So einfach stehlen Diebe nicht nur dein Smartphone sondern auch dein Geld und dein gesamtes digitales Leben
Ein aktueller Bericht des Wall Street Journal (siehe auch unten als Youtube-Video) rüttelt auf. In den USA, aber teils auch in Europa - konkret ist von London die Rede - häufen sich aktuell Fälle von iPhone-Diebstählen, bei denen es die Täter offenbar auf mehr als nur das Handy abgesehen haben. Die Rekonstruktion der Fälle durch Polizei und die Journalistinnen Joanna Stern und Nicole Nguyen führen vor Augen, wie erschreckend einfach es aktuell ist, an die gesamte digitale Identität einer Person beziehungsweise oft auch an das Geld der Opfer zu gelangen.
Alles was hierfür vom Dieb benötigt wird, ist der Pin-Code (Passcode) mit dem das iPhone von vielen Usern abgesichert wird, eine Ziffernkombination, die beim Eintippen oft viel zu leicht beobachtet werden kann. Laut Polizei sind bis dato hauptsächlich Apple iPhone-User das Ziel der Attacken, das bedeutet aber nicht, dass Android-User aus dem Schneider sind. Auch hier funktioniert die gleiche Methodik der Täter, aufgrund des höheren Wiederverkaufswerts scheinen sie sich aktuell aber auf iPhone-Besitzer zu konzentrieren.
Die allzu einfache Methode
In den beschriebenen Fällen wurde die Eingabe des Pin-Codes ausgespäht, der in weiterer Folge für das Zurücksetzen der Apple ID genutzt wurde, was wiederum das Ausloggen auf allen verbundenen Geräten ermöglicht. Damit ist der Dieb auch bereits in der iCloud - der legitime Nutzer hat dagegen innerhalb von Minuten Zugriff auf alle anderen seiner Apple-Geräte verloren und kann das iPhone auch nicht mehr finden oder zurücksetzen. Da immer mehr Finanzdienstleister durch Apple Pay und Google Pay angebunden sind oder der Zugriff auf Bank-Apps im iCloud-Schlüsselbund (Keychain) gespeichert sind, haben die Täter oft auch rasch kompletten Zugriff auf die Finanzen, in vielen Fällen wurden Tausende an US-Dollar gestohlen.
All das wohlgemerkt, ohne dass weitere Sicherheitsmaßnahmen greifen: Eine TAN, die als SMS an eine Nummer gesendet wird, die im gestohlenen Smartphone steckt, hilft natürlich wenig. Noch bedrohlicher kann es werden, wenn Photos von Pass, Führerschein oder Steuerunterlagen ungeschützt als Photos auf dem Smartphone gespeichert werden, denn dann konnten die Diebe beispielsweise auch neue Kreditkarten eröffnen und weiteren Schaden anrichten. Selbst Monate nach diesen Attacken haben viele Betroffene nach wie vor keinen Zugriff mehr auf ihre Kontakte und Daten sowie die in der iCloud gespeicherten Erinnerungen in Form von Photos und Videos. Ohne Recovery-Key, der von den Tätern oft mit ihren geänderten Daten aktiviert wurde, kann und vor allem will auch Apple nicht helfen.
Was man präventiv tun kann
Im Video oben wurden bereits einige Punkte angesprochen, die man präventiv ändern kann, um besser geschützt zu sein. So sollte man etwa den Pin-Code gegen ein längeres alphanumerisches Passwort ersetzen, dieses sollte man zudem wie den Pin-Code seiner Kreditkarte schützen und nicht öffentlich leicht einsehbar eingeben - in vielen Fällen werden ohnehin mittlerweile Face ID oder ein Fingerabdruck für das tägliche Einloggen am Handy genutzt. Banking-Apps sollten mit separaten Passwörtern gesichert werden, die nicht in den Default-Passwort-Managern von Apple und Google gespeichert werden. Hier helfen durch ein komplexes Passwort geschützte Anwendungen von Drittanbietern (etwa Keypass). Photos von sensitiven Daten wie sie etwa in Personalausweisen zu finden sind, sollten gelöscht oder separat in geschützten Bereichen gespeichert werden.
Der Android-Guru Mishaal Rahman hat für alle Android-User noch den Tipp parat, "Advanced Protection" für den Google-Account zu aktivieren, hierfür sind allerdings zwei separate Sicherheits-Schlüssel nötig, etwa ein zusätzlicher USB-Key, was viele User etwas überfordern dürfte. Bis die Hersteller - allen voran Apple und Google - also bessere Wege zwischen Bequemlichkeit und Sicherheit finden, kann man auch durch kleine Schritte für etwas mehr Sicherheit im Ernstfall sorgen, etwa indem man nicht alle Fäden bei einem Provider (Google, Apple) zusammenlaufen lässt. Die üblichen Tipps - kein Passwort für unterschiedliche Accounts parallel nutzen - helfen auch hier, den Schaden zu begrenzen.