Heise Security: Sicherheit des iCloud-Schlüsselbunds

Passwörter (60px)
Heise Security berichtet in einem lesenswerten Artikel über die neu in Mac OS X 10.9 (Mavericks) und iOS 7.0.3 eingeführte "iCloud-Keychain" (iCloud-Schlüsselbund)

Mac-Benutzer kennen möglicherweise die eingebaute "Schlüsselbundverwaltung", in das das Betriebssystem wie auch andere Programme Passwörter und Zertifikate sicher speichern. Es erlaubt es aber auch dem Nutzer, eigene Passwörter oder andere sensible Daten aufzubewahren.

Mit dem neuen Betriebssystem Mavericks und der zunehmenden Integration des iCloud-Dienstes hat Apple nun eine neue Kennwortverwaltung eingeführt. Dessen Daten werden über iCloud synchronisiert und sind auf allen (Apple‑) Geräten verfügbar, die über ein iCloud-Konto miteinander verbunden sind.

Heise Security hat einen lesenswerten Artikel veröffentlicht, der diese iCloud-Schlüsselbundverwaltung aus Sicherheitsaspekten anschaut:

Heise Online: Apples Cloud-Safe und die Sicherheit (29.10.2013)

Die Vorteile, die der Artikel nennt, ist zum einen, dass alle sensiblen Daten von Passwörtern (E-Mail, WLAN, VPN) bis hin zu "Kreditkartendaten, Schlüsseln und App-spezifischen Tokens aller Art" zentral gespeichert werden. Der andere Vorteil ist die enge Integration in die Apple-"Ökosphäre": Die Schlüsselverwaltung wird von vielen Programmen auf den Geräten benutzt, und ist sowohl auf Macs als auch auf iOS-Geräten (iPhone, iPad, iPod touch) zugreifbar. Der Artikel untersucht hauptsächlich die Sicherheit dieses neuen Features. Dies insbesondere deswegen, weil Apple offenbar "nachdrücklich" zur die (freiwillige) Einrichtung auffordert.

Ohne der Lektüre vorgreifen zu wollen, hier wichtige Punkte des Artikels:

  • Eine genaue Sicherheitsanalyse ist schwierig, da Apple keine technischen Einzelheiten veröffentlicht hat.

  • Die standardmäßig auf iOS-Geräten angebotene Möglichkeit, als Hauptpasswort ("iCloud-Sicherheitscode") den vierziffrigen Gerätecode oder eine andere vierziffrige Kombination zu verwenden, bezeichnet der Autor verständlicherweise als "armselige" Sicherheit.

  • Es wenn man umständlich darauf besteht, eine komplexeren Sicherheitscode verwenden zu wollen, läßt sich eine "recht gute" Sicherheit gegenüber Angreifern erreichen.

  • Unklar bleibt, inwieweit Apple selbst über seine iCloud-Server Zugriff auf die Daten der iCloud-Schlüsselbünde, auch wenn Apple natürlich angibt, dass sie diese Daten nicht lesen könne.

Ob man nun die iCloud-Schlüsselverwaltung benutzen soll oder nicht, muss jede(r) selbst entscheiden. Möglicherweise ist es sinnvoll, nicht alle sensiblen Daten über die iCloud zu verwalten, sondern in Kombination mit einem anderen Kennwortverwaltungsprogramms zu verwenden, nach dem Motto, nicht alle Eier in ein Nest zu legen .