Datenleck: iPhone synchronisiert mit fremden Kontaktdaten

6 Minuten
Apple iCloud
Bildquelle: Apple
Bei Apples iCloud-System gibt es ein schwerwiegendes Daten-Leck. Vor kurzem setzte sich ein betroffener inside-handy.de-Leser mit der Redaktion in Verbindung um seinen Fall zu schildern. Auf seinem neu eingerichteten iPhone tauchten plötzlich Kontakte und andere Daten einer wildfremden Person auf. Seine Apple-ID wurde anscheinend mit der eines Namens-Vetters synchronisiert, sodass er nun Zugriff auf dessen Backups und Einkäufe hatte.

Thomas Schmidt* (*Name von der Redaktion geändert) staunte nicht schlecht als plötzlich zahlreiche Kontakte in seinem Adressbuch auftauchten, von denen er noch nie gehört hatte. Auch fremde Lesezeichen waren auf einmal im Safari-Browser. Erst wenige Stunden vorher hatte er sein neues iPhone 4 mit seiner Apple-ID eingerichtet und auch die iCloud aktiviert. Beim Einrichten der Apple-ID wunderte er sich bereits, dass seine E-Mail-Adresse schon als Apple-ID verwendet wird, führte dies jedoch auf seine eigene Vergesslichkeit zurück. Vielleicht hatte er sich in der Vergangenheit doch schon mal für einen iTunes-Einkauf oder ähnliches bei Apple angemeldet. Jedenfalls dachte sich Thomas Schmidt nichts weiter dabei und ließ daraufhin einfach sein Passwort zurücksetzen. Schließlich sollte ja nur er als Besitzer dieser E-Mail-Adresse Zugriff auf die Verwaltung des Accounts haben, so seine Annahme. Rückblickend könnte sich bereits an dieser Stelle der iCloud-Fehler eingeschlichen haben.

Apple iCloud Daten-Leck iPhone Fehler

Bildquelle: inside-handy.de

Beim genaueren Betrachten der fremden Kontakte fiel auf, dass es zahlreiche „Schmidt“-Kontakte gab und sich auch ein Namensvetter im Adressbuch befand. Dies ließ den Nutzer schlussfolgern, dass eventuell bei der iCloud-Synchronisierung über seine Apple-ID etwas schief gelaufen sein könnte. Ein Blick in die iCloud-Einstellungen und Backups brachte etwas mehr Klarheit: Dort befanden sich Backups von zwei iPads und einem weiteren iPhone, die ebenfalls einem Thomas Schmidt gehörten. Der iCloud-Speicher war auch von kostenlosen 5 GB auf kostenpflichtige 15 GB erweitert worden. Als iCloud-Account war jedoch weiterhin seine eigene E-Mail-Adresse bzw. Apple-ID hinterlegt und nicht die eines Fremden.

Benutzte hier jemand seine persönliche E-Mail-Adresse ebenfalls als Apple-ID? Um dieser Frage nachzugehen, rief Thomas Schmidt den anderen Thomas Schmidt aus seinen „neuen“ Kontakten an um ihn persönlich zu fragen. Der „zweite“ Thomas Schmidt war völlig überrascht, als ihm der „erste“ Thomas Schmidt erzählte, dass er seit wenigen Minuten Zugriff auf seine gesamten iCloud-Daten habe, sämtliche Kontakte mit Telefonnummern inbegriffen. Wie sich dann herausstellte waren die Apple-IDs der beiden Männer zwar ähnlich, aber nicht identisch. So hatte der zweite Thomas Schmidt noch eine Zahlenkombination in seiner E-Mail-Adresse, und der andere Thomas Schmidt war nur mit seinem Namen bei dem Provider registriert. Die erste Vermutung: Anscheinend hat Apple in diesem Fall zwei ähnlich klingende Apple-IDs durcheinander geworfen und so fremde iCloud-Daten auf das neue iPhone synchronisiert.

Das betroffene iPhone 4 von Thomas Schmidt stammt übrigens von dessen Tochter. Ein fehlerhaftes Zurücksetzen, wodurch eine alte fremde Apple-ID noch im System hängen könnte, kann also auch ausgeschlossen werden.

Apple hat das Problem mittlerweile behoben

Von Apple selbst gibt es keine direkte Stellungnahme, wie es zu diesem Zwischenfall gekommen sein kann. Die Apple-Presseagentur ist kontaktfreudiger und rät betroffenen Nutzern, sich in solchen Fällen direkt an den technischen Support zu wenden. Auch der inside-handy.de-Leser führte ein längeres telefonisches Gespräch mit einer Apple-Mitarbeiterin und erklärte ihr seine Lage. Auch dieser war ein solcher Fall vorher noch nie zu Ohren gekommen und sie versprach, sich der Sache anzunehmen und ebenfalls die zweite betroffene Person zu kontaktieren. In einem zweiten Gespräch wurden dann verschiedene Tests durchgeführt, die auch zu einer erfolgreichen Trennung der beiden Apple-IDs führten. Im weiteren Verlauf wurden keine neuen Kontakte mehr synchronisiert. Wie es zu diesem Fehler kommen konnte, bleibt weiter unklar. Vermutlich handelt es sich hier um einen Einzelfall, der durch einen Synchronisierungsfehler aufgrund der Namensgleichheit der beiden Männer entstanden ist.

Datenschutzrechtliche Bewertung

Das in diesem Fall zuständige bayerische Landesamt für Datenschutz sieht diesen Fall sehr kritisch, grundsätzlich greifen beim Speichern von Daten in einer Cloud die strengen Vorschriften des Bundesdatenschutzgesetzes. Behördensprecherin Miriam Meder erläutert:

„Werden personenbezogene Daten in der Weise bekannt gegeben, dass die Daten an einen Dritten weitergegeben oder ein Dritter zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, so liegt eine datenschutzrechtliche Übermittlung gem. § 3 Abs. 4 S.2 Nr. 3 BDSG durch die verantwortliche Stelle vor. Bei dem geschilderten Sachverhalt ist von einer Übermittlung auszugehen, da die ‚fremden‘ Daten über die Cloud und die Synchronisierung mit dem Endgerät bekannt gegeben wurden.“

Apple hat mit diesem Vorgang offensichtlich den Datenschutz gebrochen. Datenschützerin Meder weiter: „Eine Übermittlung ist, wie jeder sonstige Datenumgang auch, nur zulässig, soweit diese durch eine Rechtsvorschrift erlaubt ist oder eine Einwilligung der betroffenen Person vorliegt. Beides ist in dem geschilderten Sachverhalt, dass die von einem Nutzer in der Cloud gespeicherten Daten einem weiteren Nutzer bekannt gegeben werden, nicht ersichtlich.“

Erste Hilfe für Betroffene

Die Datenschützer empfehlen jedem Nutzer, der feststellt, dass er Zugriff auf fremde Daten hat, z. B. weil er plötzlich ihm nicht bekannte Daten in seinen Kontakten auffindet, sich unverzüglich an das die Cloud betreibende Unternehmen (hier Apple) zu wenden und dieses von der Verwechslung zu unterrichten. Das Unternehmen muss in der Folge reagieren und den Fehler beheben.

Darüber hinaus „sollte der Nutzer, soweit es ihm möglich ist, den anderen Nutzer, dem die Daten zuzuordnen sind, kontaktieren, um ihn einerseits darüber zu informieren, dass ein Zugriff auf die von ihm gespeicherten Daten möglich ist und andererseits, um herausfinden, inwieweit der andere Nutzer Zugriff auf die von ihm selbst hinterlegten Daten nehmen kann und welche Information konkret einsehbar sind.“

Löschung der Daten problematisch

„Eine Löschung der Daten ist insoweit problematisch, als dass oftmals nicht erkennbar ist, wie und wo die Daten gelöscht werden. Unklar ist oftmals, ob diese nur auf dem Endgerät gelöscht oder aus der Cloud entfernt werden. Eine Löschung der Daten durch den Nutzer, dem die Daten nicht zuzuordnen sind, könnte also dazu führen, dass die Daten auch für den Nutzer, dem die Daten zuzuordnen sind, gelöscht werden.“ so die Meinung des bayerischen Landesamtes. Ein solches Vorgehen sollte daher, soweit der andere Nutzer bekannt ist, mit diesem abgesprochen werden.

In jedem Fall ist es sinnvoll, Screenshots anzufertigen, um die Zugriffsmöglichkeit zu dokumentieren und ggf. später nachweisen zu können, wenn z.B. die zuständige Aufsichtsbehörde informiert wird. Nachdem der Fehler behoben ist, sollten grundsätzlich immer die jeweiligen Passwörter oder PIN-Codes, die mit der andere Nutzer eingesehen haben könnte, geändert werden.

Auch der inside-handy.de-Leser hat dies natürlich längst getan. Dennoch beschleicht ihn weiter ein mulmiges Gefühl, wenn er nun seine iCloud benutzt. Inzwischen hat er auch seine Apple-ID geändert und hofft, das Problem damit endgültig behoben zu haben.

Kommentar: Die Gefahren der Cloud

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

VERWANDTE NEWS