iPhone härten statt wechseln

1 · Apple-Konto & iCloud

Das Apple-Konto ist die größte Stellschraube – hier lohnt der meiste Aufwand. Geh die Punkte in deinem Tempo durch; du musst nicht alles auf einmal umstellen, und jeder Haken bringt dich schon ein Stück weiter.

• Erweiterter Datenschutz (ADP) aktivieren: Einstellungen → [Name] → iCloud → Erweiterter Datenschutz. Bringt Ende-zu-Ende-Verschlüsselung für Backups, Fotos, Notizen, Erinnerungen, Safari-Verlauf, Wallet u. v. m.
• iCloud Private Relay an – Teil von iCloud+ (schon im 50-GB-Tarif für ~0,99 €/Monat enthalten). Leitet den Safari-Verkehr über zwei getrennte Relays, sodass niemand – auch Apple nicht – deine IP und die Ziel-Domain zugleich sieht. Gilt nur für Safari; bei aktivem VPN überflüssig; und bei komplett abgeschaltetem iCloud nicht verfügbar.
• „E-Mail-Adresse verbergen" (Hide My Email): ebenfalls in iCloud+ enthalten – erzeugt zufällige Wegwerf-Adressen, die an dein echtes Postfach weiterleiten. Gut, um die eigene Adresse bei Anmeldungen nicht preiszugeben.
• iCloud-Sync ausdünnen: nur Dienste behalten, die du wirklich brauchst.
• Maximal-Variante – iCloud ganz abschalten (ggf.): Wer gar keine Daten bei Apple ablegen will, deaktiviert iCloud komplett ([Name] → iCloud → alle Dienste aus) und schaltet besonders das iCloud-Backup ab ([Name] → iCloud → iCloud-Backup → aus). Auch Fotos, Kontakte, Kalender, Notizen & iCloud Drive dann nicht in die Cloud synchronisieren.
• Stattdessen lokal & verschlüsselt sichern: Backups über den Mac (Finder) bzw. Windows erstellen und dabei „Lokales Backup verschlüsseln" aktivieren – so liegen die Daten nur bei dir, inklusive Passwörter und Health-Daten. Und denk dran: kein Backup = kein Mitleid. 🙂
• „Wo ist?" / „Mein iPhone suchen": bei genutztem iCloud aktiviert lassen – nötig für Ortung und Diebstahl-Wipe. Achtung: Schaltest du iCloud komplett ab, entfällt „Wo ist?" vollständig – dann gibt es keine Ortung und kein Fern-Löschen mehr.
• Zwei-Faktor mit Hardware-Schlüssel: möglichst 2 Sicherheitsschlüssel (z. B. YubiKey) registrieren unter [Name] → Anmeldung & Sicherheit → Sicherheitsschlüssel.
• Stolen Device Protection auf „Always": Face ID & Code → Schutz für gestohlene Geräte.

2 · Datenschutz & Sicherheit

Einstellungen → Datenschutz & Sicherheit

• App-Tracking-Anfragen erlauben: AUS.
• Apple-Werbung → Personalisierte Werbung: AUS.
• Analyse & Verbesserungen: alle Schalter aus (iPhone Analytics, iCloud Analytics, Verbesserung von Siri & Diktat, Sicherheitsforschung etc.).
• Sensor- & Nutzungsdaten an Apple: aus, wo immer möglich.
• App-Datenschutzbericht aktivieren – zeigt Apps, die im Hintergrund kommunizieren.
• Lockdown-Modus aktivieren, wenn akzeptabel: deaktiviert JIT in Safari, blockiert 2G, erlaubt Zubehör nur entsperrt, verschärft den Speicherschutz. Lockdown + ADP ist auf iOS die Konfiguration, die einem Hardened-Profil am nächsten kommt. → Wann brauche ich das? Mehr dazu unten

Lockdown-Modus – nur bei echtem Bedarf

Der Lockdown-Modus ist Apples stärkste Schutzfunktion – aber er ist kein Standard-Tipp für alle. Er ist gezielt für Menschen gedacht, die mit aufwändigen, gezielten Angriffen rechnen müssen.

Für wen ist Lockdown gedacht?

3 · Standortdienste

Den Standort musst du nicht komplett opfern – meist reicht es, pro App bewusst zu entscheiden. Pfad: Datenschutz & Sicherheit → Ortungsdienste

• Komplett aus – oder pro App auf „Nie" bzw. „Beim Verwenden" mit deaktivierter genauer Position.
• Systemdienste (ganz unten) durchgehen – fast alles aus: Bedeutsame Orte (AUS + Einträge löschen), Routen & Verkehr, ortsbezogene Vorschläge/Werbung, Geräteverwaltung, iPhone Analytics.
• „Mein iPhone suchen" und „Notruf & SOS" anlassen.
• „Statusleiste" aktivieren – zeigt einen Pfeil, wenn ein Systemdienst den Standort abruft.

4 · Apple Intelligence, Siri & Diktat

Hier geht es um Sprach- und KI-Funktionen, die bequem sind, aber Daten nach außen tragen können. Was du nicht brauchst, darfst du beruhigt abschalten – einschalten kannst du es später jederzeit wieder.

• Apple Intelligence komplett AUS (Einstellungen → Apple Intelligence & Siri). Auch mit „Private Cloud Compute" verlassen Daten das Gerät.
• Siri komplett deaktivieren – nicht nur einschränken: „Hey Siri"/„Siri", Seitentaste, Sperrbildschirm-Vorschläge, App-Vorschläge und „Intelligenz beim Tippen" allesamt aus. Siri ist die Brücke, über die Sprache, Anfragen und Kontext das Gerät verlassen – deshalb hier konsequent ganz abschalten.
• Diktat AUS (Tastatur → Diktat).
• Spotlight / Siri & Suchen: pro App „In Suche", „Vorschläge anzeigen" und „App-Mitteilungen vorschlagen" deaktivieren.

5 · Drahtlos-Verbindungen

Funkschnittstellen, die aus sind, können dich nicht verraten. Schalte entspannt ab, was du gerade nicht nutzt – im Alltag merkst du davon wenig.

• Bluetooth: aus, wenn nicht genutzt. Im Kontrollzentrum nicht nur „temporär trennen" – der echte Schalter steht in den Einstellungen.
• AirDrop: Empfang AUS oder „Nur Kontakte".
• AirPlay & Handoff: AUS.
• Persönlicher Hotspot: AUS, wenn nicht aktiv gebraucht.
• WLAN: dauerhaft aus, falls du ohnehin per Mobilfunk + VPN arbeitest. Wenn an: Private WLAN-Adresse → „Rotierend" pro Netz.
• NameDrop / Kontakte teilen: AUS.

6 · Mobilfunk – die 5G-Frage

Warum?

• 2G ist die größte Schwachstelle: keine Netz-Authentifizierung, Verschlüsselung in Echtzeit knackbar. IMSI-Catcher erzwingen oft einen Downgrade auf 2G.
• LTE/4G authentifiziert das Netz, sendet den IMSI aber vor der Authentifizierung im Klartext – passive IMSI-Catcher bleiben möglich.
• 5G SA (Standalone) ist die einzige Generation, die den Subscriber-Identifier verschlüsselt überträgt (SUCI statt IMSI) – der erste echte Privacy-Sprung auf der Funkschicht seit GSM.
• 5G NSA (heute in DE überwiegend) nutzt die LTE-Steuerebene und bietet diesen Schutz noch nicht.

Konkrete Einstellungen

Einstellungen → Mobilfunk → [SIM] → Sprache & Daten

• 5G Auto wählen (nicht „5G An" – Akku). Nutzt SA, wo verfügbar.
• Daten-Roaming: AUS, außer auf Reisen.
• VoLTE/VoNR: AN (sonst landen Anrufe auf 2G/3G mit schwacher Krypto).
• WLAN-Anrufe: AUS, wenn WLAN ohnehin deaktiviert ist.
• 2G/3G blockieren: bietet iOS nicht als Schalter – nur der Lockdown-Modus deaktiviert 2G. Bei IMSI-Catcher-Sorge ist Lockdown das Mittel der Wahl.

7 · Safari (falls genutzt)

Nur relevant, wenn du Safari überhaupt nutzt – dann holen schon wenige Schalter eine Menge heraus.

• Cross-Site-Tracking verhindern: AN.
• IP-Adresse vor Trackern & Websites verbergen: AN.
• Erweiterter Tracking- & Fingerprinting-Schutz: AN (für privates und normales Browsen).
• Pop-ups blockieren & Warnung vor betrügerischen Websites: AN.
• Suchmaschine: DuckDuckGo oder Startpage.
• Verlauf & Website-Daten regelmäßig löschen.

10 · Apps & Berechtigungen

Die Faustregel ist entspannt: Jede App bekommt nur das, was sie wirklich braucht – alles andere darf ruhig zu bleiben.

• Foto-Zugriff pro App auf „Ausgewählte Fotos" oder „Keiner" beschränken.
• Mikrofon, Kamera, Kontakte, Kalender, Bluetooth, lokales Netzwerk: nur freigeben, was wirklich gebraucht wird.
• Hintergrundaktualisierung: pro App restriktiv oder global aus (Allgemein → Hintergrundaktualisierung).
• App Store: automatische Downloads aus, In-App-Käufe per Code sperren.
• Push-Token: ohne MDM nicht pro App abschaltbar – Faustregel: wenige Apps = wenig Token-Exposition.

11 · VPN (Always-On) & DNS

• „VPN bei Bedarf" in der WireGuard-Konfiguration aktivieren – der Tunnel baut sich automatisch wieder auf.
• Für echtes Always-On („ohne Tunnel kein Traffic", das Pendant zu „Block connections without VPN" in GrapheneOS) braucht es ein supervidiertes Gerät und ein VPN-Payload im Profil – ein fortgeschrittener Schritt, den du bei Bedarf separat einrichtest. Den verwalteten Rest (DNS, Code-Richtlinie, Einschränkungen) baust du mit dem Mac. → Schritt-für-Schritt unten
• Verschlüsselter DNS: ein DNS-Profil (z. B. dnsforge.de) installieren und prüfen, dass es als System-DNS greift – nicht nur per WLAN. Bei aktivem WireGuard sollte der Tunnel-DNS gewinnen; mit einem DNS-Leak-Test im Browser verifizieren. → Profile direkt unten installieren

11a · dnsforge-DNS-Profil für iOS installieren

Der bequemste Weg zu verschlüsseltem, werbe- und tracker-filterndem DNS auf dem iPhone: ein fertiges Konfigurationsprofil von dnsforge.de. Es greift systemweit (DoH/DoT), nicht nur im Browser – kein App-Store, keine zusätzliche App nötig.

1) Profil bei dnsforge.de holen

Die fertigen iOS-Profile gibt es direkt beim Anbieter. Öffne dort den Abschnitt iOS und wähle eine Variante – pro Variante stehen zwei Profile bereit: DoH (HTTPS, empfohlene Standardwahl) oder DoT (TLS, Alternative).

2) Profil installieren & aktivieren

Hinweis: Die Profile stammen direkt vom Anbieter dnsforge.de (Server in Deutschland, kein Logging). Installiere Konfigurationsprofile nur aus Quellen, denen du vertraust.

11b · Profis mit Mac: „Managed Device" via Apple Configurator

Wer einen Mac hat, kann sein iPhone mit Apple Configurator (gratis im Mac App Store) als betreutes („supervised") Gerät einrichten und ein eigenes Konfigurationsprofil bauen. Damit lässt sich Härtung erzwingen statt nur empfehlen und sauber in einem signierten Profil bündeln. Das ist der fortgeschrittene Weg; für die meisten reichen die Schritte 1–13.

Was bringt das?

• Mehrere Bausteine in einem Profil bündeln: DNS (dnsforge), Passcode-Richtlinie, Einschränkungen und Mail-Konto – signiert und „aus einem Guss".
• Härtere Restriktionen erzwingbar, die als normale Einstellung nur „empfohlen" wären.
• Verwalteter DNS, den installierte Apps nicht aushebeln oder entfernen können.

Schritt 1 – Configurator vorbereiten

Schritt 2 – Profil erstellen (sinnvolle Payloads)

In Apple Configurator: Datei → Neues Profil. Dann nur die Bereiche („Payloads") konfigurieren, die du brauchst:

Speichern bzw. exportieren als iPhone_unsigned.mobileconfig – das ist das noch unsignierte Profil, das ich gleich signiere.

Schritt 3 – Mail- bzw. ActiveSync-Konto deines Providers

Im Profil ein Mail-Payload (klassisch IMAP/SMTP) oder ein Exchange-Payload (Exchange ActiveSync) hinzufügen. Tipp: das Passwort-Feld leer lassen – dann fragt das iPhone es bei der Installation einmalig sicher ab, statt es im Profil zu speichern.

Benutzername ist in der Regel die volle E-Mail-Adresse. Maßgeblich sind immer die aktuellen Angaben in der Hilfe deines Anbieters. Für Exchange ActiveSync (Mail, Kalender & Kontakte in einem) trägst du Server, Domain/Benutzer und SSL gemäß Provider-Doku ein.

Schritt 4 – Profil signieren ohne Apple-Developer-Account

Ein unsigniertes Profil zeigt iOS als „nicht verifiziert". Mit einem vertrauenswürdigen Zertifikat signiert, erscheint es grün als „Verifiziert". Dafür brauchst du keinen kostenpflichtigen Apple-Developer-Account – es genügt ein kostenloses europäisches S/MIME-Zertifikat von Actalis (1 Jahr gültig, ein Zertifikat je E-Mail-Adresse gratis).

brew install openssl@3

alias ossl=/opt/homebrew/opt/openssl@3/bin/openssl

# privater Schlüssel
ossl pkcs12 -in certificate_s_mime_mv.p12 -nocerts -nodes -out signer.key
# eigenes Zertifikat
ossl pkcs12 -in certificate_s_mime_mv.p12 -clcerts -nokeys -out signer.crt
# CA-Kette (Zwischenzertifikate)
ossl pkcs12 -in certificate_s_mime_mv.p12 -cacerts -nokeys -chain -out chain.pem

ossl x509 -in signer.crt -noout -subject -issuer -dates -ext extendedKeyUsage

plutil -lint iPhone_unsigned.mobileconfig

ossl smime -sign -in iPhone_unsigned.mobileconfig -out iPhone.mobileconfig \
  -signer signer.crt -inkey signer.key -certfile chain.pem -outform DER -nodetach

Schritt 5 – Installieren

Das signierte iPhone.mobileconfig aufs iPhone bringen (per Apple Configurator, AirDrop oder E-Mail an dich selbst), dann unter Einstellungen → Profil geladen installieren. Es sollte nun grün als „Verifiziert" erscheinen.

14 · Was auf iOS NICHT erreichbar ist

• Per-App-Netzwerksperre ohne Konfigurationsprofile/MDM.
• Verifikation der Bootchain durch den Nutzer selbst.
• Sandbox-Kontrolle und Storage Scopes wie unter GrapheneOS.
• Vollständige Entfernung der Apple-Telemetrie – einige Endpoints sind nicht abschaltbar. Hier helfen VPN + DNS-Blocklisten, die passende Telemetrie-Domains filtern.