Apple weist jede Mitschuld an dem Hack der Promi-Nacktfotos von sich: Die Erklärung des Unternehmens besagt, nach 40-stündiger Untersuchung sei klar, dass die Nutzerkonten der Betroffenen sehr gezielt angegriffen worden seien. Es habe keine Lücke in den Apple-Systemen iCloud oder Find my iPhone an sich gegeben, wie unabhängige Sicherheitsforscher zuvor vermutet hatten. Die Täter hätten schlicht Benutzernamen, Passworte und Sicherheitsfragen ins Visier genommen, "eine Praxis, die im Internet nur zu gewöhnlich geworden ist", wie es in der Mitteilung heißt.

Die vorletzte Zeile der dünnen Meldung lautet: "Um sich gegen solche Attacken zu schützen, raten wir allen Nutzern, immer starke Passwörter und die Zwei-Faktor-Authentifizierung zu verwenden."

Das klingt nach: Gegen solche Angriffe sind wir machtlos, wir können ja nichts für die schwachen Passwörter und leicht zu erratenden Antworten auf die Sicherheitsfragen unserer Kunden.

Externe Sicherheitsspezialisten haben die 40 Stunden besser genutzt: Sie haben die wahrscheinlichsten Angriffsszenarien beschrieben und dabei klargestellt, an welcher Stelle die Nutzer bessere Vorsichtsmaßnahmen hätten treffen können und an welchen Stellen Apple nachlässig war.

Den wohl vollständigsten Bericht hat Nik Cubrilovoc verfasst, ein australischer Unternehmer, Blogger, Hacker und Sicherheitsberater.

In einer Hinsicht ist sich Cubrilovoc  mit Apple einig: Die Täter haben keine iCloud-Server gehackt, sondern sich Zugriff auf fremde iCloud-Konten verschafft. In iCloud befinden sich Sicherungskopien unter anderem von iPhone-Dateien wie Fotos und Kontaktlisten, die sich mit der geeigneten Software herunterladen und durchsuchen lassen. Es gibt einen Weg durch die Vordertür, mit Apple-ID und Passwort. Und es gibt den Weg durch die Hintertür: Wer das Passwort "vergessen" hat, kann es zurücksetzen und neu vergeben, wenn er nach seiner Apple-ID noch sein Geburtsdatum eingibt und zwei Sicherheitsfragen beantwortet.

Der erste Schritt für die Angreifer wäre es, die Apple-ID eines Opfers herauszubekommen. Das gelingt durch bloßes Ausprobieren, denn die ID ist eine beliebige E-Mail-Adresse. Wer versucht,  damit ein neues Apple-Konto anzulegen, bekommt von Apple angezeigt, ob diese schon mit einem anderen Konto verknüpft oder noch "frei" ist. Das lässt sich beliebig oft wiederholen, die Täter können also so lange herumprobieren, bis sie eine vergebene Adresse erwischen. Lautet die zum Beispiel "jennifer.lawrence@gmail.com", kann es sich dabei um die private Adresse des Hollywoodstars handeln. 

Der zweite Schritt wäre es, das Geburtsdatum ihrer Opfer einzugeben. Es wird beim Versuch abgefragt, das Passwort eines iCloud-Kontos zurückzusetzen. Auch hier hat es Apple versäumt, die Anzahl der erlaubten Eingabeversuche zu beschränken. Selbst wenn ein (prominenter) Nutzer also klug genug war, nicht sein wahres und öffentlich bekanntes Geburtsdatum zu verwenden, können Unbefugte es einfach so oft versuchen, bis sie das richtige Datum gefunden haben.

Über Facebook die Antworten auf Sicherheitsfragen suchen

Der dritte Schritt für die Angreifer wäre die Beantwortung zweier Sicherheitsfragen, die ein Nutzer bei der Einrichtung seines Kontos ausgewählt hat. Cubrilovo sagt, es gebe unter den Tätern spezialisierte Gruppen, die ihre Opfer in sozialen Netzwerken beobachten, sich dort mit ihnen oder ihren Bekannten anfreunden, um an Informationen zu gelangen, die Aufschluss über die richtigen Antworten geben. Ein einfaches, fiktives Beispiel: Ist eine der voreingestellten Sicherheitsfragen die nach dem Namen des Haustiers, würde ein Angreifer versuchen, diesen Namen herauszufinden.

Nutzer könnten diese Angriffe erschweren. Cubrilovoc hat zum einen die zum Teil veröffentlichten E-Mail-Adressen untersucht und festgestellt, dass 98 Prozent von ihnen zu Gmail, Yahoo oder einem der anderen großen Anbieter gehören. Wer für die iCloud-Registrierung eine Mailadresse bei einem weniger bekannten Anbieter wählt und in der Adresse nicht auf seinen echten Namen hinweist, ist besser geschützt. Zum anderen könnten sie bei der Einrichtung ihres Kontos absichtlich sinnlose oder falsche Antworten auf die Sicherheitsfragen wählen.

Aber auch Apple könnte handeln, sagt Cubrilovoc, und Apple-ID, Geburtsdatum und Sicherheitsfragen nicht hintereinander, sondern gleichzeitig abfragen. Wer eines der Felder falsch ausfüllt, dürfte dann nur eine allgemeine Fehlermeldung bekommen, die nichts darüber aussagt, was falsch eingegeben wurde. Cubrilovoc gibt dem Konzern zumindest eine Teilschuld daran, dass es mitunter einfach ist, an die Nutzerdaten zu gelangen.