Apples Hide My Email galt als verlässliches Datenschutzwerkzeug für alle, die ihre echte E-Mail-Adresse vor Diensten, Spam und Datenpannen abschirmen wollten. Seit dem 1. Juli 2026 steht fest: Die Funktion schützt nicht so, wie Apple das vermarktet.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenKonkret: Ein Sicherheitsforscher hat nachgewiesen, dass die hinter Alias-Adressen verborgenen echten E-Mail-Adressen der Nutzerinnen und Nutzer über einen externen Lookup-Pfad abrufbar sind. 404 Media hat den Befund mit einer eigenen Hide-My-Email-Adresse bestätigt. Apple kennt das Problem seit Juni 2025 und hat die Lücke trotz mehrfacher Ankündigungen bis heute nicht geschlossen.
Das Wichtigste in Kürze
- Hide My Email verrät echte Apple-ID-Adressen über einen nicht authentifizierten Lookup-Pfad, laut Forscher zu 100 % reproduzierbar.
- Apple wurde im Juni 2025 informiert, hat das Problem bisher nicht behoben und kommuniziert das nicht aktiv an betroffene Nutzende.
- Unter DSGVO Art. 25 und BSI ORP.4 besteht für Unternehmen, die Hide My Email im Arbeitskontext nutzen, unmittelbarer Handlungsbedarf.
- Ein geplanter Domain-Wechsel auf @private.icloud.com schließt die Lücke nicht, macht Alias-Adressen aber leichter blockierbar.
Wie funktioniert der Angriff, und warum ist er strukturell unvermeidbar?

Das Kernproblem liegt nicht im Weiterleitungsmechanismus selbst. Apple muss die Verbindung zwischen Alias und primärem Apple-Account serverseitig vorhalten, da sonst keine Weiterleitung stattfinden kann. Genau diese Mapping-Tabelle ist der einzige Angriffspunkt. Ein externer Angreifer kann über einen noch nicht vollständig offengelegten API- oder Lookup-Pfad die echte Adresse aus dem Alias zurückrechnen, ohne sich am Apple-System zu authentifizieren. Dabei handelt sich nicht um einen klassischen CVE-Exploit, sondern um ein Information-Disclosure-Problem: Der Konstruktionsfehler ist dem Design inhärent.
Tyler Murphy, Mitgründer von EasyOptOuts, der den Fehler entdeckt und gemeldet hat, beschreibt das Risiko so: „Öffentlich zugängliche People-Search-Sites machen es einfach, eine E-Mail-Adresse mit anderen persönlichen Daten zu verknüpfen, sodass Personen, die sich für ihre Sicherheit auf Hide My Email verlassen, gefährdet sein können.“ In seinen eigenen Tests war die Lücke bei 100 % der geprüften Alias-Adressen ausnutzbar.
Erschwerend kommt der angekündigte Domain-Wechsel auf @private.icloud.com hinzu. Statt das Leck zu schließen, macht Apple Alias-Adressen für Websites künftig leichter blockierbar, was den Datenschutzwert der Funktion zusätzlich mindert.
Was bedeutet das für DACH-Unternehmen und ihre Datenschutzverantwortlichen?
Die Schwachstelle steht nicht allein. Apple hat 2026 in mindestens zwei dokumentierten Fällen auf Behördenanfragen (FBI, ICE/HSI) die echten Identitäten hinter Hide-My-Email-Adressen offengelegt, weil Alias-Mappings als unverschlüsselte Account-Metadaten gelten und nicht unter Apples Ende-zu-Ende-Verschlüsselung fallen. Das ist kein Apple-Sonderfall, sondern ein systemisches Risiko aller forwarding-basierten Alias-Dienste: SimpleLogin (seit 2022 Proton-Tochter) und addy.io sind dezentraler aufgestellt, aber ebenfalls nicht immun gegen behördliche Datenanfragen. Firefox Relay unterliegt US-Jurisdiction. Wer die Cybersecurity-Grundlagen für den Unternehmensalltag kennt, weiß: Ein Single-Point-of-Privacy genügt nicht den Anforderungen des BSI-Grundschutz-Kompendiums (ORP.4, APP.5.2).
Unter DSGVO Art. 25 (Privacy by Design) und Art. 5 Abs. 1c (Datenminimierung) müssen Unternehmen, die Hide My Email für Mitarbeitende oder Kundenkonten einsetzen, die Schwachstelle als potenzielle Verletzung des Schutzziels Vertraulichkeit bewerten. Bei systematischer Nutzung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO geboten. Wie ähnliche Datenlecks mit DSGVO-Schadensersatzansprüchen enden können, zeigt der Cyberangriff auf Unimed mit 120.000 betroffenen Patientendaten. Auch die CISO-Studie 2026 zeigt: Compliance-Lücken durch vertrauensblinde Tool-Nutzung zählen zu den häufigsten Angriffsöffnungen. Wie Apples Privacy-Features grundsätzlich in die europäische Compliance-Architektur passen, analysiert der Artikel zu EUDI-Wallets und ihrer Abhängigkeit von Apple und Google.
Drei konkrete Maßnahmen für IT- und Datenschutzverantwortliche:
- Inventarisieren, ob und wie viele Unternehmenskonten auf iCloud+ mit Hide My Email aufgebaut sind.
- Den Apple-Patch-Zyklus aktiv überwachen; sobald das angekündigte Security-Update erscheint, sofort reagieren.
- Für sicherheitskritische Kontakte auf robustere Alternativen wechseln: selbst gehostetes addy.io oder SimpleLogin auf Proton-Infrastruktur mit EU-Servern. Zum Thema Berechtigungsmanagement nach BSI ORP.4 lohnt ein Blick auf JumpServer als Open-Source-Lösung für Privileged Access Management.
Die Angriffsklasse „Privacy-Feature-Bypass über zentralisiertes Identity-Mapping ohne deterministischen Auth-Checkpoint“ betrifft im Übrigen jede Organisation, die auf Authentifizierungsumgehungen nicht vorbereitet ist, wie das Muster der Check-Point-VPN-Lücke CVE-2026-50751 oder die Ivanti-Sentry-Schwachstelle mit CVSS 10.0 belegen. Das Cybersecurity-Glossar mit 99 Begriffen liefert die Einordnung für Teams, die diese Angriffsklassen im Unternehmenskontext bewerten müssen.
Apples Schweigen gegenüber 404 Media und die mehr als zwölf Monate lange Nichtbehebung eines gemeldeten Datenschutzfehlers sind das eigentliche Signal: Privacy-Versprechen kommerzieller US-Cloud-Anbieter ersetzen keine mehrschichtige Schutzarchitektur.
Mehr Newshunger?
- Check Point VPN-Lücke CVE-2026-50751: ohne Passwort rein
- Ivanti Sentry: Jetzt patchen? Dringend, CVSS 10.0.
- CISO-Studie 2026: Wo greifen die Angreifer wirklich an?
- Cyberangriff Unimed: 120.000 Patientendaten betroffen
- Sind EUDI-Wallets von Google und Apple abhängig?
- Cybersecurity-Glossar: Welche 99 Begriffe sind 2026 Pflicht?
- JumpServer: Open-Source-Lösung für Privileged Access Management
- Webmin Sicherheitslücke 2026: Was tun? Patchen.
- Burst-Statistics-Lücke: Findet KI jetzt jede Plugin-Lücke?