App-Sperre fürs iPhone – was iOS bietet, was fehlt und was wirklich funktioniert

TL;DR

iOS 18 hat pro App FaceID-Sperren eingeführt, aber nur für Apps, die Apple freigibt – und es bietet keinen Schutz, wenn jemand den Gerätecode kennt. Bildschirmzeit-Einschränkungen können App-Kategorien blockieren, sind jedoch trivial zu umgehen, wenn der Einschränkungscode schwach oder bekannt ist. Dedizierte App-Sperr- und Tresor-Apps schließen die Lücke, indem sie Dateien unabhängig von der iOS-Sandbox verschlüsseln und eine zweite Authentifizierungsebene hinzufügen – die selbst dann erhalten bleibt, wenn das Telefon selbst entsperrt ist. Für Fotos, Nachrichten und Dokumente, die echte Isolation brauchen, ist eine Tresor-App mit eigener Schlüsselableitung und Verschlüsselung die einzige Architektur, die funktioniert.

Was iOS nativ bietet

Apple hat nach und nach Zugriffskontrollen auf App-Ebene hinzugefügt, aber jede dient einem anderen Zweck als dem, was die meisten meinen, wenn sie nach „App-Sperre“ suchen.

Bildschirmzeit-Einschränkungen

Bildschirmzeit, eingeführt mit iOS 12, erlaubt es, einen vierstelligen Code zu setzen, der App-Kategorien, einzelne Apps oder bestimmte Altersfreigaben blockiert. Es ist das, was einer nativen App-Sperre fürs iPhone am nächsten kommt, und das Werkzeug, nach dem die meisten Eltern zuerst greifen.

Das Problem ist architektonischer Natur. Bildschirmzeit-Einschränkungen leben im iOS-Konfigurationsprofil. Wer den Gerätecode kennt, kann unter Einstellungen > Bildschirmzeit entweder die Einschränkungen deaktivieren oder den Bildschirmzeit-Code mit der Apple‑ID zurücksetzen. Der Einschränkungscode ist eine Bequemlichkeitshürde, keine kryptografische Grenze.

Bildschirmzeit funktioniert gut für den vorgesehenen Einsatzzweck – die Bildschirmzeit eines Kindes zu begrenzen oder In‑App‑Käufe zu blockieren. Es schützt keine sensiblen Dateien vor einem Erwachsenen, der das Gerät in der Hand hält.

iOS 18: FaceID pro App

iOS 18 hat einen Schalter für FaceID pro App eingeführt. In Einstellungen > FaceID & Code gibt es einen neuen Abschnitt „Apps sperren und verstecken“, in dem Sie FaceID verlangen können, bevor bestimmte Apps geöffnet werden. Apple bietet diesen Schalter nur für Apps an, die die NSFaceIDUsageDescription‑API übernehmen – derzeit eine kurze Liste mit Notizen, Nachrichten und einigen System‑Apps.

Die Einschränkung ist zweifach. Erstens tauchen die meisten Drittanbieter-Apps – Banking, E‑Mail, Foto-Tresore – nicht in dieser Liste auf. Zweitens ist FaceID eine Komfortschicht, keine Sicherheitsgrenze. Kennt ein Angreifer den Gerätecode, kann er FaceID in den Einstellungen zurücksetzen und auf jede App zugreifen. Der Schalter pro App erschwert einem neugierigen Mitleser das Leben, schützt aber nicht vor einem entschlossenen Angreifer.

Das versteckte Album und gesperrte Notizen

iOS 18 hat auch eine FaceID-Sperre für das versteckte Album in Fotos und für gesperrte Notizen eingeführt. Das sind willkommene Ergänzungen, aber sie teilen dieselbe Schwäche: Der Verschlüsselungsschlüssel ist an den Gerätecode gebunden. Das versteckte Album erzeugt keinen separaten kryptografischen Container – es versteckt lediglich Miniaturansichten hinter einer biometrischen Hürde. Forensische Werkzeuge, die den Sperrbildschirm umgehen, können die zugrundeliegenden Dateien trotzdem extrahieren.

Gesperrte Notizen sind besser. Apple verschlüsselt gesperrte Notizen mit einem Schlüssel, der aus dem notizspezifischen Passwort (oder dem Gerätecode, falls keines gesetzt ist) abgeleitet wird. Aber die Notizen-App ist nicht als allgemeiner Datei-Tresor konzipiert. Man kann dort keine PDFs, Videos oder beliebige Dateitypen speichern.

Was native iOS-App-Sperre nicht kann

Die Lücken sind konkret und durchgängig:

Kein eigenes Passwort für beliebige Apps. Apple stellt keine API bereit, die es erlaubt, jede App mit einem benutzerdefinierten Passwort oder Muster zu schützen. Wenn die App, die Sie schützen wollen, nicht auf der iOS‑18-Liste steht, helfen die nativen Werkzeuge nicht.

Keine kryptografische Trennung vom Gerätecode. Jeder native iOS-Schutz – Bildschirmzeit, FaceID, das versteckte Album – leitet seine Sicherheit letztlich vom Gerätecode ab. Wenn jemand diesen Code kennt, kann jede native Sperre zurückgesetzt oder umgangen werden.

Kein Schutz bei Geräteweitergabe. Wenn Sie Ihr entsperrtes iPhone an jemanden weitergeben – einen Kollegen, ein Kind, einen Grenzbeamten – verhindern native Sperren nicht, dass diese Person Apps öffnet, die nicht auf der FaceID-Liste stehen. Das Gerät ist entsperrt; die Apps sind zugänglich.

Kein versteckter oder getarnter Tresor. iOS hat keinen Mechanismus, mit dem eine App sich als etwas anderes ausgeben kann (ein Taschenrechner, ein Dienstprogramm), während sie etwas anderes tut (ein verschlüsselter Datei-Tresor). Apples Sandbox-Modell geht davon aus, dass jede App das ist, was ihr Label sagt.

Das sind keine Versehen. Apples Bedrohungsmodell für iOS geht davon aus, dass der Gerätecode die Wurzel des Vertrauens ist. Alles andere ist eine Komfortschicht darüber. Wenn Ihr Bedrohungsmodell jemanden einschließt, der den Gerätecode kennt oder beschaffen kann, reichen die nativen Schichten nicht aus.

Dedizierte App-Sperr- und Tresor-Apps

App-Sperr-Werkzeuge von Drittanbietern fürs iPhone fallen in zwei Kategorien, und der Unterschied ist wichtig.

Kategorie 1: App-Wrapper und Konfigurationsprofile

Manche „App-Sperr“-Apps aus dem App Store funktionieren, indem sie ein Konfigurationsprofil installieren oder Web-Views um Inhalte wickeln. Diese Apps verschlüsseln Dateien nicht unabhängig. Sie verlassen sich auf dieselbe iOS-Sandbox und denselben Gerätecode wie die nativen Werkzeuge.

Der praktische Effekt ist ein zweiter Code-Eingabebildschirm, der wie zusätzliche Sicherheit aussieht, aber keine kryptografische Trennung schafft. Wenn der Gerätecode bekannt ist, kann der Wrapper meist entfernt oder umgangen werden. Diese Apps sind für zufällige Blicke marginal besser als nichts, bieten aber keinen echten Schutz vor einem sachkundigen Angreifer.

Kategorie 2: Verschlüsselte Tresor-Apps

Eine Tresor-App erzeugt einen eigenen verschlüsselten Container – ein Dateisystem innerhalb der App-Sandbox, das mit einem Schlüssel versiegelt ist, der aus dem Passwort oder Muster des Benutzers abgeleitet wird, nicht aus dem Gerätecode. Die Dateien in diesem Container sind mit einem Chiffre wie AES-256-GCM verschlüsselt, und der Entschlüsselungsschlüssel existiert nur nach erfolgreicher Authentifizierung im Arbeitsspeicher.

Diese Architektur bedeutet, dass der Tresor auch dann versiegelt bleibt, wenn das Gerät entsperrt ist, wenn der Angreifer den Gerätecode kennt und wenn das Telefon an ein forensisches Werkzeug angeschlossen ist. Die Sicherheit des Tresors ist unabhängig von der iOS-Sicherheit.

AppVault ist auf diesem Modell aufgebaut. Dateien werden mit AES-256-GCM mit einer eindeutigen 96-Bit-Nonce pro Datei verschlüsselt, die Schlüssel werden über PBKDF2‑SHA256 mit 600.000 Iterationen abgeleitet und durch einen Schlüssel geschützt, der im iPhone Secure Enclave erzeugt wird. Der Enclave-Schlüssel verlässt nie den Chip. Apples Platform Security Guide dokumentiert diese Hardware-Grenze. Das OWASP Password Storage Cheat Sheet empfiehlt für SHA‑256 ab 2026 600.000 PBKDF2-Iterationen.

Da die Schlüsselableitung des Tresors unabhängig vom Gerätecode ist, hilft die Kenntnis des iPhone-Codes einem Angreifer nicht, den Tresor zu öffnen. Die beiden Authentifizierungssysteme – Gerät und Tresor – sind mathematisch getrennt.

Wann Sie eine Tresor-App brauchen vs. native Werkzeuge

Die Entscheidung hängt vom Bedrohungsmodell ab.

Bildschirmzeit verwenden, wenn: Sie als Elternteil Grenzen für ein Kind setzen oder sich selbst davon abhalten wollen, impulsiv soziale Medien zu öffnen. Bildschirmzeit reicht für Verhaltenssteuerung.

iOS 18 FaceID pro App verwenden, wenn: Sie Notizen oder Nachrichten eine biometrische Hürde geben wollen und sicher sind, dass niemand sonst Ihren Gerätecode kennt. Es ist eine Komfortfunktion, keine Sicherheitsgrenze.

Eine Tresor-App verwenden, wenn: Sie Fotos, Dokumente oder Nachrichten speichern, die privat bleiben müssen, selbst wenn das Gerät entsperrt oder der Code kompromittiert ist. Dazu gehören Journalisten, die Quellen schützen, Anwälte mit privilegierter Kommunikation, medizinisches Personal mit Patientendaten oder jeder, der sein Telefon einem Grenzbeamten, einem Reparaturtechniker oder einem neugierigen Kollegen aushändigt.

Eine Tresor-App mit getarntem Symbol verwenden, wenn: Der Tresor selbst auf dem Homescreen unsichtbar sein soll. AppVaults Taschenrechner-Starter enthält einen voll funktionsfähigen iOS-Taschenrechner – er führt Standardarithmetik aus, beachtet die Punkt‑vor‑Strich-Rechnung und zeigt einen Verlaufsstreifen an. Ein langer Druck auf die Gleich‑Taste öffnet den verschlüsselten Tresor. Das ist kein „gefälschter Taschenrechner“. Es ist ein echter Taschenrechner mit einem optionalen Kurzbefehl, der Apples Richtlinie 4.3 (alternative Icons) erfüllt.

Worauf Sie beim Download einer App-Sperre achten sollten

Der App Store enthält hunderte Apps mit „App-Sperre“ oder „AppLock“ im Namen. Die meisten sind lieblose Wrapper mit Werbe-SDKs und ohne eigene Verschlüsselung. Bevor Sie eine App-Sperr-Anwendung fürs iPhone herunterladen, prüfen Sie diese Kriterien:

Unabhängige Schlüsselableitung. Die App sollte ihren Verschlüsselungsschlüssel aus Ihrem Passwort oder Muster mit einer Funktion wie PBKDF2, Argon2 oder scrypt ableiten – nicht aus dem Gerätecode. Wenn die Sicherheit der App zusammenbricht, sobald der Gerätecode bekannt ist, ist es kein echter Tresor.

Veröffentlichter Chiffre und Modus. Achten Sie auf AES-256-GCM oder ChaCha20‑Poly1305. Wenn die App ihren Chiffre nicht nennt, gehen Sie davon aus, dass sie etwas Schwaches oder Selbstgebautes verwendet.

Keine Netzwerkaufrufe. Eine Tresor-App, die nach Hause telefoniert, ist eine Tresor-App, die gezwungen werden kann, Daten herauszugeben. AppVault tätigt standardmäßig keine Netzwerkaufrufe. Es gibt kein Konto, keine Telemetrie, keine SDKs von Drittanbietern.

Keine Passwort-Zurücksetzung. Das klingt kontraintuitiv, aber eine Tresor-App, die Ihr Passwort zurücksetzen kann, ist eine Tresor-App, die sozial manipuliert werden kann. Wenn Sie das Muster vergessen, bleibt der Tresor versiegelt. AppVault erzeugt bei der Einrichtung eine optionale schriftliche Wiederherstellungs-Passphrase – notieren Sie sie und bewahren Sie sie getrennt auf.

Transparentes Bedrohungsmodell. Die App sollte Ihnen sagen, wogegen sie schützt und wogegen nicht. AppVaults Bedrohungsmodell-Seite listet konkrete Angriffsszenarien auf – Zollkontrolle, geteiltes Gerät, geliehenes Telefon, forensische Extraktion – und ist ehrlich, was die Grenzen jeder reinen Softwarelösung auf einer von Apple kontrollierten Plattform angeht.

Die Frage nach der Galerie-Sperre

„Galerie-Sperre“ ist einer der meistgesuchten Begriffe in diesem Bereich. Er bezeichnet die Möglichkeit, die iPhone-Fotogalerie hinter einem separaten Passwort oder einer biometrischen Hürde zu sperren. Apple bietet das nicht nativ an – das versteckte Album ist die nächste Entsprechung, aber es ist kryptografisch nicht unabhängig.

Eine Tresor-App löst dies, indem sie Fotos vollständig aus der Kamera-Rolle verschiebt. Wenn Sie ein Foto in AppVault importieren, wird das Original aus der Fotos-App gelöscht und nur im verschlüsselten Container gespeichert. Das Foto taucht weder in der Kamera-Rolle noch in der Suche, in Siri-Vorschlägen oder in iCloud-Fotos auf. Es existiert nur hinter der Authentifizierungsschicht des Tresors.

Das ist der einzige Weg, eine echte Galerie-Sperre auf dem iPhone zu erreichen. Fotos im versteckten Album zu verstecken reicht nicht. Sie zu löschen und sich auf den Ordner „Zuletzt gelöscht“ zu verlassen reicht nicht. Die Dateien müssen mit einem Schlüssel verschlüsselt sein, den der Gerätecode nicht ableiten kann.

Fingerabdruck, Gesicht und Muster – welche Authentifizierung ist die beste?

App-Sperr-Apps auf dem iPhone bieten üblicherweise drei Authentifizierungsmethoden:

FaceID / TouchID. Bequem, aber die biometrische Vorlage wird in der Secure Enclave gespeichert und durch den Gerätecode geschützt. Ist der Gerätecode kompromittiert, kann die biometrische Hürde zurückgesetzt werden. Nutzen Sie Biometrie als Komfortschicht, nicht als alleinigen Sicherheitsmechanismus.

PIN oder Passwort. Eine numerische PIN hat begrenzte Entropie – eine vierstellige PIN hat nur 10.000 mögliche Kombinationen. Eine sechsstellige PIN hat eine Million. Ein alphanumerisches Passwort ist stärker, aber auf einer mobilen Tastatur langsamer einzugeben.

Mustersperre. AppVault verwendet ein 5×5-Raster-Muster. Die Anzahl gültiger Muster auf einem 5×5-Raster übersteigt 7,6 Millionen für Muster mit einer Länge von 5 oder mehr Zügen, und die effektive Entropie steigt mit der Musterkomplexität. Das Muster wird nicht gespeichert – es wird mit einer installationsspezifischen 128-Bit-Salz in PBKDF2‑SHA256 eingespeist, das einen 256-Bit-Schlüssel erzeugt, der den Hauptschlüssel des Tresors schützt.

Der stärkste Ansatz kombiniert ein Muster oder Passwort mit biometrischer Bequemlichkeit. AppVault verlangt das Muster zum Entsperren des Tresors; FaceID kann als Abkürzung nach der ersten erfolgreichen Mustereingabe aktiviert werden. Wenn FaceID fehlschlägt oder deaktiviert ist, funktioniert das Muster weiterhin.

Was AppVault anders macht

Die meisten App-Sperr-Apps auf dem iPhone sind Frontends für den iOS-Schlüsselbund oder einfache Dateiverschleierung. AppVault ist um eine Zero-Knowledge-Architektur herum gebaut – der Entwickler kann nicht auf Ihre Dateien, Ihr Muster oder Ihre Verschlüsselungsschlüssel zugreifen. Es gibt keine Server, die man vorladen könnte, keine Kontodatenbank, die es zu knacken gäbe, keine Telemetrie, die durchsickern könnte.

Der Kryptographie-Stack ist veröffentlicht und zitiert. AES-256-GCM mit einer eindeutigen 96-Bit-Nonce pro Datei (NIST FIPS 197, RFC 5116). PBKDF2‑SHA256 mit 600.000 Iterationen und einer installationsspezifischen 128-Bit-Salz (OWASP 2026). Secure Enclave-Wrapping, sodass der abgeleitete Schlüssel nie im Klartext im Arbeitsspeicher der App existiert (Apple Platform Security Guide).

Der Katalog selbst ist verschlüsselt. Ein Angreifer mit direktem Zugriff auf die App-Sandbox kann nicht feststellen, wie viele Dateien existieren, wie sie heißen oder wann sie hinzugefügt wurden. Der Tresor ist von außen undurchsichtig.

Für den vollständigen Funktionsvergleich mit den engsten Mitbewerbern siehe die Vergleiche mit Vaultaire und Keepsafe.

Quellen

• Apple Support: Fotos auf dem iPhone ausblenden und anzeigen
• Apple Support: Bildschirmzeit auf dem iPhone verwenden
• Apple Platform Security Guide: Datenübersichtsschutz
• Apple Developer: App-Datenschutzdetails im App Store
• NIST FIPS 197: Advanced Encryption Standard