Verkaufst du dein iPhone? Was der Werksreset zurücklässt

TL;DR

Der Werksreset auf dem iPhone markiert Speicherblöcke als verfügbar, überschreibt sie aber nicht. Gelöschte Fotos, Nachrichten und Dateien bleiben aus dem NAND-Flash wiederherstellbar, bis der Controller diese Blöcke zurückfordert – ein Vorgang, den forensische Tools auslösen können. iCloud-Fotos behält eine vollständige Kopie auf Apples Servern, selbst nachdem du das Gerät gelöscht hast. AppVaults File Shredder überschreibt Tresordateien mit mehreren Schreibdurchgängen vor dem Löschen. Die folgende Checkliste deckt jeden Schritt ab, bevor du das Telefon an einen Käufer, ein Trade‑In‑Programm oder ein Familienmitglied weitergibst.

Was ein Werksreset tatsächlich bewirkt

Tippe auf „Alle Inhalte & Einstellungen löschen“ und iOS macht zwei Dinge: Es zerstört die Dateisystem-Verschlüsselungsschlüssel und markiert jeden Speicherblock als verfügbar für die Wiederverwendung. Die Daten selbst – der Chiffretext auf dem NAND-Flash – bleiben erhalten, bis der Speichercontroller neue Daten darüber schreibt.

Ab iOS 15 hat Apple die Schlüsselhierarchie neu gestaltet, sodass das Zerstören des Dateisystem-Schlüssels den Chiffretext praktisch ohne diesen Schlüssel nicht wiederherstellbar macht. Das ist eine bedeutende Verbesserung. Aber „praktisch nicht wiederherstellbar“ ist nicht „physisch weg“. Die Blöcke enthalten noch die alten Daten. Ein forensisches Tool mit direktem NAND-Zugriff – wie es von Strafverfolgungsbehörden und Datenrettungslabors eingesetzt wird – kann diese Blöcke direkt auslesen und das Dateisystem vollständig umgehen.

Bei iOS 14 und älter ist die Lage schlimmer. Die Verschlüsselungsschlüssel-Hierarchie war weniger granular, und das Verwerfen des Dateisystem-Schlüssels ließ mehr der zugrunde liegenden Daten zugänglich. Geräte, die mit iOS 14 ausgeliefert wurden oder jemals unter iOS 14 liefen, können Restdaten in Blöcken enthalten, die nie unter dem neueren Schema neu verschlüsselt wurden.

Die Quintessenz: Der Werksreset ist eine logische Löschung, keine physische. Er teilt dem Betriebssystem mit, dass die Blöcke leer sind. Er schreibt keine Nullen oder Zufallsdaten über den alten Inhalt.

Was im Album „Zuletzt gelöscht“ überlebt

Die Fotos‑App löscht Bilder nicht, wenn du auf das Papierkorb‑Symbol tippst. Sie verschiebt sie in das Album „Zuletzt gelöscht“, wo sie 30 Tage lang verbleiben. In diesem Zeitraum sind die Dateien vollständig intakt – gleiche Auflösung, gleiche Metadaten, gleiche Standorttags. Der Benutzer kann sie mit einem Tipp wiederherstellen.

Der Werksreset leert dieses Album nicht. Der 30‑Tage‑Timer ist an die Dateisystem-Metadaten gebunden, und wenn der Reset die Schlüssel zerstört, werden die Album-Inhalte für die Fotos‑App unzugänglich – aber die zugrunde liegenden Daten bleiben in den NAND-Blöcken. Wenn das Gerät iOS 14 oder älter hatte, sind diese Daten mit forensischen Tools wiederherstellbar.

Leere das Album „Zuletzt gelöscht“ manuell, bevor du das iPhone verkaufst oder in Zahlung gibst. Öffne Fotos, gehe zu Alben, tippe auf „Zuletzt gelöscht“, wähle alle aus und lösche sie. Fahre dann mit der restlichen Checkliste fort.

iCloud-Fotos leben auf Apples Servern

Das Löschen eines iPhones entfernt die lokale Kopie jedes Fotos. Es tut nichts an der iCloud-Fotos-Bibliothek. Diese Bibliothek lebt auf Apples Servern, ist an die Apple‑ID gebunden und wird mit jedem neuen Gerät synchronisiert, das mit demselben Konto angemeldet ist.

Das schafft zwei Probleme für jemanden, der ein iPhone verkauft.

Erstens: Wenn der Verkäufer vergisst, sich vor dem Löschen von iCloud abzumelden, bleibt die Aktivierungssperre aktiv. Der neue Besitzer kann das Telefon nicht einrichten. Der Verkäufer muss auf appleid.apple.com gehen, sich anmelden und das Gerät manuell aus dem Konto entfernen. Das ist ein Support-Ärgernis, kein Datenleck – aber es verzögert den Verkauf.

Zweitens: Wenn der Verkäufer die iCloud-Fotos-Bibliothek loswerden möchte, ist das eine separate Aktion. Das Abmelden von iCloud stoppt die Synchronisation. Das Löschen der Bibliothek erfordert den Besuch von iCloud.com oder einem anderen Gerät, das mit derselben Apple‑ID angemeldet ist, und das Entfernen der Fotos dort. Der Lösch‑Alles‑Schritt auf dem iPhone tut keines von beidem.

NAND-Flash und forensische Wiederherstellung

Jedes iPhone speichert Daten auf NAND-Flash-Chips. NAND-Flash arbeitet in Seiten (typischerweise 4 KB) und Blöcken (typischerweise 256 Seiten). Schreibvorgänge erfolgen auf Seitenebene. Löschvorgänge auf Blockebene. Wenn iOS eine Datei löscht, markiert es die Seiten als ungültig, löscht aber den Block nicht. Der Block bleibt schmutzig – voller alter Daten – bis der Garbage‑Collection‑Prozess des Flash-Controllers ihn zurückfordert.

Forensische Tools nutzen das aus. Chip‑Off‑Forensik bedeutet, den NAND-Chip zu entlöten und mit einem Programmiergerät direkt auszulesen. Das umgeht das iOS-Dateisystem vollständig. Das Tool liest jeden Block, ob gültig oder nicht, und rekonstruiert Dateien aus den Rohdaten. Diese Technik funktioniert auf jedem iPhone unabhängig von der iOS-Version, solange die Blöcke nicht überschrieben wurden.

Logische Extraktionstools wie Cellebrite UFED und GrayKey arbeiten auf einer höheren Ebene – sie kommunizieren über die Debug‑Schnittstelle des Geräts mit dem iOS-Dateisystem. Auf iOS 14 und älter können diese Tools gelöschte Fotos, Nachrichten und App-Daten aus ungenutzten Blöcken wiederherstellen. Auf iOS 15 und neuer erschwert die neu gestaltete Schlüsselhierarchie das, aber es ist nicht unmöglich, wenn das Gerät entsperrt ist oder das Tool eine Sicherheitslücke ausnutzen kann.

Die einzige Verteidigung gegen sowohl Chip‑Off als auch logische Extraktion ist die physische Überschreibung. Schreibe neue Daten über die alten Blöcke, sodass der ursprüngliche Inhalt auf Hardware-Ebene verschwunden ist.

Was AppVaults File Shredder tut

AppVaults File Shredder überschreibt Tresordateien mit mehreren Schreibdurchgängen, bevor er sie löscht. Der Vorgang zielt auf den verschlüsselten Chiffretext im App‑Sandkasten – die AES-256-GCM-verschlüsselten Dateien, die AppVault im Auftrag des Benutzers speichert.

So läuft die Sequenz ab: Der Benutzer wählt Dateien zum Schreddern aus. AppVault öffnet jede Datei und schreibt über ihre gesamte Länge Zufallsdaten, wobei der Schreibvorgang über mehrere Durchgänge wiederholt wird. Dann löscht es die Datei über den standardmäßigen iOS-Dateisystemaufruf. Das Ergebnis: Die NAND-Blöcke, die den ursprünglichen Chiffretext enthielten, enthalten jetzt Zufallsdaten. Selbst wenn ein forensisches Tool diese Blöcke liest, findet es die Überschreibdurchgänge, nicht den ursprünglichen verschlüsselten Inhalt.

Das schützt keine Dateien außerhalb des App‑Sandkastens. Fotos in der Kamera-Rolle, Nachrichten in der Nachrichten‑App, Daten in anderen Apps – all das liegt außerhalb der Kontrolle von AppVault. Der File Shredder ist für die eigenen Dateien des Tresors konzipiert: die Fotos und Dokumente, die der Benutzer zur verschlüsselten Speicherung in AppVault importiert hat.

Für eine geräteweite Überschreibung muss der Benutzer dennoch den Werksreset durchführen. Der File Shredder schließt die Lücke für die spezifischen Dateien, die am wichtigsten sind – diejenigen, die der Benutzer genau deshalb in den Tresor verschoben hat, weil sie nicht wiederherstellbar sein sollten.

Die Checkliste vor dem Verkauf

Befolge diese Checkliste in der angegebenen Reihenfolge, bevor du das iPhone an einen Käufer, ein Trade‑In‑Programm oder ein Familienmitglied übergibst.

1. Leere das Album „Zuletzt gelöscht“. Öffne Fotos, gehe zu Alben, tippe auf „Zuletzt gelöscht“, wähle alle aus, lösche. Das entfernt das 30‑Tage‑Wiederherstellungsfenster für Fotos in der Kamera-Rolle.

2. Melde dich von iCloud ab. Einstellungen → [dein Name] → Abmelden. Gib das Apple‑ID‑Passwort ein, wähle, ob lokale Daten behalten oder entfernt werden sollen (das spielt keine Rolle – du wirst gleich alles löschen). Das deaktiviert die Aktivierungssperre.

3. Melde dich von iMessage ab. Einstellungen → Nachrichten → Senden & Empfangen → tippe auf die Apple‑ID → Abmelden. Das verhindert, dass der neue Besitzer Nachrichten erhält, die an deine Telefonnummer adressiert sind.

4. Entferne das Gerät aus deiner Apple‑ID. Besuche appleid.apple.com, melde dich an, gehe zu Geräte, wähle das iPhone aus und entferne es. Das ist ein Sicherheitsschritt für den Fall, dass die Abmeldung auf dem Gerät nicht vollständig war.

5. Führe AppVaults File Shredder aus. Öffne AppVault, wähle alle Tresordateien aus, führe den File Shredder aus. Das überschreibt die verschlüsselten Tresordaten mit Zufallsbytes vor dem Löschen. Wenn du den Tarn-Tresor verwendest, schreddere auch die Tarn-Dateien – der Tarn-Tresor ist mathematisch unabhängig und seine Dateien belegen separate Blöcke.

6. Lösche alle Inhalte und Einstellungen. Einstellungen → Allgemein → iPhone übertragen oder zurücksetzen → Alle Inhalte & Einstellungen löschen. Gib den Code ein, bestätige das Löschen. iOS zerstört die Dateisystem-Schlüssel und startet zum Einrichtungsbildschirm neu.

7. Überprüfe den Einrichtungsbildschirm. Nach dem Löschen sollte das iPhone den „Hallo“-Einrichtungsbildschirm in mehreren Sprachoptionen anzeigen. Wenn es nach einer Apple‑ID und einem Passwort fragt, ist die Aktivierungssperre noch aktiv – gehe zurück zu Schritt 2.

8. Entferne die SIM‑Karte. Wenn das iPhone eine physische SIM verwendet, nimm sie heraus. Bei eSIM sollte der Löschvorgang das eSIM-Profil entfernen, aber überprüfe in Einstellungen → Mobilfunk, dass keine Tarife mehr vorhanden sind.

Wogegen das nicht schützt

AppVaults File Shredder überschreibt Dateien innerhalb des App‑Sandkastens. Er überschreibt nicht die Kamera-Rolle, die Nachrichten-Datenbank, den Mail‑Cache oder Daten aus anderen Apps. Für diese ist der Werksreset das einzige Werkzeug – und wie oben erklärt, ist der Werksreset eine logische Löschung, keine physische.

Wenn das iPhone iOS 14 oder älter hatte, können Restdaten aus der Kamera-Rolle und Nachrichten auch nach dem Löschen in NAND-Blöcken überleben. Das Risiko ist am höchsten bei Geräten, die nie auf iOS 15 aktualisiert wurden oder die längere Zeit unter iOS 14 verbracht haben.

iCloud-Daten sind ein separates Bedrohungsmodell. Wenn die Fotos des Verkäufers mit iCloud synchronisiert wurden, existieren diese Fotos auf Apples Servern, unabhängig davon, was mit dem Gerät passiert. Der Verkäufer muss die iCloud-Fotos-Bibliothek separat löschen, sonst bleiben die Fotos in der Cloud und synchronisieren sich mit dem nächsten Gerät, das mit derselben Apple‑ID angemeldet wird.

AppVault führt standardmäßig keine Netzwerkaufrufe durch. Es gibt keine Cloud-Synchronisation, kein Konto, keine Telemetrie. Die Zero‑Knowledge‑Architektur bedeutet, dass AppVault die Dateien des Benutzers nicht sehen kann und sie nicht preisgeben kann. Aber das bedeutet auch, dass AppVault keine Dateien aus iCloud oder aus anderen Apps auf dem Gerät löschen kann. Der Umfang ist der eigene Sandkasten des Tresors.

Wie sich dies von der Anleitung unterscheidet

Die begleitende Anleitung unter /guides/wipe-photos-before-selling-iphone/ führt die gleichen Schritte als lineares Tutorial aus – öffne dieses Menü, tippe auf diesen Button, bestätige die Löschung. Sie ist für Benutzer geschrieben, die Anweisungen möchten, die sie auf dem Telefon befolgen können.

Diese Seite ist für Benutzer geschrieben, die das Problem verstehen wollen, bevor sie handeln. Warum der Werksreset nicht ausreicht. Was NAND-Flash mit gelöschten Daten macht. Was iCloud auf seinen Servern behält. Die obige Checkliste ist die gleiche Sequenz, aber der Kontext hier ist das Bedrohungsmodell, nicht der Tipp-Pfad.

Wenn du bereit bist zu handeln, ist die Checkliste vollständig. Wenn du verstehen willst, warum jeder Schritt wichtig ist, erklären die Abschnitte oben den Mechanismus.

Warum AppVault für diesen Anwendungsfall

AppVault speichert Dateien mit AES-256-GCM-Verschlüsselung – eindeutiger 96‑Bit‑Nonce pro Datei, PBKDF2-SHA256-Schlüsselableitung mit 600.000 Iterationen, hardwaregebunden durch das Secure Enclave des iPhones. Der Tresorkatalog selbst ist verschlüsselt, sodass ein Angreifer mit direktem NAND-Zugriff nicht einmal feststellen kann, wie viele Dateien existieren.

Der Rechner-Startseite verleiht der App eine voll funktionsfähige iOS-Rechneroberfläche mit einer Long‑Press‑Gleich‑Taste als Verknüpfung zum Tresor. Der Tarn-Tresor bietet ein zweites 5×5‑Muster, das einen separaten, mathematisch unabhängigen Katalog öffnet. Beide Funktionen sind für die Szenarien konzipiert, die diese Seite anspricht: ein Gerät an jemanden weitergeben, der durch die App‑Bibliothek scrollen könnte, oder ein Telefon an einen Käufer verkaufen, der seinen Inhalt untersuchen könnte.

Der File Shredder ist die Funktion, die die Lücke schließt, die der Werksreset hinterlässt. Überschreibe die Tresordateien, lösche dann das Gerät. Der Käufer bekommt ein sauberes iPhone. Der Verkäufer erhält die Gewissheit, dass der Tresorinhalt auf Hardware-Ebene verschwunden ist.

Für einen funktionsweisen Vergleich mit anderen Tresor-Apps siehe AppVault vs. Keepsafe und AppVault vs. Vaultaire.

Quellen

• NIST SP 800-88 Rev. 1: Richtlinien zur Medienbereinigung
• Apple Platform Security Guide: Übersicht über den Datenschutz
• Apple Support: Was du tun solltest, bevor Sie dein iPhone verkaufst, verschenkst oder in Zahlung gibst
• NIST FIPS 197: Advanced Encryption Standard