Das scheint in Zusammenhang zu stehen mit Leuten, die entgegen allen Ratschlägen ihr iPhone mit einem Passcode ("1234") sichern und weder TouchID noch FaceID benutzen — und die sich bei der Eingabe der PIN beobachten lassen. Außerdem lassen sie dann ihr iPhone in einer Bar liegen, wenn sie auf die Toilette gehen. Dann wird es ihnen gestohlen.

Tja, was soll man da sagen?

Wenn jemand das iPhone in der Hand hat und die PIN kennt, kommt er natürlich an alles ran. Auch FaceID-Abfragen kann er mit der PIN "beantworten", falls z.B. eine Bank-Überweisung einen FaceID-Scan verlangen würde, um das Passwort aus dem Schlüsselbund zu holen. (Aber die Stories in dem Beitrag klangen für mich so, als wäre ohnehin kein FaceID benutzt worden.)

Dasselbe würde jemanden passieren, der sich auf seinem MacBook im Zug beim Einloggen über die Schulter schauen lässt, und dem dann das MacBook gestohlen wird. Aber genau deswegen hat man ja TouchID oder einen Login per Apple Watch.

Ich glaube nicht, dass Diebe etwas mit meinem iPhone anfangen könnten, wenn ich es verlieren würde. Aber ich benutze eben FaceID, TouchID und all den Krimskrams.

Apple ist auch ziemlich hartnäckig, die Anwender zur Nutzung dieser Dinge zu bewegen. Wer es dennoch nicht tut und dann noch schlampig mit seinem Gerät umgeht, der hat eben ein gewisses Risiko.

Es überrascht mich keineswegs, dass das Wall Street Journal sich für diese Story ausgerechnet Apple ausgesucht hat, obwohl Apple in seiner Sicherheitstechnik meilenweit über dem Durchschnitt der Android-Welt liegt. Das ständige Eintippen der PIN ist ein Android-Ding. Vermutlich haben die "Opfer" in dem Artikel es sich von dort abgeschaut; oder vielleicht wurde ihr iPhone konfiguriert von jemanden, der aus der Android-Welt kommt.

Den PIN muss man leider auch trotz Face ID und Touch ID ab und zu noch eingeben. Wenn Face ID dein Gesicht zu oft falsch erkannt hat oder Touch ID deinen Finger. Das ist mir z.B. während der Maskenzeit sehr häufig mit Face ID passiert, dass man dann den PIN eingeben musste, da Face ID mein Gesicht mit Maske nicht immer richtig erkannt hat. Da half auch die Masken Option für Face ID, die Apple paar Jahre später noch nachgereicht hat nicht immer. Ich gebe meine PIN in der Öffentlichkeit auch nur sehr ungern ein, muss ich sagen! Aber manchmal geht es leider nicht anders. Ich schaue mich dann immer um, ob nicht jemand in der nähe ist, der meine PIN sehen könnte. Dann muss man halt den PIN eingeben, sonst kommt man nicht mehr rein. Und wenn dann jemand vorher deinen PIN beobachtet, und auch noch dein iPhone geklaut hat, und du zu es zu spät bemerkt hast, haste praktisch verloren - wenn der Dieb schnell genug war. Solche Fälle gab es wohl häufiger.

Das ist dann natürlich sehr blöd, wenn der Dieb dich dann aus deinem eigenen Account auf dem iPhone ausgeloggt hat und du dein iPhone dann von der Ferne aus nicht mehr sperren oder löschen kannst. Das war ja auch das Problem! Ich denke da wird Apple sicherlich nachbessern, damit sowas in Zukunft nicht mehr so einfach möglich ist.

Ja, aber es kommt auf die Verkettung ungünstiger Umstände an. An einer PIN ist ja erstmal nichts verkehrt. Aber die Frauen, von denen in dem Bericht die Rede ist, saßen offenbar an einer Bar-Theke und unterhielten sich mit unbekannten Menschen. Während dieser Unterhaltung gaben sie offenbar mehrfach die PIN ein, vermutlich weil man sich über Dinge unterhielt, die sich auf dem Smartphone befanden (Urlaubsfotos usw.). Das heißt, diese Frauen gaben ihre PIN sichtbar und arglos ein. Anschließend ließen sie das Smartphone auf dem Tresen liegen und gingen auf die Toilette.

Das ist schon was anderes als die Eingabe einer PIN im Supermarkt wegen der Corona-Maske. Da weiß man, dass ein Risiko besteht und schätzt es ein. Man gibt die PIN nicht so ein, dass es jemand sieht. Schon gar nicht lässt man anschließend das iPhone unbeaufsichtigt liegen und verlässt den Raum.

Sicherlich könnte Apple beim Ändern des iCloud-Passworts noch eine zusätzliche Hürde einbauen. Deswegen gibt es ja Zwei-Faktor-Authentifizierung, bei der man auf einem zweiten Gerät bestätigen muss. Ich weiß nicht, wie praktikabel das im Alltag ist, denn: Leute, die alle Vorsichtsmaßnahmen in den Wind schlagen, würden vermutlich auch eine 2FA nicht verwenden, und Apple muss dennoch Wege finden, dass diese Leute ihr Passwort ändern können. Das ist ja ebenfalls eine Sicherheitsmaßnahme, die, wenn man sie mal braucht, möglichst reibungslos funktionieren sollte, ohne große Hürden.

Man kann das Ändern der iCloud-Einstellungen mit einem zusätzlichen PIN-Code schützen, wenn man die "Bildschirmzeit"-Funktion benutzt. Das ist dazu gedacht, dass Kinder nicht die Einstellungen verändern können, die ihre Eltern eingegeben hatten.

Jörn, Komma, also wenn du keine Lust auf einen solchen Beitrag hast, dann kannst du es auch gerne direkt sagen. Mein Vorschlag geht dahin, dass man in einer Sendung mal die Zusammenhänge durchspielt, die diese Kriminellen ausnutzen. Diese Idee finde ich nach wie vor echt gut, weil man einen spannenden, schönen roten Faden hat anhand dessen mal vieles erklären kann. Außerdem kann man eine schöne Diskussion anschließen über genau das, was du hier aufwirfst: Ist es nur ein Problem für Sicherheitsignoranten oder sollte Apple etwas tun. Ich finde, wir haben hier alle Zutaten für einen guten Beitrag beisammen.

Zum Thema Sicherheitsignorant:
Auch ich nutze FaceID und gebe ungern in der Öffentlichkeit meine PIN ein. Aber ich muss zugeben, dass mir nicht bewusst war, dass mein iPhone und die PIN ausreichen, um mich in drei Minuten aus meinem gesamten digitalen Leben auszusperren. Dass dafür eine Verkettung ungünstiger Umstände nötig ist, sehe ich auch so. Aber ist das wirklich so abwegig?

Ich bin ein Fan von Passwortmanagern wie der iCloud Keychain. Wer mein iCloud Passwort hat, der kann mir wirklich sehr viel Schaden zufügen. Deshalb ist mein iCloud Passwort kompliziert, lang, nirgendwo aufgeschrieben und wird regelmäßig geändert. Mir war jedoch nicht bewusst, dass der Verlust meiner PIN und meines iPhones das gleiche Risiko bergen wie ein Verlust meines iCloud-Passwortes.

Ich hoffe auch sehr, dass Apple hier nachbessert, denn die Abfrage der PIN kommt einfach trotz FaceID viel zu oft, als dass ich dort ein ähnlich kompliziertes Passwort haben möchte. Aber da kannst du natürlich anderer Meinung sein - genau das macht ja eine interessante Sendung aus.

Da stimme ich gerne zu.

Ich hatte vor drei Wochen eine vergleichbare Erfahrung, die mich damals wirklich verblüfft hat. Um einheitlich auf iOS 16 zu sein, habe ich eines meiner zwei iPads ersetzt und in die iCloud eingebunden. Alles gut.

Das „alte Air - max. iOS 15“ lag einige Zeit ungenutzt. Dann kam ich auf die glorreiche Idee, dies als Küchen-iPad für Rezepte und TV einzurichten. Und dafür einen neuen Apple Account anzulegen. Ruck-Zuck erledigt; User Name / Passwort; Passwort aber nicht notiert. Als ich das iPad nun doch verschenken wollte, fürchtete ich große Probleme beim Zurücksetzen. Denkste: Der simple Gerätecode genügte, um die das Passwort der Apple-ID zurückzusetzen. Das hat mich damals sehr überrascht.

Dass daraus nun eine Verbrechensmasche entwickelt wurde, muss nicht wundern. Ich halte das für eine echte Schwachstelle. Den Usern Fahrlässigkeit vorzuhalten, finde ich falsch. Natürlich begünstigt Unvorsicht, ein nur vierstelliger Zugangscode und sichtbare Eingabe diese Masche, aber Apple muss hier schon reagieren.

Gerde der Einsatz der Bildschirmzeit, dies zu lösen, wäre ein gutes Thema für eine der nächsten Sendungen.

Au ja - dieses Thema interessiert mich auch. Bitte bitte 💐🌹🌸

Wir werden das Thema in der heutigen Live-Sendung behandeln. Basti hat das Thema vorbereitet.

Juhu!