Apple hat am Mittwoch eine Bombe platzen lassen: Das US-Unternehmen verbessert die Datensicherheit für hunderte Millionen, ja Milliarden User und führt eine weitreichende Ende-zu-Ende-Verschlüsselung für die iCloud ein.
Apple nennt diese zusätzliche Sicherheitsstufe «Advanced Data Protection». Der springende Punkt: Damit wird nicht nur Hackern der Zugriff auf die in Apple-Rechenzentren gespeicherten iCloud-Daten verunmöglicht, sondern auch Strafverfolgungsbehörden und Geheimdiensten.
Mit den neuen Sicherheitsvorkehrungen ist Apple technisch nicht mehr in der Lage, Anfragen von staatlichen Ermittlern nachzukommen. Bis anhin wurden iCloud-Backups – die Chatprotokolle und Chat-Anhänge des Apple-eigenen Messenger-Dienstes «Nachrichten» (frühe iMessage genannt) enthalten können, in vielen Strafverfahren verwendet.
Gut zu wissen für die User: Sie können ihre wertvollen iCloud-Daten wirksam und (bis auf wenige Ausnahmen) umfassend schützen und gleichzeitig ist gewährleistet, dass ein vergessenes Passwort nicht zum Datenverlust führt.
Ausserdem hat Apple am Mittwoch zwei zusätzliche Sicherheitsfunktionen angekündigt: iMessage Contact Key Verification und Security Keys for Apple ID (dazu unten mehr).
Was die bei iCloud gespeicherten User-Daten betrifft, sind laut Apple «14 sensible Datenkategorien standardmässig mit End-to-End-Verschlüsselung geschützt», inklusive Passwörtern im iCloud-Schlüsselbund und Gesundheitsdaten.
Soll heissen: Schon heute werden die Daten auf iPhones und anderen Apple-Geräten verschlüsselt, bevor sie zu den Apple-Servern übertragen oder von dort abgerufen werden. Doch Apple hat einen Schlüssel, der es in Ausnahmesituationen ermöglicht, die Daten wieder zu entschlüsseln. Etwa dann, wenn ein User das Passwort, bzw. den Passcode, vergisst.
Für User, die «Advanced Data Protection» aktivieren, steigt laut Apple die Gesamtzahl der durch die Ende-zu-Ende-Verschlüsselung geschützten «iCloud-Datenkategorien» auf 23, einschliesslich iCloud-Backup, Notizen und Fotos.
Die gemäss Apple-Mitteilung «einzigen wichtigen iCloud-Datenkategorien», die nicht abgedeckt werden, sind iCloud Mail, Kontakte und Kalende. Grund: Diese müssten mit globalen E-Mail-, Kontakt- und Kalendersystemen interagieren, was eine Ende-zu-Ende-Verschlüsselung verunmöglicht.
Apple hat das höchst umstrittene Vorhaben aufgegeben, auf den Geräten der User nach bekanntem Material sexuellen Missbrauchs von Kindern (CSAM) zu suchen, bevor dieses in die iCloud hochgeladen wird. In einer Stellungnahme gegenüber «Wired» begründet Apple den Sinneswandel damit, «Kinder können geschützt werden, ohne dass Unternehmen personenbezogene Daten durchsuchen».
Der in dieser Woche kommunizierte Entscheid geht mit Apples Ankündigung vom Mittwoch einher, die Ende-zu-Ende-Verschlüsselungsangebote für iCloud erheblich zu erweitern, einschliesslich des Hinzufügens des Schutzes für Backups und Fotos, die im Cloud-Dienst gespeichert sind.
Im August 2021 hatte Apple Pläne für neue Kindersicherheitsfunktionen angekündigt, darunter ein System zur Erkennung bekannter CSAM-Bilder, die bei iCloud (Fotos) gespeichert werden. Nach weltweiten Protesten und Bedenken unabhängiger Organisationen und Fachleute wurde die Einführung des «Kinderporno-Scanners» auf unbestimmte Zeit verschoben. Nun scheint die von Sicherheitsexperten kritisierte «On-Device»-Überwachung definitiv vom Tisch zu sein.
Strafverfolgungsbehörden und Politiker rund um den Globus haben in der Vergangenheit die CSAM-Problematik instrumentalisiert, um gegen die Verwendung und Ausweitung der Ende-zu-Ende-Verschlüsselung zu argumentieren. Die Forschung hat jedoch immer wieder gezeigt, dass die vollständige Verschlüsselung ein wichtiges Sicherheitsinstrument zum Schutz der Menschenrechte ist und dass die Nachteile ihrer Implementierung die Vorteile nicht überwiegen.
An einer weiteren Kinderschutz-Funktion hält Apple hingegen fest. Erziehungsberechtigte können (bei Apple-Accounts von Minderjährigen mit Familienfreigabe) die sogenannte «Kommunikationssicherheit» aktivieren. Die Nachrichten-App nutzt dann geräteinternes maschinelles Lernen, um Bildanhänge zu analysieren und festzustellen, ob ein Foto vermutlich Nacktdarstellungen enthält. Die Funktion sei so konzipiert, dass Apple keinen Zugriff auf die Fotos erhält. Und es ergeht auch keine automatisierte Meldung an Dritte.
«Advanced Data Protection» für iCloud ist gemäss Apple-Mitteilung in den USA ab sofort für Mitglieder des Apple-Beta-Software-Programmes verfügbar und werde bis Ende des Jahres für US-User verfügbar sein. Die Funktion werde «Anfang 2023 für den Rest der Welt eingeführt».
Die Ende-zu-Ende-Verschlüsselung soll auch für chinesische User eingeführt werden, bestätigte Apples Software-Chef Craig Federighi in einem Interview (siehe unten).
Ab iOS 16.2, iPadOS 16.2 und macOS 13.1 könne man «Advanced Data Protection», heisst es beim Apple-Support.
Wer «Advanced Data Protection» aktiviert, übernimmt quasi eine noch grössere Verantwortung, was den Zugriff auf die bei iCloud gespeicherten Daten betrifft. Apple kann die Ende-zu-Ende-Verschlüsselung nicht mehr aufheben. Das Unternehmen führt aber zusätzliche Mechanismen ein, die die Daten-Wiederherstellung (Data Recovery) ermöglichen:
Um «Advanced Data Protection» überhaupt aktivieren zu können, müssen die User auf ihrem Apple-Gerät mindestens eine der Datenwiederherstellungs-Methoden einrichten.
Die Funktion lässt sich jederzeit deaktivieren, daraufhin laden die Geräte die Verschlüsselungsschlüssel sicher auf Apple-Server hoch (und die entsprechenden Apple-ID-Konten wechseln automatisch zurück zum Standarddatenschutz).
In einem Exklusivinterview erklärte Apples Software-Chef Craig Federighi im Gespräch mit Joanna Stern vom «Wall Street Journal» (WSJ), wie «Advanced Data Protection» funktioniert und nahm auch zur Frage Stellung, warum die Einführung dieser Schutzfunktion so lange gedauert hat.
Diese sei auf technische Vorarbeiten rund um Apples Online-Speicherdienst zurückzuführen, so Federighi.
2020 berichtete Reuters unter Berufung auf nicht namentlich genannte Insider, dass Apple auf Wunsch des FBI darauf verzichte, iCloud-Backups vollständig zu verschlüsseln. Federighi widersprach dem deutlich. Er habe «von diesem Gerücht gehört», wisse aber nicht, wo es hergekommen sei.
Im selben Jahr eskalierte de «Verschlüsselungsstreit» zwischen der US-Bundespolizei und Apple und auch der US-Justizminister mischte sich ein und verlangte vom iPhone-Hersteller, den Zugriffsschutz zu schwächen. Ohne Erfolg.
In der Vergangenheit waren Apple und die US-Justiz mehrfach aneinandergeraten, dabei ging es meist um iPhones von Schwerkriminellen, die sich nicht entsperren liessen.
Diese Funktion ermöglicht es bei Apples Messenger-App «Nachrichten» (iMessage), die Identität der Personen am anderen Ende zu überprüfen, und warnt sie, wenn es einem Angreifer gelingt, sein eigenes Gerät in die Konversation einzufügen, um ihren verschlüsselten Kommunikationskanal auszuspionieren.
Apple lanciert diese Funktion speziell für User, die «aussergewöhnlichen digitalen Bedrohungen ausgesetzt sind» – wie Journalistinnen, Menschenrechtsaktivisten, Politiker.
Apple-User können ihr Apple-ID-Konto neu so einrichten, dass ein physischer Sicherheitsschlüssel erforderlich ist, um den Anmeldevorgang abzuschliessen.
Die jüngste Ankündigung folgt auf die Veröffentlichung von iOS 16 im September, als Apple weitere Funktionen einführte, um die Sicherheit der iPhone-Nutzerinnen und -Nutzer und den Schutz der Privatsphäre zu verbessern.
Der im Juli vorgestellte Lockdown-Modus schützt Personen mit hohem Risiko wie Menschenrechtler, Journalisten und Dissidenten vor «extrem seltenen und hochentwickelten Cyberangriffen» wie dem Einsatz kommerzieller Spyware.
Der Apple-Support erklärt:
Ein Ding der Unmöglichkeit. So, wie es kein total ausbruchsicheres Gefängnis gibt.
Die Hürde wird sicher stark nach oben gesetzt. Und ein absolut guter Schritt von 🍎.