Nachdem dutzende Nacktfotos von Prominenten wie Jennifer Lawrence im Internet aufgetaucht sind, prüft Apple Berichte über eine Hacker-Attacke auf seinen Online-Speicherdienst iCloud als Quelle. "Wir nehmen die Privatsphäre der Nutzer sehr ernst und untersuchen aktiv diesen Bericht", sagte eine Apple-Sprecherin dem Technologieblog "Recode" am Montag.

Lücke

Zusammen mit den Bildern hatten Unbekannte in Internet-Foren auch die Darstellung gestreut, die Fotos seien aus iCloud erbeutet worden. Wirkliche Beweise für diese Behauptung blieb man zunächst zwar schuldig, einige Stunden später wurde aber tatsächlich eine Lücke in dem Cloud-Speicherdienst öffentlich - samt einem Tool, mit dem sich diese ausnutzen ließ.

Hintergrund

Apple hat offenbar bei der Implementation der Sicherheitssperren für seinen "Find My Phone"-Dienst gepatzt. So konnte bei diesem eine unbegrenzte Anzahl an Passwörtern ausprobiert werden, statt dass wie sonst üblich nach wenigen Versuchen der Account gesperrt wird. Dadurch war es Angreifern möglich, eine "Brute Force Attack" durchzuführen, bei der in schneller Abfolge Passwörter durchprobiert werden. Einfache Passwörter können so recht schnell geknackt werden. Zwar hat Apple schon vor einiger Zeit die Mindestanforderungen für die Komplexität von iCloud-Passwörtern erhöht, dies gilt aber nur für neue Accounts.

Kritik

Die betreffende Lücke hat Apple zwar nach ersten Berichten am Montag rasch geschlossen, und doch dürfte die Kritik an Apple in dieser Causa kaum abreißen. Denn wie sich nun herausstellt, wurde der betreffende Fehler bereits vor einigen Tagen auf einer Sicherheitskonferenz in Russland demonstriert.

Tipps

Ganz allgemein raten Sicherheitsexperten, diesen Vorfall zum Anlass zu nehmen, den eigenen Umgang mit Cloud-Speicherdiensten zu hinterfragen. So ist es essenziell, gerade für solch öffentlich zugängliche Services wirklich gute und nicht einfach zu erratende Passwörter zu wählen. Auch empfiehlt sich die Aktivierung der Zwei-Weg-Authentifizierung, wie sie dem Vorbild von Google und Dropbox folgend mittlerweile auch Apple anbietet. Damit wird bei jedem Login auf einem neuen Rechner zusätzlich zum eigentlichen Passwort auch noch ein regelmäßig wechselnder Code verlangt, der nur über das eigene Smartphone zu beziehen ist.

Offene Fragen

Unterdessen ist angesichts der Fülle an aufgetauchten Fotos unklar, ob diese alle wirklich aus derselben Quelle stammen. So gibt es einige Hinweise darauf, dass zumindest einzelne Bilder aus früheren Hacks stammen könnten. Zur Unübersichtlichkeit der Situation trägt bei, dass Dritte mittlerweile versuchen, mit dem Weiterverkauf von Fotos Geld zu machen, und andere wiederum gezielt Fehlinformationen streuen.

Schlechtes Timing

Für Apple kommen Zweifel an der Sicherheit seiner Dienste jedenfalls zur Unzeit: Das Unternehmen will kommende Woche voraussichtlich neue iPhones und einen mobilen Bezahldienst vorstellen. Auch eine Erweiterung der Möglichkeiten der iCloud als Fotospeicher sollte dabei wohl eine wichtige Rolle spielen.

Behörden

Lawrence' Sprecher hatte nach Auftauchen der Bilder am Sonntag erklärt, die Behörden seien eingeschaltet worden. Jeder, der die gestohlenen Fotos veröffentliche, werde belangt. Auch Vertreter des Models Kate Upton drohten dies an. Die Bundespolizei FBI schaltete sich mittlerweile in die Ermittlungen ein.

Vorgeschichte

Es ist bei weitem nicht der erste Einbruch in Computer von Prominenten. So war vor zwei Jahren ein Mann aus Florida nach mehreren Cyberattacken auf US-Stars zu zehn Jahren Gefängnis verurteilt worden. Er hatte ein knappes Jahr lang mehr als 50 Opfer, darunter Scarlett Johansson, Mila Kunis oder Christina Aguilera, ausspioniert. Er hackte ihre Konten, griff auf private Fotos und Informationen zu und verbreitete sie im Internet. (apo, derStandard.at, APA, 2.9.2014)