Fotos auf dem iPhone verstecken – jede Methode, ehrlich bewertet

TL;DR

Das integrierte ausgeblendete Album des iPhones entfernt Fotos aus der Hauptbibliotheksansicht, belässt sie aber in einem eigenen „Ausgeblendet“-Album, das jeder öffnen kann. Der gesperrte Ordner ab iOS 16+ fügt Face-ID-Schutz hinzu, zeigt aber dennoch die Existenz des Ordners an. Spezielle Tresor-Apps wie AppVault verschlüsseln Dateien mit AES-256-GCM, leiten Schlüssel über PBKDF2 mit 600.000 Iterationen ab und können die App selbst als Taschenrechner tarnen – nichts davon bieten die nativen Werkzeuge. Die richtige Methode hängt davon ab, vor wem Sie sich schützen.

Das integrierte ausgeblendete Album: Was es wirklich tut

Apple hat das ausgeblendete Album zu iOS als Komfortfunktion hinzugefügt. Es entfernt ausgewählte Fotos und Videos aus der Hauptbibliotheksansicht – dem Tab „Fotos“, dem Tab „Für dich“ und Erinnerungen. Die Dateien werden in ein spezielles Album unter Alben → Dienstprogramme → Ausgeblendet verschoben.

Das ist der gesamte Mechanismus. Kein Passwort. Keine biometrische Hürde. Keine Änderung der Verschlüsselung. Die Dateien befinden sich im selben unverschlüsselten Container wie jedes andere Foto auf dem Gerät, werden von derselben Datenbank indiziert und sind für jeden sichtbar, der zum richtigen Bildschirm navigiert.

Apple hat in iOS 14 einen Schalter hinzugefügt, mit dem Sie die Auflistung des ausgeblendeten Albums selbst ausblenden können. Gehen Sie zu Einstellungen → Fotos und schalten Sie „Ausgeblendetes Album“ aus. Das Album verschwindet aus dem Bereich „Dienstprogramme“. Aber die Fotos werden weiterhin indiziert. Sie erscheinen weiterhin in Suchergebnissen. Sie tauchen weiterhin in Siri-Vorschlägen auf. Der Schalter ist eine UI-Änderung, keine Sicherheitskontrolle.

Wann das ausgeblendete Album ausreicht: Sie möchten verhindern, dass beiläufig wischende Hände – ein Freund, der durch Ihre Kamerarolle blättert, ein Kind, das herumtippt – auf bestimmte Bilder stoßen. Das ausgeblendete Album entfernt Fotos aus dem standardmäßigen Durchsuchen-Fluss. Für diesen engen Zweck funktioniert es.

Wann es nicht ausreicht: Jeder, der die Fotos-App mit Absicht öffnet, kann das ausgeblendete Album in unter fünf Sekunden finden. Es ist kein Authentifizierungsschritt erforderlich. Wenn Ihr Bedrohungsmodell eine Person einschließt, die weiß, wonach sie sucht, ist das ausgeblendete Album keine Hürde.

Der gesperrte Ordner (iOS 16 und neuer)

iOS 16 führte den gesperrten Ordner ein, der Face-ID- oder Touch-ID-Schutz für ausgeblendete Fotos hinzufügt. Wenn Sie Fotos in den gesperrten Ordner verschieben, verlangt die Fotos-App eine biometrische Authentifizierung, bevor sie sie anzeigt.

Dies ist ein bedeutender Schritt nach oben vom ausgeblendeten Album. Eine Person, die durch Ihr Telefon wischt, kann den gesperrten Ordner nicht ohne Ihr Gesicht oder Ihren Fingerabdruck öffnen. Die Dateien werden auch von der iCloud-Fotos-Synchronisierung ausgeschlossen – sie bleiben nur auf dem Gerät.

Aber der gesperrte Ordner hat seine eigenen Grenzen. Der Ordner selbst ist in der Fotos-App sichtbar. Ein Betrachter kann sehen, dass ein gesperrter Ordner existiert, und daraus schließen, dass er Inhalte enthält, die Sie schützen möchten. Der Ordner zeigt ein Schlosssymbol und eine Bezeichnung. Er kündigt seine eigene Existenz an.

Der gesperrte Ordner verschlüsselt Dateien auch nicht getrennt vom Rest des iOS-Datenschutzsystems. Wenn das Gerät gesperrt ist, sind alle Dateien durch die Hardware-Verschlüsselung geschützt, die an Ihren Code gebunden ist. Wenn das Gerät entsperrt ist, fügt der gesperrte Ordner eine biometrische Hürde hinzu – aber der zugrunde liegende Speicher ist dasselbe verschlüsselte APFS-Volume, das alles andere auf dem Telefon schützt.

Wann der gesperrte Ordner ausreicht: Sie möchten biometrischen Schutz vor jemandem, der Ihr entsperrtes Telefon in der Hand hält. Ein Kollege, ein Familienmitglied, ein Freund – jemand, der physisch mit dem Gerät interagieren kann, sich aber nicht als Sie authentifizieren kann.

Wann er nicht ausreicht: Der gesperrte Ordner verbirgt nicht die Tatsache, dass verborgener Inhalt existiert. Er schützt nicht vor jemandem, der Ihren Gerätecode kennt (da der Code Face ID überschreiben kann). Er verschlüsselt Dateien nicht mit einem separaten Schlüssel. Und er hilft nicht, wenn die Tresor-App selbst unsichtbar sein muss.

Wo native Werkzeuge versagen

Das Kernproblem bei beiden nativen Apple-Optionen ist architektonischer Natur. Die Fotos-App ist eine einzelne Anwendung mit einem einzigen Datenspeicher. Ein Foto zu verstecken bedeutet, ein Flag in einer Datenbankzeile zu ändern. Die Datei bleibt im selben Verzeichnis, auf demselben Flash-Speicher, referenziert durch denselben Index.

Dies hat konkrete Konsequenzen:

Suche und Siri. Selbst wenn der Schalter für das ausgeblendete Album ausgeschaltet ist, können Fotos in der Spotlight-Suche, in Siri-Vorschlägen und in der Suchleiste innerhalb von Fotos auftauchen. Die Indizierungspipeline von Apple respektiert das ausgeblendete Flag nicht vollständig.

Geteilte Alben und AirDrop. Ausgeblendete Fotos können immer noch für AirDrop oder geteilte Alben ausgewählt werden, wenn der Benutzer über die Suche oder einen geteilten Link zu ihnen navigiert. Der Ausblendmechanismus ist ein Anzeigefilter, keine Zugriffskontrolle.

Backups. Fotos aus dem ausgeblendeten Album und dem gesperrten Ordner sind in iCloud-Backups und iTunes/Finder-Backups enthalten. Wenn jemand Zugriff auf Ihr iCloud-Konto oder eine lokale Backup-Datei erhält, sind die ausgeblendeten Fotos vorhanden.

Zuletzt gelöscht. Wenn Sie ein Foto löschen – ob ausgeblendet oder nicht – wird es in den Ordner „Zuletzt gelöscht“ verschoben und bleibt 30 Tage lang wiederherstellbar. Das ausgeblendete Album ändert dieses Verhalten nicht.

Forensischer Zugriff. Werkzeuge, die in der Geräteforensik verwendet werden, lesen den Flash-Speicher direkt aus oder extrahieren die Fotos-Datenbank. Ein boolesches Flag in einer SQLite-Spalte hält einen forensischen Ermittler nicht auf.

Für die Bedrohungsmodelle, die zählen – Zoll- und Grenzkontrollen, gemeinsam genutzte Familien-iPads, das Ausleihen Ihres Telefons an jemanden, der Verkauf oder die Inzahlungnahme eines Geräts – hinterlassen die nativen Werkzeuge Lücken, die eine spezielle Tresor-App schließen soll.

Wie spezielle Tresor-Apps funktionieren

Eine Tresor-App verfolgt einen grundlegend anderen Ansatz. Anstatt ein Sichtbarkeitsflag innerhalb der Fotos-App umzuschalten, entfernt sie Dateien vollständig aus der Fotobibliothek und speichert sie in einem verschlüsselten Container, den die App kontrolliert.

Der typische Arbeitsablauf:

1. Import. Der Benutzer wählt Fotos oder Videos aus der Fotobibliothek aus. Die Tresor-App kopiert sie in ihren eigenen Sandbox-Speicher.
2. Verschlüsselung. Jede Datei wird mit einem symmetrischen Schlüssel verschlüsselt, der aus der Passphrase oder dem Muster des Benutzers abgeleitet wird. Im Fall von AppVault ist die Chiffre AES-256-GCM mit einer eindeutigen 96-Bit-Nonce pro Datei, und der Schlüssel wird durch PBKDF2-SHA256 mit 600.000 Iterationen und einem pro Installation zufälligen 128-Bit-Salt abgeleitet.
3. Originale löschen. Die App löscht die Originaldateien aus der Fotobibliothek, einschließlich aus dem Ordner „Zuletzt gelöscht“, sodass keine Spur in der nativen Fotodatenbank zurückbleibt.
4. Speichern. Die verschlüsselten Dateien leben in der Sandbox der App. Die iOS-Sandbox verhindert, dass andere Apps die Daten lesen. Die Verschlüsselung verhindert, dass jemand, der den Inhalt der Sandbox extrahiert, die Dateien ohne den Schlüssel lesen kann.

Das Ergebnis: Die Fotos existieren nicht mehr in der Fotos-App, in der Suche, in Siri-Vorschlägen, in geteilten Alben oder in der Kamerarolle. Sie existieren nur als Chiffretext im Container der Tresor-App.

Was Verschlüsselung hier tatsächlich bedeutet

Der Kryptographie-Stack von AppVault ist vollständig auf der Verschlüsselungs- Konzeptseite veröffentlicht. Die Kurzfassung:

• AES-256-GCM (Galois/Counter Mode) bietet authentifizierte Verschlüsselung. Jede Datei erhält eine eindeutige 96-Bit-Nonce, sodass zwei identische Fotos völlig unterschiedlichen Chiffretext erzeugen. Der Algorithmus ist in NIST FIPS 197 und NIST SP 800-38D spezifiziert.
• PBKDF2-SHA256 mit 600.000 Iterationen wandelt das Muster des Benutzers in einen kryptographischen Schlüssel um. Die Iterationsanzahl folgt der OWASP-Empfehlung für 2026 für passwortbasierte Schlüsselableitung. Ein zufälliges 128-Bit-Salt, das einmal bei der Installation generiert wird, stellt sicher, dass zwei Geräte mit demselben Muster unterschiedliche Schlüssel erzeugen.
• Secure Enclave-Wrapping. Die PBKDF2-Ausgabe wird von einem Schlüssel umschlossen, der innerhalb der iPhone Secure Enclave generiert wird. Der Enclave-Schlüssel verlässt nie den Chip. Auf Geräten mit einer Secure Enclave (iPhone 5s und neuer) bedeutet dies, dass das Schlüsselmaterial an die Hardware gebunden ist und nicht allein durch Software extrahiert werden kann.

Dies ist keine Marketing-Sprache. Jede dieser Entscheidungen hat eine spezifische Sicherheitseigenschaft. Die hohe Iterationsanzahl macht Brute-Force-Angriffe auf das Muster rechenintensiv. Die Nonce pro Datei verhindert eine Musteranalyse über Chiffretexte hinweg. Die Secure-Enclave-Bindung bedeutet, dass selbst wenn jemand den verschlüsselten Container auf ein anderes Gerät kopiert, die Dateien ohne die ursprüngliche Hardware nicht entschlüsselt werden können.

Der Taschenrechner-Starter: Den Verstecker verstecken

Verschlüsselung schützt die Dateien. Aber wenn die Tresor-App selbst auf dem Startbildschirm sichtbar ist, weiß ein Betrachter, dass verborgener Inhalt existiert. Das App-Symbol ist ein Signal.

AppVaults Taschenrechner-Starter adressiert dies, indem es einen voll funktionsfähigen iOS-Taschenrechner als primäre Oberfläche der App ausliefert. Der Benutzer öffnet die App, sieht einen Standard-Taschenrechner und kann normal rechnen. Ein langer Druck auf die Gleich-Taste öffnet den verschlüsselten Tresor.

Dies ist kein gefälschter Taschenrechner. Es ist ein echter Taschenrechner, der zufällig auch einen Tresor hinter einer bestimmten Geste hat. Das Design ist entwickelt, um Apples Richtlinie 4.3 (alternative Symbole) zu erfüllen, indem es echte Taschenrechner-Funktionalität bietet.

Der Taschenrechner-Starter verändert das Bedrohungsmodell. Eine Person, die Ihr Telefon in die Hand nimmt und eine Taschenrechner-App auf dem Startbildschirm sieht, hat keinen Grund zu vermuten, dass sie verschlüsselte Fotos enthält. Ein Zollbeamter, der durch Apps scrollt, sieht einen Taschenrechner. Ein Freund, der sich Ihr Telefon ausleiht, sieht einen Taschenrechner.

Dies ist keine Unsichtbarkeit. Eine forensische Untersuchung der Bundle-ID und der Berechtigungen der App würde ihre wahre Natur offenbaren. Aber für die praktischen Szenarien, denen die meisten Menschen gegenüberstehen – eine Person mit physischem Zugriff und beiläufiger Absicht – erhöht der Taschenrechner-Starter die Hürde von „öffne die offensichtliche Tresor-App“ zu „finde heraus, dass der Taschenrechner kein Taschenrechner ist“.

Der Tarn-Tresor: Zwei Alben, ein Gerät

Einige Situationen erfordern mehr als eine versteckte App. Wenn jemand weiß, dass Sie eine Tresor-App verwenden, und Zugang verlangt, schafft ein einzelnes Passwort ein Problem: Weigerung impliziert Schuld, und Nachgeben macht den Zweck zunichte.

AppVaults Tarn-Tresor bietet ein zweites 5×5-Muster, das einen separaten, mathematisch unabhängigen Tresorkatalog öffnet. Der Tarn-Tresor ist ein voll funktionsfähiger, verschlüsselter Bereich. Er kann eigene Fotos, Videos und Dateien enthalten. Die Verschlüsselungsschlüssel für den Tarn-Tresor werden aus dem Tarn-Muster abgeleitet – sie sind nicht mit den Schlüsseln für den primären Tresor verwandt. Es gibt keine kryptographische Verbindung zwischen den beiden.

Dies ist in bestimmten Szenarien nützlich: einem gemeinsam genutzten Familien-iPad, bei dem der Tresorzugriff einer Person erwartet wird, einem Gerät, das von mehr als einer Person verwendet wird, oder jeder Situation, in der glaubhafte Abstreitbarkeit einen praktischen Wert hat.

Der Tarn-Tresor ist kein magischer Schild. Er schützt nicht vor forensischen Analysen, die den gesamten Speicher der App untersuchen. Er schützt vor dem sozialen Szenario, in dem jemand weiß, dass der Tresor existiert, und sehen möchte, was darin ist.

Mustersperre: Warum das Raster wichtig ist

AppVault verwendet eine 5×5-Mustersperre anstelle einer numerischen PIN oder eines alphanumerischen Passworts. Das Raster bietet 25 Knoten, und das Muster verbindet sie in einer Sequenz. Die Gesamtzahl der möglichen Muster ist groß – deutlich größer als eine 4-stellige PIN (10.000 Kombinationen) und vergleichbar mit einer 6-stelligen PIN, obwohl die genaue Anzahl von den Mindest- und Höchstknotenbeschränkungen abhängt.

Das Muster ist nicht der Verschlüsselungsschlüssel. Das Muster ist die Eingabe für PBKDF2, das es zu einem 256-Bit-Schlüssel streckt. Die Sicherheit kommt von der Schlüsselableitungsfunktion, nicht vom Muster selbst. Eine 4-stellige PIN, die mit 600.000 Iterationen durch PBKDF2 läuft, ist ebenfalls sicher gegen Brute-Force – die Iterationsanzahl macht jede Vermutung teuer.

Die Mustersperre ist eine Usability-Entscheidung. Die meisten Menschen können sich eine geometrische Form zuverlässiger merken als eine zufällige Zeichenfolge. Das 5×5-Raster ist vom Android-Sperrbildschirm bekannt. Und die visuelle Natur des Musters macht es schneller einzugeben als ein getipptes Passwort auf einem Touchscreen.

Wogegen Tresor-Apps nicht schützen

Ehrlichkeit über Grenzen ist nützlicher als Übertreibung. Hier ist, wogegen eine Tresor-App wie AppVault nicht verteidigt:

Forensische Chip-off-Angriffe. Ein Labor, das den NAND-Flash-Chip entlötet und direkt ausliest, kann den verschlüsselten Container extrahieren. AES-256-GCM mit einem starken Schlüssel macht die Entschlüsselung undurchführbar, aber der Chiffretext ist physisch vorhanden. Wenn der Schlüssel schwach ist (ein einfaches Muster, niedrige Iterationsanzahl), kann die Verschlüsselung gebrochen werden. AppVaults PBKDF2 mit 600.000 Iterationen und Secure-Enclave-Wrapping erhöhen die Kosten erheblich, aber keine reine Software-Lösung besiegt ein gut finanziertes forensisches Labor.

Erzwungene Entschlüsselung. In einigen Rechtsordnungen können Behörden Sie rechtlich zwingen, ein Passwort oder biometrische Daten herauszugeben. Eine Tresor-App kann nicht vor einer gerichtlichen Anordnung schützen. Der Tarn-Tresor kann in informellen Situationen glaubhafte Abstreitbarkeit bieten, ist aber kein rechtlicher Schutzschild.

Kompromittierung des Gerätecodes. Wenn jemand Ihren Gerätecode kennt, kann er das Telefon entsperren und versuchen, die Tresor-App zu öffnen. Das Muster des Tresors ist ein separater Authentifizierungsfaktor, aber der Gerätecode ist die erste Verteidigungslinie. Ein starker Gerätecode (alphanumerisch, nicht 4-stellig) bleibt unerlässlich.

Bildschirmaufzeichnung und Shoulder-Surfing. Eine Tresor-App kann nicht verhindern, dass jemand zusieht, wie Sie Ihr Muster eingeben, oder den Bildschirm aufzeichnet, während Sie verschlüsselte Fotos durchsuchen. Physische Sicherheit – Bewusstsein für Ihre Umgebung, Bildschirm-Datenschutzfilter – ist eine separate Ebene.

iCloud-Backup des Tresor-Containers. Wenn der Benutzer iCloud-Backup aktiviert, wird der verschlüsselte Container des Tresors gesichert. Die Dateien bleiben verschlüsselt, und der Backup-Schlüssel ist vom Tresor-Schlüssel getrennt. Aber der Chiffretext existiert auf Apples Servern. Die Backup-Verschlüsselung von AppVault verwendet einen gerätespezifischen Schlüssel, den Apple nicht besitzt, aber die Metadaten (Backup existiert, App installiert) sind sichtbar.

Das vollständige Bedrohungsmodell beschreibt diese Szenarien detaillierter.

AppVault im Vergleich zur Kategorie

Die Kategorie der Taschenrechner-Tresor-Apps im App Store umfasst Dutzende von Apps. Die meisten teilen eine ähnliche Prämisse – ein getarntes Symbol, eine Muster- oder PIN-Sperre, verschlüsselter Speicher – aber die Implementierungsqualität variiert enorm.

Keepsafe ist der Kategorieführer nach Installationszahlen. Es bietet Cloud-Synchronisierung, ein Abonnementmodell und eine polierte Oberfläche. Der vollständige Funktionsvergleich befindet sich auf der AppVault vs. Keepsafe Vergleichsseite. Die Cloud-Architektur von Keepsafe bedeutet, dass Dateien über die Server von Keepsafe laufen, was ein grundlegend anderes Vertrauensmodell ist als eine rein lokale App.

Vaultaire ist der engste Konkurrent in der Nische der Taschenrechner-Tresore. Es verwendet eine Taschenrechner-Tarnung und lokalen Speicher. Die architektonischen Unterschiede – Schlüsselableitung, Verschlüsselungsmodus, Secure-Enclave-Nutzung – sind auf der AppVault vs. Vaultaire Vergleichsseite detailliert beschrieben.

Die meisten anderen Taschenrechner-Tresor-Apps im Store veröffentlichen ihren Kryptographie-Stack nicht. Ohne veröffentlichte Iterationsanzahlen, Chiffre-Modi und Schlüsselableitungsdetails gibt es keine Möglichkeit zu bewerten, ob die Verschlüsselung sinnvoll oder dekorativ ist. Eine App, die „militärische Verschlüsselung“ behauptet, aber PBKDF2 mit 1.000 Iterationen ausführt, bietet keinen sinnvollen Schutz.

AppVault veröffentlicht seinen vollständigen Stack mit Primärquellenangaben. Die Chiffre, Iterationsanzahl, Salt-Generierung und Hardware-Bindung sind auf der Verschlüsselungs- Seite dokumentiert. Dies ist der Mindeststandard für ein Produkt, das Benutzer bittet, ihm private Dateien anzuvertrauen.

Praktische Szenarien: Welche Methode Sie verwenden sollten

Zoll- und Grenzkontrollen. Ein Beamter, der Ihr Telefon in die Hand nimmt und durch Apps und Fotos scrollt. Der Taschenrechner-Starter adressiert dies: Die App sieht aus wie ein Taschenrechner. Die verschlüsselten Dateien befinden sich nicht in der Fotos-App. Der Beamte hat keinen offensichtlichen Grund, versteckte Inhalte zu vermuten. Dies ist das Szenario, in dem eine Tresor-App mit einem getarnten Symbol den größten Mehrwert gegenüber nativen Werkzeugen bietet.

Gemeinsam genutztes Familien-iPad. Mehrere Personen verwenden dasselbe Gerät. Der gesperrte Ordner bietet biometrischen Schutz, aber der Ordner ist sichtbar. Eine Tresor-App mit einem separaten Muster hält Dateien vollständig aus der Fotos-App heraus. Der Tarn-Tresor fügt eine zweite Ebene hinzu, wenn der Zugriff eines Familienmitglieds erwartet wird.

Ausleihen Ihres Telefons. Ein Freund macht ein Gruppenfoto und wischt weiter. Das ausgeblendete Album entfernt Fotos aus der Hauptansicht, aber ein entschlossenes Wischen kann es erreichen. Eine Tresor-App entfernt die Dateien vollständig aus der Fotos-App.

Verkauf oder Inzahlungnahme eines iPhones. Verschieben Sie vor einem Werksreset vertrauliche Dateien in die Tresor-App und verwenden Sie dann die sichere Löschfunktion der App. Nach dem Löschen der App und dem Durchführen eines Werksresets wird der verschlüsselte Container zerstört. Das native ausgeblendete Album und der Ordner „Zuletzt gelöscht“ werden durch den Werksreset gelöscht, aber eine Tresor-App gibt Ihnen explizite Kontrolle über den Löschzeitpunkt.

Journalisten, Anwälte, medizinisches Fachpersonal. Vertrauliches Arbeitsmaterial, das für niemanden mit Gerätezugriff zugänglich sein sollte. Eine Tresor-App mit starker Verschlüsselung und ohne Cloud-Synchronisierung hält Dateien lokal und verschlüsselt. Die Zero-Knowledge-Architektur – detailliert auf der Zero-Knowledge- Seite – bedeutet, dass der App-Entwickler keinen Zugriff auf Dateiinhalte oder Metadaten hat.

So richten Sie AppVault zum Verstecken von Fotos ein

Der Einrichtungsprozess ist so konzipiert, dass das Zeitfenster, in dem Dateien sowohl in der Fotobibliothek als auch im Tresor existieren, minimiert wird.

1. AppVault installieren aus dem App Store. Die App erscheint als Taschenrechner auf dem Startbildschirm