Apple gibt, sofern entsprechende Anordnungen vorliegen, Daten zu E-Mail-Nutzern an Behörden heraus, die den iCloud+-Service „E-Mail-Adresse verbergen“ („Hide my E-Mail“) nutzen. Das wurde nun in den USA bekannt. Das investigative IT-Blog 404 Media berichtet, dass es in dem Fall um schwere Bedrohung ging – genauer gegen die aktuelle Freundin des Chefs der US-Bundespolizei FBI. Laut entsprechenden Gerichtsdokumenten hatte Alden R. über den Dienst, den er für anonym hielt, eine Drohmail an Alexis Wilkins, Partnerin von Kash Patel, geschickt.

Ermittlungsbehörden klopfen bei Apple an

Wilkins wendete sich an Strafverfolger, die wiederum die zugehörigen Informationen von Apple anforderte. Der iPhone-Konzern gab seinen Namen und seine echte iCloud-E-Mail-Adresse, die bei „E-Mail-Adresse verbergen“ stets hinterlegt ist, heraus. Laut der Gerichtsunterlagen gingen die Informationen sogar darüber hinaus, so wurde bekannt, dass Alden R. insgesamt 134 E-Mail-Aliase generiert hatte.

„E-Mail-Adresse verbergen“ wird von Apple allerdings nicht als Anonymisierungsdienst vermarktet, sondern dient vor allem dazu, Spam zu verhindern. Allerdings schreibt Apple auf seiner Supportseite, dass das Feature auch dazu dient, „deine persönliche E-Mail privat zu halten“. Zahlende Nutzer von iCloud+ (ab 99 Cent im Monat) können den Service nutzen. Er ist direkt in Apples E-Mail-System auf iPhone, iPad und Mac integriert und generiert zufällige Adressen, die man dann beispielsweise für eine Website nutzen kann. Die Aliase sind beliebig abstellbar, so dass man Spam schneller loswerden kann. „E-Mail-Adresse verbergen“ ist auch in Apples Login-System „Mit Apple anmelden“ integriert, mit dem man sich bei zahlreichen Websites über seinen Apple-Account registrieren kann.

FBI will Zugriff aufs iPhone

Alden R. wurde von Polizisten bereits befragt und er soll zugegeben haben, die Drohmails an Wilkins verschickt zu haben. Mittlerweile gibt es eine Anklage einer Grand Jury, sie lautet auf „Transmitting a Threat in Interstate Commerce“, also Bedrohung im Rahmen des geschäftlichen Verkehrs zwischen zwei US-Bundesstaaten.

Das FBI will nun noch mehr: Die Bundespolizei verlangt eine gerichtliche Genehmigung, die Geräte von R. wie sein iPhone durchsuchen zu dürfen. Zudem soll R. gezwungen werden, das Gerät zu entsperren und auch der Diebstahlschutz abgeschaltet werden, der das Gerät sperrt. Apple hat sich zu dem Fall bislang nicht geäußert.

(bsc)

Mit macOS Tahoe 26.4, erschienen in dieser Woche, hat Apple eine neue Warnfunktion integriert, die Nutzer vor der Ausführung gefährlicher Kommandozeilenbefehle abhalten soll. Wie Nutzer in sozialen Medien wie Reddit berichten, scheint dabei eine Überwachung der Zwischenablage zu erfolgen. Erkennt Apple hier möglichen Schadcode, ist ein Einfügen gar nicht erst möglich. Allerdings blieb zunächst unklar, wann genau die Warnung anschlägt.

Kommandozeile als neuer Angriffsvektor – Nutzer hilft

Zuletzt interessierten sich immer mehr User für die Kommandozeile und Apples Terminal-App auf dem Mac. Der Grund ist der Hype um KI-Assistenten und KI-Programmierwerkzeuge wie OpenClaw und Claude Code. Während OpenClaw am einfachsten per Kommandozeile installiert wird, interagiert man mit Claude Code und anderen Coding-Assistenten oft direkt über das Terminal. All das heißt, dass mehr Nutzer überhaupt mit dem Terminal in Berührung kommen, darunter auch viele Einsteiger. Um nicht viel eintippen zu müssen, kopieren sie dann Kommandozeilenbefehle aus dem Web und führen sie – nicht selten inklusive Eingabe eines Administratorpassworts – auch gleich aus.

Auf diese Weise kann Schadcode sehr einfach den ganzen Rechner übernehmen. Zuletzt war dies beim Infostealer GhostClaw respektive GhostLoad häufiger passiert, für den gefälschte GitHub-Repositories sowie auch npm-Pakete zur Verbreitung dienten. Auch hier interagieren Nutzer direkt mit der Kommandozeile, ohne möglicherweise zu wissen, was sie dort tun.

Was im Hintergrund passiert, verrät Apple nicht

Apples neue Terminal-Gefahrenwarnung ergänzt bestehende Werkzeuge, um das Ausführen von Schadcode per Klick zu verhindern. Erkennt macOS ab 26.4 problematischen Code, taucht künftig die Warnung auf, dass es sich „möglicherweise um Malware“ handelt und die Befehle landen nicht im Terminal. In dem Pop-up heißt es weiter, der Mac sei nicht beschädigt worden – und es wird erläutert, dass Betrüger zunehmend versuchten, über eingefügten Text im Terminal eine Schädigung des Rechners zu erreichen – „oder ihre Privatsphäre zu kompromittieren”. Apple erläutert weiter, dass diese Scam-Anleitungen „über Websites, Chat-Agenten, Apps, Dateien oder Telefonanrufe“ verteilt würden.

Nutzer können sich dazu entscheiden, den Inhalt doch ins Terminal einzufügen. Apple blockiert also bislang nicht strikt. Angaben dazu, welche Befehle die Warnungen genau auslösen und ob das System etwa in nachgeladenen Shell-Skripte schaut, die von Angreifern oft verwendet werden, ist unklar. Bei einem Versuch mit einer legitimen CLI-Anwendung (Command Line Interface) eines Audiodienstes, die auch ein Administratorpasswort verlangt (was problematisch sein kann), wurde das Kommando nicht gestoppt.

(bsc)

Das Bundesdigitalministerium hat einen Entwurf für das Digitale-Identitätengesetz (DIdG) veröffentlicht. Es soll die EU-Vorgabe umsetzen, wonach jeder Mitgliedstaat bis Ende 2026 mindestens eine „Europäische Brieftasche für die Digitale Identität“ (EUDI‑Wallet) bereitstellen muss.

Die EUDI-Wallet ist eine App auf dem Smartphone, die Nutzer:innen künftig als digitale Brieftasche verwenden können. Statt Personalausweis oder Führerschein in Papierform mitzuführen, sollen sie Dokumente dann digital auf dem Smartphone speichern und so die eigene Identität gegenüber Behörden oder Unternehmen nachweisen können.

Konkret regelt der Entwurf, welche Behörden für welche Aufgaben zuständig sind, wie eine Wallet bereitgestellt werden kann und wie sie im laufenden Betrieb überwacht wird. Demnach soll das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) weitgehende Durchgriffsrechte bei der Wallet erhalten. Außerdem sieht der Entwurf vor, dass die Wallet perspektivisch auch für Alterskontrollen bei Kindern erprobt werden kann. Und sie soll künftig auch zum Bezahlen eingesetzt werden – und damit perspektivisch das physische Portemonnaie ersetzen.

Fünf wichtige Akteure

Im Zentrum des Entwurfs steht das neue „Gesetz zur Durchführung der unionsrechtlichen Vorschriften über die Europäische Brieftasche für die Digitale Identität“ (EBDIG). Daneben verändert der Entwurf verschiedene bestehende Gesetze, wie das Onlinezugangsgesetz (OZG), das Vertrauensdienstegesetz sowie verschiedene Telekommunikationsverordnungen.

Das EBDIG soll regeln, welche Ministerien und Behörden für die Wallet zuständig sind. Insgesamt fünf Akteure sind hier wichtig. Demnach entscheidet das BMDS darüber, wie eine Wallet in Deutschland bereitgestellt wird. Drei Möglichkeiten sind vorgesehen: Erstens kann der Staat die Wallet selbst entwickeln und betreiben. Oder er schreibt zweitens die Entwicklung aus und beauftragt ein privates Unternehmen damit. Drittens können private Unternehmen eigene Wallets anbieten, die der Staat dann prüft und offiziell anerkennt. Das BMDS kann dabei auch mehrere dieser Wege gleichzeitig gehen und die Entscheidung laut Entwurf jederzeit ändern.

Wer die Wallet nutzt, soll laut EU-Verordnung transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergegeben werden. Diese „vertrauenden Beteiligten“ können eine Bank, ein Online-Shop oder eine Behörde sein. Der Gesetzentwurf sieht vor, dass sie sich in Deutschland zuvor beim Bundesverwaltungsamt (BVA) registrieren müssen.

Die Bundesnetzagentur (BNetzA) soll hingegen die nationale Marktaufsicht übernehmen und damit ebenfalls eine zentrale Funktion innehaben. Die Behörde prüft, ob staatliche und private Wallet-Anbieter die europäischen Sicherheits- und Datenschutzvorgaben einhalten. Außerdem ist sie die einheitliche Anlaufstelle gegenüber der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Wallet-Lösungen und überwacht Sicherheitsverletzungen.

Schließlich gibt es noch die sogenannte Akkreditierungsstelle. Sie agiert gewissermaßen als Prüfstelle der Prüfstellen und stellt so sicher, dass unabhängige Stellen, die Wallet-Lösungen technisch prüfen, dafür ausreichend kompetent und vertrauenswürdig sind.

Viele Durchgriffsrechte fürs Digitalministerium

Immer wieder betont Digitalminister Karsten Wildberger (CDU), dass man bei der Digitalisierung nun endlich anpacken und ins Machen kommen müsse. Dieser Anspruch schlägt sich auch im Gesetzentwurf nieder. Denn der sieht für das BMDS zahlreiche Durchgriffsrechte vor. Wichtige Weichenstellungen würden damit durch die Exekutive und nicht durch den Bundestag oder die Parlamente der Länder erfolgen.

Demnach darf das Ministerium ohne Zustimmung des Bundesrats etwa technische Details und weitere Funktionen festlegen. Das Ministerium soll dabei auch jene Verfahren festlegen dürfen, über die sich Nutzer:innen identifizieren, wenn sie ihre Wallet freischalten.

Hier will sich das Ministerium anscheinend den Weg zu alternativen Identifikationsmethoden offenhalten – und Szenarien wie bei der elektronischen Patientenakte vermeiden. Die Nutzungszahlen der ePA bleiben bislang weit hinter den Erwartungen zurück. Deshalb können Versicherte die ePA inzwischen auch per Video-Ident-Verfahren freischalten. Sicherheitsfachleute kritisieren das Verfahren allerdings als weniger sicher.

Die wichtigsten Fragen und Antworten zur digitalen Brieftasche

 Wallet für 12-Jährige: Mögliche Grundlage für Alterskontrollen

Eine „Experimentierklausel“ im Gesetzentwurf wird hier konkreter. Sie erlaubt es dem BMDS, neue Verfahren zu erproben, mit denen Nutzer:innen nachweisen, wer sie sind – und zwar auch unter Einbeziehung „geeigneter, zuverlässiger Dritter“. Das können etwa Post- oder Bankdienstleister sein, gegenüber denen sich Bürger:innen vor Ort ausweisen können, um ihre persönliche Wallet freizuschalten. Tatsächlich verfügen etwa die Sparkassen bereits über Lösungen, die als Ersatz für den ePerso dienen könnten.

Die Experementierklausel sieht außerdem die Möglichkeit vor, dass Kinder ab 12 Jahren die Wallet nutzen können. Das deutet darauf hin, dass das Ministerium die digitale Brieftasche auch für Alterskontrollen auf Social-Media-Plattformen erproben möchte.

Solche Alterskontrollen im Netz fordern CDU und Teile der SPD, um ein Social-Media-Verbot für Minderjährige durchzusetzen. Allerdings besteht eine Ausweispflicht in Deutschland erst ab einem Alter von 16 Jahren. Anscheinend erwägt das BMDS, die Wallet hier als technische Lösung zu verwenden. Der Gesetzentwurf nennt dabei ein Mindestalter von 12 Jahren. Bei den derzeit diskutierten Alterskontrollen liegt die vorgeschlagene Schwelle oftmals bei 14 beziehungsweise 16 Jahren.

Kartenzahlung soll die Wallet auch noch können

Die Wallet soll perspektivisch nicht nur Ausweise und Führerschein bereithalten, sondern auch als Zahlungsmittel dienen. In der Begründung des Entwurfs verweist das BMDS darauf, dass die Integration von Zahlungsfunktionen ein Ziel des Koalitionsvertrages von CDU/CSU und SPD ist.

Der Entwurf sieht vor, dass bestehende Zahlungsmittel der Nutzer:innen „als zusätzliche Funktion“ in die Wallet eingebunden werden können. Als Beispiele nennt der Entwurf „Kreditkarten, virtuelle Debitkarten sowie Online-Bezahldienste“.

Gleichzeitig macht der Entwurf hier enge Vorgaben. So muss ein Zahlungsmittel den Nutzer:innen bereits gehören und außerhalb der Wallet existieren. Es darf also kein neues Zahlungsmittel aus der Wallet heraus erstellt werden. Auch ist die Zahlungsfunktion unzulässig, wenn sie die Kernfunktionen der Wallet beeinträchtigt, deren Sicherheit gefährdet oder „unangemessene Risiken“ für Nutzer:innen schafft.

Außerdem braucht das BMDS für alle Verordnungen, die Zahlungen betreffen, die Zustimmung des Finanzministeriums. Will ein Anbieter eine Zahlungsfunktion in seine Wallet einbinden, muss er dies zudem mindestens drei Monate vorher beim BSI anzeigen.

Ministerium drückt aufs Tempo

Das Digitalministerium hat bis zum Jahresende nicht mehr viel Zeit und drückt daher aufs Tempo.

Aktuell stimmen sich die verschiedenen Bundesministerien über den Entwurf ab. Parallel dazu findet eine Länder- und Verbändeanhörung statt, die trotz der Osterfeiertage bereits bis zum 15. April abgeschlossen sein soll. Eine weitere Stellungnahmenfrist ist laut Ministerium nicht geplant.

Die kurzen Fristen erklärt das Ministerium in einer E-Mail an die Verbände mit „der Dringlichkeit des Vorhabens und des Laufs der unionsrechtlichen Frist zur Bereitstellung einer EUDI-Wallet bis 24. Dezember 2026“. Voraussichtlich im Sommer wird sich dann das Bundeskabinett mit dem Gesetz befassen.