Wer sich beim Registrieren auf Websites schützen möchte, greift häufig auf sogenannte Alias-E-Mail-Adressen zurück: Statt der echten Adresse wird eine Weiterleitungsadresse angegeben, die eingehende Nachrichten an das echte Postfach durchstellt. Apples iCloud-Dienst bietet genau das mit der Funktion „Hide My Email" an – einem Bestandteil des kostenpflichtigen iCloud-Abonnements. Doch eine Sicherheitslücke macht den Schutzzweck dieser Funktion zunichte: Die dahinterliegende echte E-Mail-Adresse lässt sich offenbar mit minimalem Aufwand ermitteln.
Schwachstelle seit über einem Jahr bekannt
Entdeckt wurde das Problem von Tyler Murphy, Mitgründer des Datenschutz-Dienstleisters EasyOptOuts. Er meldete die Schwachstelle im Juni 2025 an Apple – und wartet bis heute auf eine vollständige Behebung. Das Technologiemagazin 404 Media hat die Lücke eigenen Angaben zufolge selbst getestet und dabei eine Erfolgsquote von 100 % erzielt: Die echte E-Mail-Adresse hinter einem Hide-My-Email-Alias ließ sich in jedem Fall herausfinden.
Apple unternahm im März 2026 einen Korrekturversuch. Murphy stellte jedoch fest, dass die Schwachstelle auch nach dem vermeintlichen Fix weiter ausnutzbar war. Die letzte Rückmeldung von Apple datiert auf Mai 2026 – zu diesem Zeitpunkt teilte das Unternehmen mit, man untersuche das Problem noch. Seitdem herrscht Stille.
Millionen Nutzer potenziell betroffen
Apple zählte zuletzt über eine Milliarde zahlender Abonnenten seiner Dienste. Selbst wenn nur ein Prozent davon „Hide My Email" aktiv nutzt, entspricht das rund zehn Millionen Personen, deren echte E-Mail-Adresse trotz Alias ermittelt werden könnte.
Genau deshalb haben weder Murphy noch 404 Media die technischen Details der Schwachstelle veröffentlicht. Die übliche Offenlegungsfrist von 90 Tagen – branchenüblicher Standard nach einer Sicherheitsmeldung – ist längst verstrichen. Ein Jahr ist im Bereich der verantwortungsvollen Offenlegung eine außergewöhnlich lange Zeitspanne, in der kein vollständiger Fix geliefert wurde.
Wie solche Lecks typischerweise entstehen
Auch ohne die genaue technische Ursache zu kennen, lassen sich aus vergleichbaren Vorfällen mögliche Erklärungen ableiten. In früheren Fällen wurden E-Mail-Aliasfunktionen auf zwei Wegen kompromittiert: Entweder versuchten E-Mail-Clients durch „hilfreiche" Autokorrekturen den Antwortpfad einer Nachricht auf die echte Absenderadresse zu normalisieren – oder Server verwalteten E-Mail-Header unsauber und gaben dabei die ursprüngliche Adresse preis. Beide Szenarien zeigen, dass der Schutz durch E-Mail-Aliase nicht nur von der anbietenden Plattform, sondern auch von der gesamten E-Mail-Infrastruktur abhängt.
Apples eigene Maßnahmen verschlechtern die Lage zusätzlich
Erschwerend kommt hinzu, dass Apple plant, Hide-My-Email-Adressen künftig unter der Domain private.icloud.com zu bündeln. Das klingt technisch nach einer Vereinheitlichung, hat aber eine unangenehme Nebenwirkung: Websites könnten diese Domain gezielt blockieren und Nutzer zwingen, ihre echte E-Mail-Adresse anzugeben. Der Schutzmechanismus würde so auf Plattformebene ausgehebelt – unabhängig von der bestehenden Schwachstelle.
Murphy hat Apple öffentlich aufgefordert, den Verkauf von „Hide My Email" auszusetzen, bis die Datenlücke vollständig geschlossen ist. Eine Antwort darauf blieb aus.
Was das für Sie bedeutet
Wenn Sie „Hide My Email" aktiv nutzen, sollten Sie sich darüber im Klaren sein, dass der gewünschte Anonymisierungseffekt derzeit nicht zuverlässig gewährleistet ist. Für Personen, die auf diesen Schutz angewiesen sind – etwa weil sie ihre echte E-Mail-Adresse bewusst nicht weitergeben möchten –, ist das ein ernstes Problem.
Alternativen zu „Hide My Email" gibt es: Viele unabhängige Dienste bieten ähnliche Alias-Funktionen an. Wer auf Apple-Dienste angewiesen ist, sollte die Situation im Auge behalten und keine sensiblen Registrierungen über Hide My Email vornehmen, bis Apple eine bestätigte Lösung liefert.
Haben Sie Fragen zur sicheren Kommunikation und zum Schutz Ihrer digitalen Identität? Das FameSystems-Team berät Sie gerne.