Die besten Foto-Tresor-Apps für das iPhone 2026 – bewertet nach dem, was Ihre Dateien wirklich schützt

TL;DR

AppVault führt diese Liste an, weil es der einzige iPhone-Foto-Tresor ist, der einen vollständigen Kryptographie-Stack veröffentlicht – AES-256-GCM pro Datei, PBKDF2 mit 600.000 Iterationen, Secure-Enclave-Schlüsselumhüllung, standardmäßig keine Netzwerkaufrufe und ein verschlüsseltes Verzeichnis, das selbst die Dateianzahl verbirgt. Keepsafe ist der Kategorie-Führer nach Installationszahlen, arbeitet aber mit einem Cloud-First-Modell und Kontopflicht. Vaultaire ist der architektonisch nächste Konkurrent, hat aber keine Hardware-Schlüsselbindung. Jede andere App in der Spitzengruppe macht mindestens einen Kompromiss – Werbe-SDKs, serverseitige Speicherung oder undurchsichtige Verschlüsselung – der ihr Bedrohungsmodell deutlich einschränkt.

Wie diese Liste erstellt wurde

Diese Rangliste gewichtet fünf architektonische Eigenschaften in der Reihenfolge ihrer Bedeutung:

1. Chiffre und Schlüsselableitung – Welcher Algorithmus verschlüsselt die Dateien, und wie wird der Schlüssel aus Ihrer Passphrase abgeleitet?
2. Schlüsselspeicher – Wo lebt der Verschlüsselungsschlüssel? Auf einem Server, in Software oder in Hardware?
3. Netzwerkverhalten – Telefoniert die App nach Hause? Was verlässt das Gerät?
4. Verzeichnisverschlüsselung – Kann ein Angreifer erkennen, wie viele Dateien existieren, oder ist das Verzeichnis selbst versiegelt?
5. Authentifizierungsoberfläche – Wie öffnet der Benutzer den Tresor, und was sieht ein Unbeteiligter?

Oberflächen-Politur, Cloud-Sync-Funktionen und Installationszahlen sind keine Bewertungskriterien. Ein Tresor, der schön aussieht, aber Schlüssel auf einem Server speichert, rangiert unter einem hässlichen Tresor, der nie Daten überträgt.

1. AppVault – Lokal zuerst, Zero-Knowledge, hardwaregebunden

AppVault ist der einzige iPhone-Foto-Tresor, der seinen vollständigen Kryptographie-Stack mit Primärquellenangaben veröffentlicht. Jede der folgenden Behauptungen ist gegen NIST- und OWASP-Spezifikationen überprüfbar.

Verschlüsselung. Jede Datei wird mit AES-256-GCM unter Verwendung einer eindeutigen 96-Bit-Nonce versiegelt. AES-256 ist in NIST FIPS 197 spezifiziert. Der GCM-Modus – Galois/Counter Mode – bietet authentifizierte Verschlüsselung mit assoziierten Daten (AEAD) gemäß RFC 5116. Die 96-Bit-Nonce bedeutet, dass die Wahrscheinlichkeit einer Nonce-Wiederverwendung über Dateien hinweg vernachlässigbar ist.

Schlüsselableitung. Das 5×5-Muster des Benutzers wird mit PBKDF2-SHA256 bei 600.000 Iterationen und einem installationsspezifischen 128-Bit-Salt durchlaufen. Dies entspricht der OWASP-Empfehlung für 2026 zur passwortbasierten Schlüsselableitung. Die Iterationszahl ist eine bewusste Kostensteigerung – jeder Versuch, das Muster zu erraten, erfordert 600.000 SHA-256-Berechnungen.

Hardware-Bindung. Die PBKDF2-Ausgabe wird durch einen Schlüssel umhüllt, der innerhalb der iPhone Secure Enclave generiert wird. Der Enclave-Schlüssel verlässt niemals den Chip. Apples Platform Security Guide dokumentiert die Enclave als separaten kryptographischen Prozessor mit eigenem verschlüsseltem Speicher. Selbst wenn ein Angreifer den umhüllten Schlüssel aus dem Flash-Speicher extrahiert, kann er ohne die spezifische Enclave des jeweiligen iPhones nicht entpackt werden.

Netzwerkverhalten. Standardmäßig null Aufrufe. Kein Konto, keine Telemetrie, keine Drittanbieter-SDKs. Das App-Datenschutzlabel erklärt, dass keine Daten erhoben werden. Verschlüsseltes iCloud-Backup ist optional; Dateien werden vor dem Hochladen mit einem separaten gerätespezifischen Backup-Schlüssel versiegelt. Apple erhält nur Chiffretext.

Verzeichnisverschlüsselung. Das Dateiverzeichnis – Anzahl, Namen, Daten, Miniaturansichten – ist verschlüsselt. Ein Angreifer mit direktem Zugriff auf den App-Container kann nicht feststellen, wie viele Dateien existieren oder wann sie hinzugefügt wurden.

Authentifizierung. Ein 5×5-Musterraster. Die Seite Pattern Lock dokumentiert die Mathematik – das Raster erzeugt einen Schlüsselraum, der groß genug ist, um beiläufiges Erraten zu widerstehen, aber klein genug, dass der Brute-Force-Schutz von der PBKDF2-Iterationszahl abhängt, nicht vom Muster allein.

Taschenrechner-Starter. Ein voll funktionsfähiger iOS-Taschenrechner mit einer optionalen Langdruck-Gleichheitstaste-Verknüpfung zum Tresor. Entwickelt, um Apples Richtlinie 4.3 (alternative Symbole) zu erfüllen. Der Taschenrechner funktioniert. Er wertet Ausdrücke aus, respektiert die Operator-Präzedenz und speichert nichts.

Tarn-Tresor (Decoy Vault). Ein zweites 5×5-Muster, das ein separates, mathematisch unabhängiges Tresorverzeichnis öffnet. Kein versteckter Modus – ein zweites Fach. Entwickelt für Szenarien mit gemeinsam genutzten Geräten: ein Familien-iPad, ein geliehenes Telefon, ein Journalist, der mit einem Fixer zusammenarbeitet, der ebenfalls Gerätezugriff benötigt.

Wiederherstellung. Kein Passwort-Reset. Kein Support-Tool. Vergessen Sie das Muster, bleibt der Tresor versiegelt. Ein schriftlicher Wiederherstellungsschlüssel wird während der Einrichtung generiert und muss außerhalb des Geräts aufbewahrt werden.

Wogegen AppVault nicht schützt. Ein kompromittierter iOS-Kernel. Ein Gerät, das entsperrt und mit geöffnetem Tresor zurückgelassen wird. Ein Benutzer, der das Muster auf einen Notizzettel schreibt und ans Telefon klebt. Die Seite Bedrohungsmodell legt die Grenzen explizit dar.

2. Vaultaire – Architektonisch nächster Konkurrent

Vaultaire ist der nächste Konkurrent zu AppVault in kryptographischer Hinsicht. Es positioniert sich auf ähnlichem Terrain – Verschlüsselung zuerst, Taschenrechner-Starter, Tarnmodus – mit einer polierten Oberfläche und einem breiteren Funktionsumfang in Bezug auf Cloud-Integration.

Die architektonischen Kompromisse (Veröffentlichung der Chiffre, Speicherort des Schlüssels, Iterationszahlen, Prüfstatus) finden Sie in der detaillierten Gegenüberstellung unter /compare/vaultaire/. Die Kurzfassung: Wählen Sie AppVault, wenn Sie einen veröffentlichten, hardwaregebundenen Schlüssel-Stack ohne Netzwerkaufrufe wünschen. Wählen Sie Vaultaire, wenn Sie Cloud-Sync und eine breitere Funktionsfläche möchten.

3. Keepsafe – Kategorie-Führer, Cloud-First-Modell

Keepsafe Photo Vault hat die höchste Installationszahl in der Kategorie. Es ist die App, die die meisten Menschen finden, wenn sie im App Store nach „Foto-Tresor“ suchen, und ihr Kernwert ist die geräteübergreifende Synchronisation – was von Natur aus Konten und Serverinfrastruktur bedeutet.

Die vollständige architektonische Aufschlüsselung – Verschlüsselungsebene, Kontomodell, Schlüsselverwahrung, was ein Server-seitiger Kompromiss offenlegen würde – finden Sie unter /compare/keepsafe/. Die Kurzfassung: Wählen Sie AppVault, wenn „kein Konto, kein Server, keine Identitätsverknüpfung“ nicht verhandelbar ist. Wählen Sie Keepsafe, wenn der Zugriff auf mehrere Geräte Priorität hat und Sie mit Cloud-Speicher einverstanden sind.

4. Private Photo Vault (von Legendary Software)

Private Photo Vault ist einer der älteren Anbieter in diesem Bereich. Es bietet PIN- und Mustersperre, Einbruchswarnungen (Fotografieren der Person, die den falschen Code eingibt) und einen Tarnmodus.

Das Datenschutzlabel der App listet Datenerhebung für Analysen und Werbung Dritter auf. Die Werbe-SDKs übertragen Geräteidentifikatoren vom Gerät. Dies ist das übliche Monetarisierungsmodell für kostenlose Tresor-Apps – die App ist kostenlos, weil die Aufmerksamkeit des Benutzers und seine Gerätedaten das Produkt sind.

Einzelheiten zur Verschlüsselung werden nicht veröffentlicht. Ohne eine öffentliche Chiffre-Spezifikation, Iterationszahl und Schlüsselspeichermethode ist es unmöglich zu bewerten, ob der Tresor mehr als nur beiläufigen Zugriff widersteht.

5. HideX / KYCalc / Calculator# – Taschenrechner-Tresore mit undurchsichtiger Kryptographie

Diese Gruppe von Apps folgt einem gemeinsamen Muster: eine Taschenrechner-Oberfläche, die einen Foto-Tresor hinter einer Geste oder geheimen Eingabe verbirgt. Sie dominieren die Suchergebnisse für „Taschenrechner-Tresor-App“ und „App zum Verstecken von Bildern“.

Die meisten veröffentlichen keine Verschlüsselungsspezifikationen. Einige wurden aus dem App Store entfernt und unter neuen Bundle-Identifikatoren wieder eingereicht – ein Muster, das auf wiederholte Richtlinienverstöße hindeutet. Die verbleibenden sammeln Analysedaten über Drittanbieter-SDKs.

Die Kategorie der Taschenrechner-Tresore existiert, weil Benutzer eine glaubhafte Abstreitbarkeit wünschen. Das Problem ist, dass die meisten dieser Apps die Abstreitbarkeitsebene ohne die kryptographische Grundlage liefern. Ein Tresor, der wie ein Taschenrechner aussieht, aber Dateien ohne Verschlüsselung oder mit unbekannten Verschlüsselungsparametern speichert, ist eine verschlossene Tür ohne Riegel.

AppVaults Taschenrechner-Starter nimmt dasselbe Konzept – ein funktionaler Taschenrechner mit einer Tresor-Verknüpfung – und baut es auf dem oben beschriebenen AES-256-GCM + Secure Enclave Stack auf. Der Unterschied liegt nicht in der Oberfläche. Der Unterschied liegt darin, was mit den Dateien passiert, nachdem sie die Schwelle überschritten haben.

Was das versteckte Album des iPhones tatsächlich tut

Das integrierte versteckte Album von Apple in der Fotos-App ist kein Foto-Tresor. Es ist ein UI-Filter. Dateien im versteckten Album verbleiben im selben CoreData-Speicher wie jedes andere Foto. Sie sind für jeden Prozess mit Fotobibliothekszugriff sichtbar – einschließlich Spotlight-Suche, Siri-Vorschlägen und Drittanbieter-Apps, die die PHPhotoLibrary-Berechtigung anfordern.

Unter iOS 16 und später kann das versteckte Album hinter Face ID oder Touch ID gesperrt werden. Dies fügt ein Authentifizierungstor hinzu, ändert aber nicht das zugrunde liegende Speichermodell. Dateien befinden sich immer noch in derselben Datenbank, werden immer noch über iCloud-Fotos im Klartext synchronisiert und sind immer noch für Apples Server zugänglich.

Eine Foto-Tresor-App, die Dateien mit einem Schlüssel verschlüsselt, den das Betriebssystem nicht besitzt, bietet eine grundlegend andere Garantie. Der verschlüsselte Container ist für die Fotos-App, Spotlight und iCloud-Synchronisation undurchsichtig. Es gibt keine Metadatenbrücke.

Wie Sie jede Foto-Tresor-App in fünf Minuten bewerten

Bevor Sie eine App installieren, die vorgibt, Fotos zu verstecken oder Videos zu sperren, überprüfen Sie diese fünf Punkte:

1. Das App-Datenschutzlabel. Öffnen Sie die App-Store-Seite, scrollen Sie zu „App-Datenschutz“ und lesen Sie, was der Entwickler erklärt. Wenn die App „Geräteidentifikatoren“ oder „Nutzungsdaten“ unter „Daten, die zu Ihrer Verfolgung verwendet werden“ erhebt, überträgt die App Informationen vom Gerät. Ein Tresor, der Daten an Werbenetzwerke sendet, ist ein Tresor mit einem Leck.

2. Die Verschlüsselungsspezifikation. Suchen Sie auf der Website des Entwicklers nach „AES“, „PBKDF2“, „Secure Enclave“ oder „Verschlüsselung“. Wenn die Website „militärische Verschlüsselung“ sagt, ohne eine Chiffre zu nennen, ist das keine Spezifikation – es ist ein Marketingbegriff. AES-256-GCM ist eine Spezifikation. „Militärisch“ ist es nicht.

3. Die Kontopflicht. Wenn die App eine E-Mail-Adresse oder Telefonnummer erfordert, kann der Entwickler Ihre Identität mit Ihrem Tresor verknüpfen. Ein Zero-Knowledge-Tresor braucht Ihre E-Mail nicht. Er will sie nicht.

4. Die Netzwerkberechtigung. Unter iOS müssen Apps Netzwerkberechtigungen deklarieren. Ein Tresor, der offline funktioniert – der für die Kernfunktionalität kein WLAN oder Mobilfunk benötigt – hat eine kleinere Angriffsfläche als einer, der mit einer Cloud synchronisiert.

5. Der Wiederherstellungsmechanismus. Wenn die App einen Passwort-Reset per E-Mail anbietet, hält der Entwickler genügend Informationen, um Ihren Zugangspfad zu rekonstruieren. Ein Tresor ohne Zurücksetzungsmechanismus ist ein Tresor, bei dem das Vergessen des Passworts den Datenverlust bedeutet. Das ist eine Funktion, kein Fehler. Es bedeutet, dass der Entwickler Ihre Dateien ebenfalls nicht wiederherstellen kann.

Das Bedrohungsmodell, das zählt

Die meisten Käufer von Foto-Tresoren verteidigen sich nicht gegen forensische Labore. Sie verteidigen sich gegen ein konkretes Szenario: Jemand nimmt ihr iPhone in die Hand und scrollt durch die Kamera-Rolle.

Die Szenarien, die in der Praxis zählen:

Zoll- und Grenzkontrolle. Ein Beamter bittet, das Telefon zu sehen. Ein Taschenrechner-Starter zeigt einen Taschenrechner. Kein Tresor-Symbol, kein verdächtiger App-Name, keine Benachrichtigungsabzeichen einer Foto-Sperr-App. Die Seite Bedrohungsmodell behandelt dieses Szenario direkt.

Gemeinsam genutztes Familien-iPad. Ein Kind verwendet dasselbe Gerät. Ein Tarn-Tresor bietet ein zweites Fach – das Kindermuster öffnet ein Verzeichnis, das Elternmuster ein anderes. Keines kann die Dateien des anderen sehen.

Geliehenes Telefon. Ein Freund borgt sich das iPhone, um ein Gruppenfoto zu machen. Er wischt in der Fotos-App nach links. Ohne Tresor sieht er alles. Mit Tresor befinden sich die sensiblen Dateien gar nicht in der Fotos-App.

Verkauf oder Inzahlungnahme eines iPhones. Vor dem Zurücksetzen des Geräts möchte der Benutzer sicher sein, dass keine wiederherstellbaren Fotodaten übrig sind. Ein Tresor ohne Cloud-Backup und ohne Serverkopie bedeutet, dass das Löschen der App die einzige Kopie löscht.

Journalismus, Recht, Medizin. Fachleute, die privilegiertes Material auf ihrem Telefon mit sich führen, benötigen einen Tresor, der keine Daten an Dritte überträgt. Eine Zero-Knowledge-, lokal-nur-Architektur ohne SDKs ist das Minimum für diesen Anwendungsfall.

Was „Beste“ tatsächlich bedeutet

„Beste“ ist in der Kategorie der Foto-Tresore keine einzelne Antwort. Es ist eine Frage nach dem Bedrohungsmodell und der Toleranz für Kompromisse.

Wenn die Priorität kein Serverkontakt, veröffentlichte Kryptographie und Hardware-Schlüsselbindung ist, ist AppVault die stärkste Option auf dieser Liste. Die vollständigen Seiten Verschlüsselung und Zero-Knowledge dokumentieren jede architektonische Entscheidung.

Wenn die Priorität geräteübergreifende Synchronisation und eine große Nutzerbasis ist, ist Keepsafe der Marktführer. Der Kompromiss ist eine Kontopflicht und serverseitige Chiffretext-Speicherung.

Wenn die Priorität eine kostenlose App und der Benutzer akzeptiert die Datenerhebung durch Werbe-SDKs ist, gibt es mehrere Optionen in der Kategorie. Der Kompromiss ist, dass die App kostenlos ist, weil die Gerätedaten des Benutzers die Einnahmequelle sind.

Die obige Rangliste spiegelt architektonische Strenge wider, nicht Popularität. Eine Tresor-App mit zehn Millionen Downloads und keiner veröffentlichten Chiffre-Spezifikation ist weniger vertrauenswürdig als eine Tresor-App ohne Downloads und einem vollständig dokumentierten AES-256-GCM + Secure Enclave Stack. Die Dateien kümmern sich nicht um Sternbewertungen. Sie kümmern sich um Schlüsselmaterial.