgespäht, der in weiterer Folge für das Zurücksetzen der Apple ID genutzt wurde, was wiederum das Ausloggen auf allen verbundenen Geräten ermöglicht. Damit ist der Dieb auch bereits in der iCloud - der legitime Nutzer hat dagegen innerhalb von Minuten Zugriff auf alle anderen seiner Apple-Geräte verloren und kann das iPhone auch nicht mehr finden oder zurücksetzen. Da immer mehr Finanzdienstleister durch Apple Pay und Google Pay angebunden sind oder der Zugriff auf Bank-Apps im iCloud-Schlüsselbund (Keychain) gespeichert sind, haben die Täter oft auch rasch kompletten Zugriff auf die Finanzen, in vielen Fällen wurden Tausende an US-Dollar gestohlen.

All das wohlgemerkt, ohne dass weitere Sicherheitsmaßnahmen greifen: Eine TAN, die als SMS an eine Nummer gesendet wird, die im gestohlenen Smartphone steckt, hilft natürlich wenig. Noch bedrohlicher kann es werden, wenn Photos von Pass, Führerschein oder Steuerunterlagen ungeschützt als Photos auf dem Smartphone gespeichert werden, denn dann konnten die Diebe beispielsweise auch neue Kreditkarten eröffnen und weiteren Schaden anrichten. Selbst Monate nach diesen Attacken haben viele Betroffene nach wie vor keinen Zugriff mehr auf ihre Kontakte und Daten sowie die in der iCloud gespeicherten Erinnerungen in Form von Photos und Videos. Ohne Recovery-Key, der von den Tätern oft mit ihren geänderten Daten aktiviert wurde, kann und vor allem will auch Apple nicht helfen.

Was man präventiv tun kann

Im Video oben wurden bereits einige Punkte angesprochen, die man präventiv ändern kann, um besser geschützt zu sein. So sollte man etwa den Pin-Code gegen ein längeres alphanumerisches Passwort ersetzen, dieses sollte man zudem wie den Pin-Code seiner Kreditkarte schützen und nicht öffentlich leicht einsehbar eingeben - in vielen Fällen werden ohnehin mittlerweile Face ID oder ein Fingerabdruck für das tägliche Einloggen am Handy genutzt. Banking-Apps sollten mit separaten Passwörtern gesichert werden, die nicht in den Default-Passwort-Managern von Apple und Google gespeichert werden. Hier helfen durch ein komplexes Passwort geschützte Anwendungen von Drittanbietern (etwa Keypass). Photos von sensitiven Daten wie sie etwa in Personalausweisen zu finden sind, sollten gelöscht oder separat in geschützten Bereichen gespeichert werden.

Der Android-Guru Mishaal Rahman hat für alle Android-User noch den Tipp parat, "Advanced Protection" für den Google-Account zu aktivieren, hierfür sind allerdings zwei separate Sicherheits-Schlüssel nötig, etwa ein zusätzlicher USB-Key, was viele User etwas überfordern dürfte. Bis die Hersteller - allen voran Apple und Google - also bessere Wege zwischen Bequemlichkeit und Sicherheit finden, kann man auch durch kleine Schritte für etwas mehr Sicherheit im Ernstfall sorgen, etwa indem man nicht alle Fäden bei einem Provider (Google, Apple) zusammenlaufen lässt. Die üblichen Tipps - kein Passwort für unterschiedliche Accounts parallel nutzen - helfen auch hier, den Schaden zu begrenzen.

Wall Street Journal, Mishaal Rahman