Die gehackten iCloud-Accounts einiger Prominenter haben für viel Aufsehen gesorgt. Weniges verletzt die Privatsphäre mehr, als wenn intime Fotos im Internet kursieren, die nicht für die Öffentlichkeit bestimmt waren.
Die ursprünglichen Vermutung, dass die Hacker die iCloud-Accounts durch Brute-Force-Attacken geknackt hätten, hat sich nicht bestätigt. Apple verneint einen entsprechenden Angriff über die Find-my-phone-Funktion. Stattdessen kamen die Hacker wohl über eine Phishing-Attacke oder über erratene Sicherheitsfragen an die Accounts.
Dies zeigt, wie fragil die Authentifizierungsmechanismen im Internet sind. Die gesamte Sicherheit und Online-Identität hängt von einem Passwort ab. Hier verwendet der bequeme Internetnutzer oft viel zu leichte Kennwörter und nicht selten dasselbe für mehrere Dienste. Dieses Passwort gibt der Nutzer auch viel zu leichtsinnig Preis, indem er etwa vermeintlich vom Betreiber des Dienstes stammende E-Mails öffnet und seine Zugangsdaten auf gefälschten Webseiten eingibt.
Die zweite Angriffsmöglichkeit bieten die Dienste, die noch Sicherheitsfragen für den Fall verwenden, dass sich der Nutzer nicht mehr an sein Passwort erinnert. Fragen wie „Name des Haustiers“ oder „Mädchenname der Mutter“ lassen sich in Zeiten des Internets und der sozialen Netzwerke teilweise leicht herausfinden, gerade bei Prominenten. Google etwa verwendet Sicherheitsfragen schon seit einiger Zeit nicht mehr, sondern bietet die Möglichkeit, die Kennwortwiederherstellung über SMS oder Telefon durchzuführen. Dies ist erfreulich und zeigt wieder einmal, dass Google in Fragen der Internetsicherheit Vorreiter ist, ähnlich wie bei den eingeführten Sicherheitsmerkmalen der Zwei-Faktor-Authentifizierung, durchgängigen SSL-Transportverschlüsselung, Perfect Forward Secrecy und der Sender Policy Framework.
Was also tun? Die Ergänzung des Passworts um einen jeweils individuell erstellten und nur zeitlich begrenzt gültigen Faktor wie bei der Zwei-Faktor-Authentifizierung ist gut und richtig. Leider kennen viele Nutzer diese Möglichkeit, die die Sicherheit erheblich erhöht, nicht oder sind zu bequem. Das Dilemma der zu einfachen, mehrfach verwendeten und nicht mehr merkbaren Passwörter wird dadurch nicht gelöst. Der Fingerabdruck taugt in der Paxis nicht, weil die Technik nicht zuverlässig und gegen Tricks geschützt ist und sich der Fingerabdruck im Fälle eines „Diebstahls“ nicht ändern lässt. Die Lösung wäre die Authentifizierung mittels eines Zertifikats, das etwa auf dem neuen Personalausweis gespeichert ist. Diese Lösung funktioniert aber aus mehreren Gründen (noch) nicht: Es wäre eine rein nationale Lösung, mobile Geräte würden nicht (oder zumindest nur schwer) unterstützt und es würde die Betreiber einiges an Geld kosten, dies zu unterstützen.
Die Sicherheit des gesamten Internet sollte aber Grund genug sein, diese Hürden zu überwinden.