Apple-Kunden in Grossbritannien können ihre iCloud-Daten nicht mehr vollständig verschlüsseln. Das kündigte der iPhone-Konzern an. Dieser beispiellose Schritt erfolgt natürlich nicht freiwillig. Die britische Regierung hatte zuvor Apple aufgefordert, eine Hintertür in die Funktion «Advanced Data Protection» (ADP) einzubauen, welche seit 2022 die Ende-zu-Ende-Verschlüsselung auf ein breites Spektrum von iCloud-Daten ausdehnt. Diese umfassende Verschlüsselung sorgt dafür, dass selbst Apple keinen Einblick in die Daten hat, und diese entsprechend auch nicht gegenüber Behörden herausgeben kann. Der zusätzliche Schutz ist allerdings nur aktiv, wenn die «Advanced Data Protection» von den Usern manuell aktiviert wurde.
Der britischen Regierung geht es darum, den Sicherheitsbehörden mit einer Hintertüre trotzdem Zugang zu den Cloud-Daten zu ermöglichen. Die Briten möchten sich so auch Zugriff auf iPhone-Backups sichern, die von nicht britischen Usern in der Cloud erstellt wurden.
Der «Investigatory Powers Act» Grossbritanniens ermöglicht es, Unternehmen im Geheimen zum Einbau von Hintertüren in ihre Software zu zwingen. Apple hat sich aber nun dazu entschieden, keine separate Hintertüre für Strafverfolger einzubauen und stattdessen die Ende-zu-Ende-Verschlüsselung in Grossbritannien zurückzuziehen. Das heisst: Neue Nutzer können die Funktion «Advanced Data Protection» nicht mehr aktivieren und bestehende Nutzer müssen die Ende-zu-Ende-Verschlüsselung deaktivieren, um ihre iCloud-Konten weiterhin nutzen zu können.
Das wiederum bedeutet, dass britische Strafverfolger von Apple wieder die Herausgabe von Fotos und Dokumenten in iCloud-Backups verlangen können. Denn «auf standardmässig verschlüsselte Daten kann Apple zugreifen und sie an die Strafverfolgungsbehörden weitergeben, sofern diese über eine richterliche Anordnung verfügen», schreibt die BBC.
Grossbritanniens umstrittener «Investigatory Powers Act» wird von IT-Sicherheitsexperten, aber auch Politikern kritisiert. Der demokratische US-Senator Ron Wyden erklärte gegenüber BBC News, dass Apple mit dem Rückzug von Ende-zu-Ende-verschlüsselten Backups aus Grossbritannien «einen gefährlichen Präzedenzfall schafft, dem autoritäre Länder sicher folgen werden».
Für Apple ist die Deaktivierung der Ende-zu-Ende-Verschlüsselung offenbar das kleinere von zwei Übeln. Der US-Konzern betonte, dass sie niemals eine Hintertür oder einen Generalschlüssel für ihre Produkte schaffen würden, da dies die Sicherheit der Nutzer weltweit gefährde. Das Problem von Hintertüren in Software ist allgemein bekannt. Sie schaffen immer neue Angriffspunkte, etwa für staatliche Hacker oder Cyberkriminelle.
«Sobald eine Tür existiert, ist es nur eine Frage der Zeit, bis sie gefunden und böswillig genutzt wird», sagte Oli Buckley, Professor für Cybersicherheit an der Loughborough University in Grossbritannien gegenüber Reuters.
Apple sagte, man sei von der Entwicklung in Grossbritannien «zutiefst enttäuscht». In einer Mitteilung erklärte das Unternehmen, «die Verbesserung der Sicherheit von Cloud-Speichern mit Ende-zu-Ende-Verschlüsselung ist dringender als je zuvor».
Kritiker werfen Apple Heuchelei vor, weil sich der Konzern in China seit Jahren staatlichen Überwachungswünschen beugt. So werden bereits seit 2018 die Daten chinesischer iCloud-Nutzer samt der zugehörigen Schlüssel in China gespeichert. Menschenrechtler kritisierten, dies bringe Regimegegner in höchste Gefahr. Apple argumentierte, man halte sich an nationale Gesetze.
Unklar ist, ob und welche anderen Unternehmen von Grossbritannien aufgefordert wurden, eine Hintertüre in ihre Software einzubauen. Vergangene Woche schrieb WhatsApp-CEO Will Cathcart auf X: «Wenn das Vereinigte Königreich eine globale Hintertür in die Sicherheit von Apple erzwingt, wird dies die Sicherheit aller Menschen in jedem Land verringern. Die geheime Anordnung eines Landes bringt uns alle in Gefahr und sollte gestoppt werden».
Die Chefin der verschlüsselten Messenger-App Signal, Meredith Whittaker, kritisierte Grossbritannien ebenfalls. Sie hatte bereits zuvor gedroht, dass Signal das Land verlassen werde, würde man gezwungen, die Verschlüsselung zu schwächen. «Verschlüsselung ist kein Luxus – sie ist ein grundlegendes Menschenrecht, das für eine freie Gesellschaft unerlässlich ist», sagte Whittaker.
Proton, der Schweizer Anbieter verschlüsselter Online-Dienste, schrieb auf X: «Apple in die Lage zu zwingen, End-to-End-Verschlüsselung (E2EE) im Vereinigten Königreich zu entfernen, schafft einen gefährlichen Präzedenzfall. Proton würde niemals eine Hintertür einbauen, aber wir würden auch nicht die Vordertür öffnen, indem wir unsere E2E-Verschlüsselung entfernen.»
Andere Länder wie Australien haben bereits ähnliche Gesetze in Kraft und könnten dem Beispiel Grossbritanniens folgen. Der bekannte Tech-Blog «The Verge» titelte daher: Der britische Krieg gegen Verschlüsselung betrifft uns alle.
Mit Material der Nachrichtenagenturen SDA und DPA.
Ermittler haben tausende andere Möglichkeiten, die sie nutzen können.
Was genau soll eigentlich die Legitimierung für dieses Gesetz sein?