Wegen des „Lockdown Mode“ auf dem iPhone konnte das FBI das iPhone einer Washington-Post-Reporterin nicht entsperren

 (404media.co)
1 Punkte von GN⁺ 2026-02-05 | 1 Kommentare | Auf WhatsApp teilen
  • Aus Gerichtsdokumenten geht hervor, dass das FBI ein beschlagnahmtes Gerät einer Reporterin nicht forensisch auswerten konnte, weil auf dem iPhone der Lockdown Mode aktiviert war
  • Das iPhone der Washington-Post-Reporterin war zum Zeitpunkt der Beschlagnahmung eingeschaltet, konnte wegen des Lockdown Mode jedoch nicht ausgelesen werden
  • In Regierungsunterlagen wird ausdrücklich festgehalten, dass das Computer Analysis Response Team (CART) des FBI keine Daten von dem iPhone extrahieren konnte
  • Der Lockdown Mode wurde ursprünglich zum Schutz vor hochgradig zielgerichteter Spyware entwickelt, es zeigte sich jedoch auch, dass er physischen forensischen Zugriff einschränkt
  • Der Fall zeigt, dass fortgeschrittene Sicherheitsfunktionen von Apple digitalen Zugriff durch Strafverfolgungsbehörden blockieren können, und verdeutlicht das Spannungsverhältnis zwischen stärkerer mobiler Sicherheit und forensischen Möglichkeiten von Ermittlungsbehörden

Überblick über den Vorfall

  • Das Haus der Washington-Post-Reporterin Hannah Natanson wurde im Januar 2026 vom FBI im Rahmen von Ermittlungen wegen eines Leaks geheimer Informationen durchsucht
  • Die Ermittlungen stehen im Zusammenhang mit dem Vorwurf, dass der Regierungsauftragnehmer Aurelio Perez-Lugones geheime Informationen besessen und weitergegeben habe
  • Die Regierung geht davon aus, dass Perez-Lugones die Quelle war, die Natanson geheime Informationen geliefert hat

Beschlagnahmte Geräte und Ergebnis des Zugriffs

  • Zu den beschlagnahmten Geräten gehörten ein iPhone 13, zwei MacBook Pro, eine externe Festplatte und ein Aufnahmegerät
  • Das iPhone war eingeschaltet, wurde geladen, und auf dem Bildschirm war der Hinweis „Lockdown Mode“ zu sehen
  • Laut Gerichtsdokumenten heißt es ausdrücklich: „Wegen des Lockdown Mode konnte CART dieses iPhone nicht auslesen.“
  • Auch mehr als zwei Wochen nach der Beschlagnahmung hatte das FBI weiterhin keinen Zugriff auf das iPhone

Die technische Bedeutung des Lockdown Mode

  • Der Lockdown Mode beschränkt Nachrichtenanhänge, Web-Rendering und FaceTime-Verbindungen, um die Angriffsfläche von iOS zu minimieren
  • Bei Verbindungen mit externen Geräten ist zwingend eine Entsperrung des Geräts erforderlich
  • Dadurch werden wichtige Zugriffswege forensischer Tools auf Basis physischer Verbindungen wie Graykey und Cellebrite blockiert
  • Der CEO des Digital-Forensik-Unternehmens Garrett Discovery sagte, dass „viele fortgeschrittene Ermittlungsmethoden durch den Lockdown Mode blockiert werden“

Biometrische Authentifizierung und rechtlich erzwungene Entsperrung

  • Der Durchsuchungsbefehl umfasste die Befugnis, das Gerät per Fingerabdruck- oder Gesichtserkennung zwangsweise zu entsperren
  • Natanson nutzte auf ihrem iPhone jedoch keine biometrische Authentifizierung, und im Lockdown Mode wäre ein solcher Versuch ohnehin nicht möglich gewesen
  • Beim zweiten MacBook Pro gelang die Entsperrung dagegen per Fingerabdruck

Daten, auf die zugegriffen werden konnte

  • Das FBI sicherte vom entsperrten MacBook Pro Fotos und Sprachaufnahmen aus Unterhaltungen in der Signal-App
  • Allerdings konnte selbst von diesem Notebook noch kein vollständiges physisches Abbild (full physical image) erstellt werden

Sicherheitswettlauf zwischen Ermittlungsbehörden und Plattformen

  • Berichten zufolge hat Apple 2024 ebenfalls geändert, dass sich iPhones nach längerer Inaktivität automatisch neu starten
  • Dadurch wechselt das Gerät in den Zustand BFU (Before First Unlock), was die forensische Auswertung erschwert
  • Dieser Fall gilt als Beispiel dafür, dass verstärkte Software-Sicherheitsmaßnahmen in realen Ermittlungen tatsächlich wirksam sind

Offizielle Stellungnahmen

  • Apple und die Washington Post reagierten nicht auf Anfragen nach einer Stellungnahme
  • Das FBI lehnte eine offizielle Stellungnahme zu dem Fall ab

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-05
Hacker-News-Kommentare
  • Archivlink zum Originalartikel
  • Man sollte sich daran erinnern, dass man zur Nutzung von Touch ID gezwungen werden kann, aber nicht zur Herausgabe eines Passcodes
    Laut diesem Tweet hat das FBI über Touch ID auf dem dienstlichen MacBook der Reporterin Hannah Natanson auf Signal-Nachrichten zugegriffen. Da das Notebook die Touch-ID-Authentifizierung zuließ, konnte die Entsperrung rechtlich verlangt werden
    • Es wird ein Twitter-Mirror-Link geteilt, um eine direkt von einem bestimmten Milliardär besessene Plattform nicht zu unterstützen
    • Der früher für ein anderes Problem vorgeschlagene MacBook-Ruhezustandsbefehl hilft auch hier
      Siehe den Erklärlink. Wenn das Notebook geschlossen wird oder in den Ruhezustand geht, schreibt es den RAM auf die Festplatte und schaltet sich vollständig aus. Das Wiederaufnehmen ist langsamer, aber bei der ersten Entsperrung ist keine Fingerabdruck-Authentifizierung erlaubt, sodass Sicherheit auf Cold-Boot-Niveau erhalten bleibt
    • Wer den Passcode nicht herausgibt, kann wegen Missachtung des Gerichts (contempt) bis zu 18 Monate inhaftiert werden
      Verwandter Fall
    • Unsere Rechte sind kein Naturrecht, sondern etwas, wofür man kämpfen muss, damit sie von der Regierung respektiert werden
    • Es wird gefragt, ob das Wissen darüber, welcher Finger verwendet wird, genauso geschützt ist wie ein Passcode
      Strafverfolgungsbehörden können einen Finger zwar physisch auflegen, aber man könnte das Recht haben, die Auskunft darüber zu verweigern, welcher Finger der richtige ist. Nach einigen Fehlversuchen wird das Gerät gesperrt und verlangt die Eingabe des Passcodes. Deshalb wird scherzhaft gesagt, man würde lieber die Hundenase verwenden
  • Apples Lockdown Mode ist frustrierend, weil er so sehr „alles oder nichts“ ist
    Man möchte nur einige Funktionen aktivieren, etwa das Blockieren von FaceTime-Anrufen unbekannter Personen, das Deaktivieren von Link-Vorschauen oder das Sperren externer Geräteverbindungen im gesperrten Zustand, aber nicht die übrigen Einschränkungen. Es wäre gut, wenn sich detaillierte Optionen einzeln umschalten ließen.
    Zum Beispiel wirkt sich das Deaktivieren des JavaScript-JIT negativ auf Web-Performance und Akku aus. Auch geteilte Alben oder die Installation benutzerdefinierter Schriftarten werden blockiert. Dieses Fehlen fein abgestufter Sicherheitseinstellungen schwächt die Sicherheit eher
    • Auch hier gibt es Zustimmung zur Einschränkung bei geteilten Alben. Erst später wurde bemerkt, dass man mit aktiviertem Lockdown Mode das Familienalbum nicht sehen kann. Man musste ihn vorübergehend deaktivieren, Fotos teilen und dann wieder einschalten.
      Auch Screen-Time-Anfragen funktionieren nicht. Benachrichtigungen kommen an, aber man kann nicht darauf reagieren.
      Es wird verstanden, warum Apple das als Alles-oder-nichts entworfen hat — wenn auch nur eine riskante Einstellung zugelassen wird, bricht das gesamte Sicherheitsmodell zusammen.
      Die größte Unannehmlichkeit ist jedoch, dass man bei Problemen oft nicht erkennen kann, ob Lockdown Mode die Ursache ist, und ihn daher häufig aus- und wieder einschalten muss
    • Gemeint ist, dass man im Lockdown Mode Profile nicht ändern kann. Vorhandene Profile bleiben erhalten
    • Familienalben funktionieren auch im Lockdown Mode. Außerdem kann man Web-Einschränkungen für einzelne Apps und Websites aufheben
    • Das Deaktivieren des JavaScript-JIT im Browser vermittelt eher die Lektion, dass „mit dem Smartphone im Web zu surfen ohnehin eine schlechte Idee ist“
  • Es ist bedauerlich, dass die Signal-Desktop-App der Reporterin kompromittiert wurde. Die Desktop-Version ist deutlich anfälliger, wenn das Notebook in die Hände eines Angreifers fällt
    • Es wird um eine konkrete Erklärung gebeten, warum Signal auf dem Desktop weniger sicher ist
    • Wenn sensible Nachrichten nicht auf automatisches Löschen gestellt sind, unterscheiden sie sich praktisch nicht von SMS
    • Bei einer Reporterin auf diesem Niveau hätte man erwartet, dass grundlegende Security-Hygiene eingehalten wird. Hoffentlich dient dieser Vorfall anderen Journalistinnen und Journalisten als Warnung
    • Die Schlussfolgerung des Artikels wirkt fragwürdig. Es wird gefragt, ob das iPhone wirklich nicht entsperrt werden konnte oder ob die benötigten Daten bereits über iCloud-Synchronisierung gesichert waren. Wenn das Notebook schon beschlagnahmt wurde, müssten iMessage, Anrufprotokolle und iCloud-Daten ohnehin verfügbar sein — warum also noch gezielt das Telefon?
    • Es wird auch gefragt, ob eine Festplattenverschlüsselung wie BitLocker oder FileVault gebrochen wurde oder ob der Zugriff im bereits gestarteten Zustand erfolgte
  • Dass Lockdown Mode den Zugriff verhindert hat, wirft die Frage auf, ob das bedeutet, dass die Regierung bei niedrigeren Sicherheitseinstellungen hätte eindringen können
    Mit Advanced Data Protection lassen sich iCloud-Daten per E2EE schützen, und Face ID kann zwar erzwungen werden, aber mit fünfmaligem Drücken der Einschalttaste lässt sich in den PIN-Modus wechseln, der rechtlich nicht erzwungen werden kann.
    Wenn Lockdown Mode den Angriff blockiert hat, heißt das dann, dass die Regierung einen Zero-Day hatte, der im PIN-Modus nicht funktioniert?
    • Von Regierungen eingesetzte Mittel sind meist Spyware wie Pegasus der NSO Group
    • Ja
  • Die Reporterin sagte, sie „verwende keine Fingerabdruckerkennung“, deshalb wirkt es merkwürdig, dass der Laptop entsperrt wurde, als Ermittler ihren Finger auflegten
    • Wahrscheinlich war sie irgendwann einmal eingerichtet worden und wurde dann vergessen. Möglicherweise wurde sie bei der Ersteinrichtung registriert
    • Falls das wirklich so war: Wurde der Fingerabdruck irgendwann früher registriert? Es bleibt unklar, wie er sonst erkannt werden konnte
    • Es gibt auch einen Kommentar, der fragt, warum das merkwürdig sein sollte
    • Wenn kein Fingerabdruck registriert wurde, kann er grundsätzlich nicht erkannt werden. Selbst bei einem Sensorfehler würde das Gerät nicht einfach entsperrt
  • Die Formulierung „Lockdown Mode ist eine Funktion, die Hacking erschwert“ ist interessant
    Dass das Abschalten von Funktionen selbst wieder eine Funktion ist, lässt einen denken, dass man es einfach eine Einstellung nennen sollte.
    Die meisten iPhone-Nutzer ändern die Standardeinstellungen nicht. Dass Google Apple Milliarden zahlt, liegt ebenfalls an der Standardsucheinstellung.
    Lockdown Mode ist nicht der Standard und wird von fast niemandem verwendet.
    Wenn dieser Modus das iPhone sicherer macht, bedeuten die Standardeinstellungen umgekehrt, dass sie Hacking erleichtern
    • Lockdown Mode ist ein Schutz für eine kleine Gruppe wie Journalistinnen, Journalisten oder Menschenrechtsaktivistinnen und -aktivisten, die Ziel von Angriffen wie Pegasus werden könnten.
      Das Blockieren von Nachrichtenanhängen, das Sperren von FaceTime-Anrufen unbekannter Personen und Einschränkungen in Safari sind für normale Nutzer sehr unbequem.
      Deshalb wäre es unrealistisch, dies als Standard festzulegen, und für die Sicherheit normaler Nutzer würde es kaum helfen
    • Eine Verkleinerung der Angriffsfläche kann zugleich weniger Datensammlung und Werbetracking bedeuten, was Apples Einnahmen beeinträchtigen könnte.
      Auch das könnte ein Grund sein, warum es nicht die Standardeinstellung ist
  • In manchen Regionen ist Face ID sicherer als der Fingerabdruck, weil sich das Gerät bei geschlossenen Augen nicht entsperren lässt
    In einigen europäischen Ländern ist es zulässig, jemanden zum Auflegen eines Fingers zu zwingen, aber illegal, die Augen gewaltsam offen zu halten
    • Dem wird jedoch entgegengehalten, man habe Face ID schon mit dem Gesicht einer schlafenden Person funktionieren sehen
  • Es ist ineffizient, für den Schutz vor Verbindungen mit externen Geräten den gesamten Lockdown Mode aktivieren zu müssen
    Das iPhone wird außer zum Laden mit keinem Gerät verbunden.
    Gäbe es nur einen separaten „Schutzmodus für externes Zubehör“, würde man ihn sofort aktivieren, doch Apple warnt stattdessen, dass „das Gerät nicht wie gewohnt funktioniert“
    • Ab iOS 26 kann man unter Privacy & Security > Wired Accessories festlegen, dass bei der Verbindung neuer Geräte immer gefragt wird, ob der Zugriff erlaubt werden soll
    • GrapheneOS erlaubt im gesperrten Zustand standardmäßig nur Stromversorgung und ist durch Hardware-Schutz vollständig immun gegen USB-Angriffswerkzeuge
    • Tatsächlich konnte das seit 2014 jeder mit Pair Lock/Supervise umsetzen
      Siehe Beitrag von 2014 und aktuellen Leitfaden
    • Der Pfad in den Einstellungen lautet Settings > Privacy & Security > Wired Accessories; dort lässt sich festlegen, dass bei jedem neuen Zubehör nachgefragt wird
    • Das größte Problem ist, dass das Fehlen fein abgestufter Sicherheitseinstellungen dazu führt, dass Nutzer auf Sicherheit verzichten