Wie sicher sind diese Daten bei Apple?
iCloud-Schlüsselbund speichert Banking-Logins
Seit dem Mavericks-Update auf Version 10.9.2 lassen sich auch die Login-Daten für Homebanking-Webseiten im iCloud-Schlüsselbund speichern. Zuvor bekam man beim Besuch der entsprechenden Anmeldeseiten die Information angezeigt, dass die Anmeldung nicht gespeichert werden könne, weil der Seitenbetreiber dies nicht erlaube. Diese neue Option ist ein Grund mehr einmal nachzuhaken, wie sicher die im iCloud-Schlüsselbund gesammelten Daten eigentlich sind.
Rich Mogull hat als Antwort auf diese Frage eine kompetente Expertise verfasst. Der Experte für IT-Sicherheit hat das kürzlich von Apple veröffentlichte „iOS Security“-PDF genauestens unter die Lupe genommen und kommt zu einem beruhigenden Schluss:
As I mentioned, part of my day job is advising large businesses and security vendors. I rarely see this level of security, and it’s especially rare to destroy the administrative smart cards required to access the HSM.
Konkret legt Mogull in einem detaillierten Artikel auf der US-Webseite TidBITS dar, wieviel Aufwand Apple betreibt, um die im iCloud-Schlüsselbund gespeicherten Daten vor fremden Augen zu schützen. Dies beinhaltet nicht nur den Schutz vor Angriffen von Außerhalb, sondern auch Sicherheitsvorrichtungen, die es beispielsweise Apple-Mitarbeitern unmöglich machen sollen, auf eure Daten zuzugreifen.
Die Synchronisierung der Daten zwischen den iOS-Geräten bzw. Computern eines Nutzers schützt Apple mittels eines asymmetrischen Kryptosystems vor fremdem Zugriff. Neben dem iCloud-Kennwort wird hier immer ein mit dieser Apple ID verknüpftes Gerät für den Zugriff vorausgesetzt und die von iCloud an das Gerät geschickten Daten können auch nur von diesem einen Gerät entschlüsselt werden. Ein Bösewicht müsste also nicht nur euer Kennwort kennen, sondern zudem auch im Besitz eines eurer mit der iCloud verknüpften Geräte sein.
Ergänzend hält Apple eine streng verschlüsselten Sicherungskopie eures Schlüsselbundes auf den iCloud-Servern vor. Die Wiederherstellung dieses Backups ist allerdings mit umfangreichen Aktionen seitens des Nutzers verbunden. Zudem verhindern aufwändige technische Maßnahmen, dass die Verschlüsselung auf Apples Servern einfach umgangen werden kann.
Wie bereits einleitend erwähnt scheint Apple das Thema Datensicherheit mit Blick auf die in der iCloud gespeicherten Logins und Kennwörter vorbildlich ernst zu nehmen. Vor diesem Hintergrund fällt die Aktivierung des iCloud-Schlüsselbundes in den iCloud-Einstellungen auf dem jeweiligen Gerät deutlich leichter. Für optimale Sicherheit empfehlen wir allerdings unbedingt auch die Aktivierung der von Apple inzwischen auch hierzulande in vollem Umfang angebotenen 2-stufigen Bestätigung für die Apple-ID.
Das iPhone speichert diese Daten übrigens seit den ersten iOS 7 – Betas. Da gibt es bei den Kennwörtern eine Option, ob ALLE Kennwörter gespeichert werden sollen. Dann werden auch Passwörter von Seiten gespeichert, die das eigentlich ausschließen. Hab ich z.B. beim Sparkassen Börsenspiel genutzt, dort war das hinterlegt und die Daten waren nicht sicherheitsrelevant. Ist also nicht wirklich neu, das Verhalten in Mavericks. (zumindest auf Apples gesamtes Ökosystem bezogen)
Banking-Logins oder KK-Daten würde ich aber niemals im iCloud Keychain speichern, auch wenn ich den sonst gerne nutze.
Wo ist diese OPTION?
Unter iCloud -> Schlüsselbund ist nur ein/aus. Keine weitere Option.
eure lobpudelei tut ja fast schon weh… 2 jahre war kein sicheres ssl möglich und die icloud soll auf einmal fort knox sein?
und apple mitarbeiter und co können das nicht entschlüsseln? das wurde doch schon bei imessages gesagt… erst hiess es „können wir nicht entschlüsseln“, dann wurde das gegenteil bewiesen und auf einmal behauptete apple „machen wir einfach nicht“.
wer seine konoverbindungen usw. in der icloud speichert, der sollte mal nen IT grundkurs besuchen…
lustig finde ich auch „müsste euer kennwort kennen“… wer weiss wieviele keylogger im appstore unterwegs sind. nur weil ein proof of concept publik wurde, heisst das nicht, dass andere „bösewichte“ nicht schon längts malware im appstore verteilen.
und da apple uns nicht die möglichkeit einer externen überprüfung/firewall/oder sonstwas gibt, ist „apple-vertrauen“ das einzige was da hilft… neee… neee. neee
Wo wurde bewiesen, dass Apple iMessages lesen kann? Hab ich was verpasst, oder ist das wieder so eine Scheißhausparole?
Letzteres
blah blah… als apple fan liest man anscheinend nur, was man lesen will? http://www.heise.de/security/m.....81606.html
Vor allem: Seit kurzem Wissen wir, dass sogar die in dem Artikel genannten Sicherungsmassnahmen wirkungslos waren.
Heise bemängelt auch die fehlende, bzw. nicht genutzte SSL Verschlüsselung der iCloud.email. Als Anwort erhielt es den üblichen Textbaustein: Danke für Feedback…bla, bla. An Arroganz reicht jedenfalls so leicht kein anderes Unternehmen an Apple ran.
iMessage ist doch End to End-Encrypted?
Zitat des von Sven verlinkten Artikels: „…sodass Dritte inklusive Apple nicht ohne weiteres an den Klartext heran kommen…“ Der Rest ist komplett im Kojunktiv.
Ja. Aber Aufgrund der Zertifikate kannst du theoretisch ne mitm-Attacke druchführen. Lies dir den Artikel durch.
Klar, aber Apple verwaltet die Schlüssel.
…Deine undifferenzierte, mit Emotionen überfrachtete „Analyse“ des Zusammenhangs, tut übrigens auch weh! ;)
Das Problem ist aber dass die Passwörter dann automatisch, ohne weiteren Schutz wie z.B. ein Masterpasswort, auf allen Devices verfügbar sind. Da ein iPhone oder iPad aber leichter verloren oder geklaut wird als ein iMac, bleibt das ungute Gefühl, dass jeder der den Screenlock überwindet auch über das Device gleich Zugriff auf alle Online Konten hat.
völlig richtig! 1password und nur lokal, dann passts.
Screenlock überwinden ist schwer, du könntest z.B. auch einstellen, dass das Device nach 10x Falscheingabe gelöscht wird. Neuaktivierung ist dann auch nicht mehr möglich, da iPhone suchen das Gerät lockt.
In der Vergangenheit gab es immer wieder Fehler in der Software, so dass der Screenlock recht leich umgangen werden konnte, absolut sicher ist man mit dieser Lösung also auch nicht.
nichts ist sicher.
Danke für diesen sinnvollen Kommentar -.-
Der Sinn Janinas Kommentars wird uns in sehr regelmäßigen Intervallen (verstärkt in den letzten Monaten) immer wieder vor Augen geführt!
Solange es genug Verbraucher gibt, die meinen „DA und DORT“ ist es sicher….
Leider ja, aber ich hoffe, dass es weiterhin ehrliche Entwickler geben wird, die nicht von einer Regierung unter Dtuck gesetzt werden.
1. Herr Mogull hat nur DEN INHALT EINES APPLE-DOKUMENTS überprüft – wie und ob das bei Apple tatsächlich IN DIE PRAXIS UMGESETZT wird, weiß Herr Mogul – NICHT!?!
2. Wer ist dieser Herr „Rich Mogull“ – ist z.B. WIRTSCHAFTLICH UNABHÄNGIG?
OMG! Ich stelle mir vor, ähnlich Aussagen kämen von irgend einem „Experten“ über Samsung oder Facebook… „Papier ist geduldig“ & „Der ist doch bezahlt“ wären die sofortigen Reaktionen – erst recht, wenn das fragliche Papier kurz nach einem wirklichen Datenschutz-GAU (über Monate nicht funktionierende SSL-Verschlüsselung – IN DER REALITÄT!) veröffentlicht wird!
Volle Zustimmung. Hier wird neuerdings wieder zu oft durch die rosarote Apple-Brille geguckt.
Merkwürdig: wenn aber irgend ein Heinz über Apple negativ berichtet, wird das für bare Münze genommen…
„Eigentlich sicher ist“ bedeutet nicht wirklich ;-)
Also ich habe anfang der woche noch einen Artikel gelesen, der das genaue gegenteil aussagt. Habe aber keine Ahnung wo das war
Ein amerikanisches Produkt kann gar nicht sicher sein. Der Betreiber des sicheren Mail-Dienstes hat doch gezeigt, wie man einen sicheren Dienst in Amerika betreiben kann: gar nicht.
Konto-Logins speichere ich mit Ausnahme meiner grauen Zellen nirgendwo!
Steinigt mich, doch auch ich stimme mit Janina überein: 100%-ige Sicherheit gibt es nicht.
Genau so mach ich es auch! Und für weniger Wichtiges 1Password, natürlich ohne Cloud.
Yepp – genau so!
ich nutze iCloud Schlüsselbund schon!
Allerdings nur für Passwörter ala Facebook, Twitter, etc.
Für Kreditkartennummer oder Zugangsdaten der Bank ist mir die Sache auch etwas zu heiß…
Wer heutzutage noch so blöd ist irgendwas von Wert irgendwo online zu speichern, dem ist nicht mehr zu helfen!
Ob Apple oder Sony oder wer auch immer, gehackt wurden viele (wir kennen wahrscheinlich nichtmal alle)…
Wer heut zu tage trotz dieser (durchaus dummen) Einstellung jedoch ein Smartphone nutzt, per Facebook kommuniziert und seine Passwörter aufm PC speichert, ist kein deut klüger….
Entweder ganz oder garnicht. Es gibt keinen Zwischenweg wie er gerne propagiert wird. Es bleibt nur Offline oder Online. Es gibt dann beim Thema nur die Option Komfortabel oder Kompliziert. Die Daten sind von Anfang an „weg“ ;)
Ich bin bei der targobank und diese verbietet es Kennwörter im Login Bereich zu speichern. Da kommt vom Mac ein Nachricht hoch die mir berichtet das die targobank es nicht möglich macht und zustimmt Kennwörter zu sichern.
Sicherlich keine schlechte Idee denk ich. Sollten vielleicht alle Banken machen. Denn wo ich wirklich lieber selber mein Kennwort eingebe ist Tatsache bei meinem home Banking.