Vor kurzem habe ich versucht, das Thema der Zwei-Stufen- und Zwei-Faktor-Authentifizierung etwas zu entwirren und die Nützlichkeit dieser Sicherheitsvorkehrung von Apple etwas schmackhafter zu machen, schon baut Apple eine neue Funktion ein. 

Diese soll im Falle eines Verlustes dem User die Möglichkeit geben, ohne Verifizierung auf die Geräte zugreifen zu können, um diese zu orten oder verlustig zu melden.

Wie habe ich mir das vorzustellen?

Folgendes Szenario: Nehmen wir an, ich besitze nur ein iPhone SE, kein anderes Apple-Gerät. Ich habe eine Apple-ID eingerichtet und kaufe mir ab und zu Apps aus dem Store. Zur allgemeinen Sicherheit habe ich die Zwei-Faktor-Authentifizierung eingerichtet. Zwar kann der Bestätigungs-Code nur an das eine iPhone gesendet werden, aber ein Zugriff beziehungsweise eine Übernahme des Accounts von außerhalb ist dadurch ja nicht möglich. – Bis das undenkbare passiert! Das iPhone wird mir gestohlen. Was nun? Ein Zugriff auf die ID ist ja nur möglich, wenn ich mich bei icloud.com einlogge und die Verifizierung per Code durchführe. Dafür benötige ich ja das iPhone. Kann der Dieb nun vielleicht meinen Account voll nutzen, wenn er an mein Passwort gerät? Noch schlimmer: Ich habe keine Gerätesperre und er kann den Code theoretisch sofort sehen und sich dann in meinem iCloud-Account einloggen…

Für solche Fälle bietet Apple die neue Funktion auf der iCloud.com-Seite an. Noch vor der Verifizierung durch die Zwei-Stufen-Authentifizierung per sechsstelligem Code oder bei der Zwei-Stufen-Authentifizierung mit der Wahl des Gerätes zur Zusendung des vierstelligem Codes  kann auf dem unteren Bereich der Authentifizierung-Seite die Möglichkeit zum schnellen Zugriff auf “Mein iPhone suchen”, den Dienst von Apple Pay (Derzeit in Deutschland noch nicht verfügbar) sowie die Apple Watch genutzt werden.

Mein iPhone suchen

• Bei der Auswahl der “mein iPhone suchen”-Funktion gelangt man zur Kartendarstellung, auf der die Standorte der (registrierten) Geräte dargestellt werden kann. Unter dem Menüpunkt des Namens oben rechts im Bildschirm verbirgt sich ein weiterer, sehr mächtiger, Menüpunkt:

mein iPhone suchen – Übersichtskarte oben rechts

Klickt man auf iCloud-Einstellungen, gelangt man zur Geräteübersicht der registrierten Geräte und kann diese bearbeiten oder aus dem Bestand entfernen. – Und das alles ohne Stufen- oder Faktor-Authentifizierung!

Übersicht der Geräte und Möglichkeiten bei Wahl von “mein iPhone suchen” und iCloud-Einstellungen

 Apple Pay

• Die Apple Pay-Bindung aufheben zu können, ist ebenfalls eine sehr nützliche Funktion, es wäre nicht auszudenken, wenn der Dieb munter durch die Einkaufs-Passage schlendert und per Apple Pay mit der Watch teure Sachen bezahlt.

Apple Watch

• Nachdem ich auf das Apple Watch-Symbol klickte, erschien folgendes Fenster (Auszug):

Der erste Eintrag versetzt mich in die Lage, das Gerät entweder so zu sperren, dass dieses ohne Passwort nicht mehr entsperrt werden kann:

Die zweite Option bietet die Möglichkeit, die Watch als gestohlen, verkauft verschenkt oder als anderweitig abhanden gekommen zu markieren und sie aus der Liste der Geräte zu entfernen:

Und wozu ist das gut?

Im Falle der Apple Watch kann diese wohl nur unbrauchbar gemacht werden (Keine Aktivierung der Watch mehr ohne Passwort) Ich wollte hier kein Risiko eingehen und habe daher nichts dergleichen ausprobiert. Es bleibt daher bei einer reinen Vermutung in Bezug auf die Apple Watch. Beim iPhone hingegen gibt es ein paar mehr Möglichkeiten: Ich kann das iPhone als gestohlen oder anders verlustig melden. Auch kann ich es immer noch orten oder es aus der Ferne löschen beziehungsweise die Verknüpfung mit Apple Pay lösen. Hierfür muss der vier- beziehungsweise sechsstellige Code nämlich nicht eingegeben werden. Damit verhindere ich, dass gegebenenfalls auf meine Kosten im App Store eingekauft werden kann. Auch ein Schutz meiner Daten wie Kontakte, Termine, Mails und Notizen etc. ist durch die Löschung gewährleistet – auch wenn das iPhone dann verloren ist und vom Dieb neu eingerichtet werden könnte.

Nützliche Funktion mit Gefahr des Missbrauchs

So nützlich und sicher die Zwei-Stufen und -Faktor-Authentifizierung und auch die Möglichkeit des Selbstschutzes auch ist:  Sofern jemand in Besitz einer Apple-ID mit dem dazugehörigem Passwort kommt, kann er das Gerät aus der Ferne löschen oder aus dem Bestand entfernen, ohne sich bei iCloud.com durch Verifizierung anmelden zu müssen.

Persönliche Anmerkung des Redakteurs:
Mit dieser Funktion hebelt Apple den Schutz der Authentifizierung meines Erachtens komplett aus. Apple sollte hier schnellstmöglich nachbessern beziehungsweise den einzelnen Usern die Möglichkeit geben, diese “Funktion” abzuschalten. Was bringt mir die beste Code-Abfrage, wenn mir aus der Ferne das Gerät entfernt und gelöscht werden kann? Im Falle einer Fernlöschung könnte ich bei dem oben genannten Beispiel, bei dem ich nur das iPhone als Gerät besäße, nicht auf meine ID zugreifen, weil ich mir den Code nicht zusenden lassen könnte. Es bleibt abzuwarten, ob es in naher Zukunft vermehrt Meldungen über plötzlich gelöschte iDevices geben wird.

Vielleicht wäre es doch einmal an der Zeit, mal wieder über ein neues und vor allem wirklich sicheres Passwort für die Apple-ID nachzudenken.