iPhone-Privatsphäre für internationale Reisende

TL;DR

Reisende stehen vor zwei unterschiedlichen Bedrohungen: einem Grenzbeamten, der legal verlangen kann, Ihr Telefon zu sehen, und einem Dieb, der es in einer fremden Stadt stiehlt. AppVault adressiert beides. Der Taschenrechner-Launcher zeigt einen voll funktionsfähigen iOS-Taschenrechner, wenn jemand anderes das Gerät in der Hand hält. Der Tarn-Tresor öffnet ein separates, mathematisch unabhängiges Album mit einem zweiten Muster. Pass-Scans, Visaseiten und Impfbescheinigungen liegen hinter AES-256-GCM-Verschlüsselung, deren Schlüssel über 600.000 PBKDF2-Iterationen abgeleitet und vom iPhone Secure Enclave geschützt wird. Keine Netzwerkaufrufe. Kein Konto. Keine Wiederherstellung, wenn Sie das Muster vergessen.

Die zwei Bedrohungen, denen jeder Reisende gegenübersteht

Das Telefon eines Reisenden enthält mehr sensible Daten als jeder Aktenschrank. Pass-Scans, Visaseiten, Impfbescheinigungen, Hotelbestätigungen, Kreditkartenfotos, private Nachrichten, Standortverlauf – alles auf einem Gerät, das Grenzen überquert, Fremden ausgehändigt wird und gelegentlich verschwindet.

Die Bedrohungen sind nicht abstrakt. Sie fallen in zwei Kategorien.

Die Grenzkontrolle. Ein Beamter verlangt, Ihr Telefon zu sehen. In den Vereinigten Staaten arbeitet der Zoll- und Grenzschutz (CBP) unter der Grenzdurchsuchungsausnahme des vierten Verfassungszusatzes – einer Rechtslehre, die Gerätedurchsuchungen ohne Durchsuchungsbefehl an jedem Einreisehafen erlaubt. Der Oberste Gerichtshof entschied 2014 in Riley v. California, dass für Durchsuchungen im Rahmen einer Festnahme ein Haftbefehl nötig ist, aber die Grenzausnahme bleibt eine separate Kategorie. Die CBP-Richtlinie verlangt „begründeten Verdacht“ für sogenannte „erweiterte“ Durchsuchungen (z. B. Anschluss des Geräts an externe Geräte), aber eine einfache Durchsuchung – Durchblättern von Fotos, Nachrichten und Apps – unterliegt keiner solchen Schwelle. Andere Länder arbeiten mit ähnlichen Rahmenwerken. Großbritannien, Kanada, Australien und Neuseeland erlauben alle Grenzgerätedurchsuchungen. Im Schengen-Raum ist der rechtliche Rahmen einheitlich, aber die Durchsetzung nicht. Ein deutscher Beamter folgt möglicherweise einer strengen Verfahrenscheckliste. Ein französischer Beamter arbeitet möglicherweise unter weiterreichenden Polizeibefugnissen. Ein italienischer Beamter wendet die Regeln möglicherweise uneinheitlich an. Dieselbe Grenze, drei verschiedene Erfahrungen.

Das verlorene oder gestohlene Gerät. Ein in Istanbul im Taxi vergessenes Telefon. Eine in Barcelona geraubte Tasche. Ein aus einem Hotelzimmer in Bangkok gestohlenes Gerät. Der Dieb muss iOS nicht knacken. Wenn das Telefon entsperrt ist – oder der Dieb den Passcode erraten kann – sind jedes Foto, jede Nachricht und jede Datei zugänglich. Allein die Kamera-Rolle kann Pass-Scans, Bordkarten und Screenshots vertraulicher Gespräche enthalten.

AppVault adressiert beide Bedrohungen mit einer einzigen Architektur: verschlüsselter Speicher, der für jeden ohne das Muster unsichtbar ist, eine Taschenrechner-Tarnung für den Übergabemoment und eine Tarn-Tresor-Ebene für Situationen, in denen „Ich habe keinen Tresor“ keine glaubhafte Antwort ist.

Was gehört in den Tresor

Reisende sammeln Dokumente, die einz betrachtet trivial und in ihrer Gesamtheit gefährlich sind. Ein Foto einer Pass-Biografieseite. Ein Scan eines Visumstempels. Ein Impfausweis. Ein Foto der Rückseite einer Kreditkarte „nur für den Fall“. Eine Hotelbestätigung mit der Privatadresse. Ein Screenshot eines privaten Gesprächs.

Keine dieser Dateien ist für sich genommen sensibel. Zusammen sind sie ein Dossier.

AppVault speichert diese Dateien in einem verschlüsselten Katalog, der mit AES-256-GCM versiegelt ist. Jede Datei erhält eine einzigartige 96-Bit-Nonce, sodass keine zwei Dateien einen Schlüsselstrom teilen. Die Chiffre ist NIST FIPS 197 mit dem GCM-Modus gemäß NIST SP 800-38D. Der Verschlüsselungsschlüssel wird aus dem 5×5-Muster des Benutzers durch PBKDF2-SHA256 mit 600.000 Iterationen abgeleitet – der OWASP-Empfehlung für 2026 – mit einem installationsspezifischen 128-Bit-Salz. Dieser abgeleitete Schlüssel wird dann von einem Schlüssel umhüllt, der im iPhone Secure Enclave generiert wird, einem Hardware-Sicherheitsmodul, das den Schlüssel niemals dem Hauptprozessor oder Apple preisgibt.

Der Katalog selbst ist verschlüsselt. Ein Angreifer mit direktem Zugriff auf den Telefonspeicher kann nicht feststellen, wie viele Dateien existieren, wie sie heißen oder wann sie hinzugefügt wurden. Der Tresor ist kein Ordner. Er ist ein versiegelter Behälter.

Der Taschenrechner-Launcher: Design für den Übergabemoment

Der verletzlichste Moment für das Telefon eines Reisenden ist der Moment, in dem es jemand anderes in der Hand hält. Ein Grenzbeamter. Ein Polizist. Ein Kollege, der ein Foto sehen möchte und zu weit wischt.

AppVaults Taschenrechner-Launcher adressiert dies, indem er einen voll funktionsfähigen iOS-Taschenrechner anzeigt, wenn die App geöffnet wird. Das Symbol sagt „Taschenrechner“. Der App-Name sagt „Taschenrechner“. Die Oberfläche ist ein Taschenrechner. Er addiert, subtrahiert, multipliziert und dividiert. Er erfüllt die Apple-Richtlinie 4.3 (alternative Symbole), weil es kein gefälschter Taschenrechner ist – es ist ein echter.

Der Tresor-Entsperrbildschirm erscheint nur nach einem langen Drücken der Gleichheitstaste. Keine andere Geste löst ihn aus. Keine Benachrichtigung verrät ihn. Für jeden, der den Startbildschirm durchblättert oder die App öffnet, ist es ein Taschenrechner.

Das ist kein Trick. Es ist eine Designentscheidung, die eine Realität anerkennt: Wenn jemand anderes Ihr Telefon hält, müssen die sensiblen Inhalte unsichtbar sein, nicht nur hinter einem Passwort.

Der Tarn-Tresor: Glaubhafte Abstreitbarkeit durch Mathematik

Ein Taschenrechner, der einen Tresor verbirgt, ist eine Ebene. Aber was passiert, wenn jemand, der von Tresor-Apps weiß – oder dem gesagt wurde, danach zu suchen – verlangt, zu sehen, was darin ist?

AppVaults Tarn-Tresor bietet ein zweites 5×5-Muster, das einen separaten, mathematisch unabhängigen Tresorkatalog öffnet. Die beiden Tresore teilen keine Verschlüsselungsschlüssel. Sie teilen keine Dateimetadaten. Sie teilen keine sichtbare Verbindung. Der Tarn-Tresor sieht aus und verhält sich genau wie der primäre Tresor. Er hat seine eigene Dateiliste, seinen eigenen Speicher, sein eigenes Muster.

Wenn jemand Zugang verlangt, geben Sie das Tarn-Muster ein. Der Tarn-Tresor öffnet sich. Er enthält Dateien – vielleicht persönliche Fotos, vielleicht nichts Belastendes. Der primäre Tresor bleibt versiegelt und nicht nachweisbar. Es gibt keinen „Zweiter Tresor“-Hinweis. Es gibt keine Möglichkeit zu beweisen, dass ein primärer Tresor existiert.

Das ist keine Funktion zur Gesetzesumgehung. Es ist eine Funktion für Reisende, die legitimes sensibles Material mit sich führen – Rechtsdokumente, medizinische Unterlagen, journalistische Quellen – und die in Rechtsgebieten unterwegs sind, in denen der rechtliche Status von Gerätedurchsuchungen unklar oder uneinheitlich angewendet wird.

Reise-Hygiene: Vor, während und nach der Reise

Vor der Reise. Verschieben Sie jede sensible Datei in den Tresor. Pass-Scans, Visaseiten, Impfbescheinigungen, Kreditkartenfotos, Hotelbestätigungen mit Privatadressen. Löschen Sie die Originale aus der Kamera-Rolle. Überprüfen Sie Nachrichten auf vertrauliche Gespräche und löschen Sie sie. Überprüfen Sie E-Mails auf weitergeleitete Dokumente und entfernen Sie sie. Wenn Sie verschlüsseltes iCloud-Backup verwenden, aktivieren Sie es vor der Abreise – Dateien werden vor dem Hochladen mit einem separaten gerätespezifischen Backup-Schlüssel versiegelt, und Apple erhält nur Chiffretext. Notieren Sie die Wiederherstellungspassphrase und bewahren Sie sie getrennt vom Telefon auf.

Vor Ort. Halten Sie das Telefon gesperrt, wenn es nicht in Gebrauch ist. Verwenden Sie einen starken Passcode – mindestens sechs Ziffern, alphanumerisch bevorzugt. Aktivieren Sie Face ID oder Touch ID für den Komfort, aber denken Sie daran, dass die biometrische Entsperrung in einigen Rechtsgebieten erzwungen werden kann (US-Gerichte haben entschieden, dass ein Passcode durch den fünften Verfassungszusatz geschützt ist, ein Fingerabdruck jedoch nicht). Wenn ein Grenzbeamter nach dem Telefon fragt, geben Sie es aus. Wenn er Sie auffordert, eine App zu öffnen, öffnen Sie den Taschenrechner. Wenn er fragt, was der Taschenrechner tut, rechnet er.

Bei der Rückkehr. Die US-Grenzdurchsuchungsausnahme gilt sowohl für US-Bürger als auch für Nicht-Bürger. Dieselben Vorsichtsmaßnahmen gelten für die Rückreise. Wenn Sie während der Reise sensibles Material erworben haben – Quittungen, Dokumente, Fotos –, schließen Sie es vor der Landung in den Tresor ein.

Wogegen AppVault nicht schützt

Ehrlichkeit über Grenzen ist eine Funktion, keine Schwäche.

AppVault schützt nicht vor einem kompromittierten iOS-Kernel. Wenn ein Angreifer einen Zero-Day in iOS ausnutzen kann, ist die Verschlüsselung irrelevant – der Angreifer liest die Daten nach der Entschlüsselung. AppVault schützt nicht vor physischem Zwang. Wenn jemand Sie zwingt, das Muster einzugeben, öffnet sich der Tresor. AppVault schützt nicht vor Daten, die außerhalb des Tresors gespeichert sind. Fotos in der Kamera-Rolle, Nachrichten in Nachrichten, E-Mails in Mail – diese liegen außerhalb des Anwendungsbereichs von AppVault. AppVault schützt nicht vor iCloud-Backups von Daten, die nie im Tresor waren. Wenn Sie Ihre Kamera-Rolle vor dem Verschieben von Dateien in den Tresor in iCloud gesichert haben, existieren die unverschlüsselten Kopien weiterhin auf Apples Servern.

Die Bedrohungsmodell-Seite erläutert diese Grenzen im Detail. Lesen Sie sie, bevor Sie entscheiden, was in den Tresor kommt und was woanders bleibt.

Wie AppVault abschneidet

Die Kategorie der Fototresor-Apps ist überfüllt. Keepsafe ist der Kategorieführer nach Installationszahlen; die vollständige Funktion-für-Funktion-Aufschlüsselung finden Sie auf der Vergleichsseite. Vaultaire ist der engste Konkurrent in der Nische der Taschenrechner-Tresore; seine Architektur unterscheidet sich in Schlüsselbereichen, die auf der Vergleichsseite detailliert beschrieben sind.

Die meisten werbefinanzierten Fototresor-Apps verwenden SDKs von Drittanbietern, die Nutzungstelemetrie vom Gerät senden. AppVault verwendet keine SDKs von Drittanbietern, führt standardmäßig keine Netzwerkaufrufe durch und erklärt auf dem Datenschutz-Nährwertetikett, dass keine Daten erhoben werden. Die vollständige Zero-Knowledge-Architektur-Seite erklärt, was AppVault nicht wissen kann – weil es nie danach fragt.

Das Fazit

Das Telefon eines Reisenden ist eine Haftung. Es enthält mehr persönliche Daten, als die meisten Menschen realisieren, und die rechtlichen Rahmenwerke, die regeln, wer auf diese Daten zugreifen darf, sind uneinheitlich, rechtsgebietsabhängig und im Wandel. AppVault löst nicht das rechtliche Problem. Es löst das technische: Wenn jemand, der Ihre Daten nicht sehen sollte, physischen Zugriff auf Ihr Telefon erlangt, bleiben die Daten versiegelt.

Die Taschenrechner-Tarnung kümmert sich um die Übergabe. Der Tarn-Tresor kümmert sich um die Forderung. Die Verschlüsselung kümmert sich um den Rest. Keine Server. Keine Konten. Keine Wiederherstellung, wenn Sie das Muster vergessen. Der letzte Punkt ist kein Fehler. Er ist der Punkt.