Auf Druck des FBI soll Apple von eigenen Plänen abgerückt sein, die iCloud-Backups von hunderten Millionen Kunden vollständig zu verschlüsseln und damit fremden Zugriff zu verunmöglichen.
Dies behauptet ein Journalist der Nachrichtenagentur Reuters in einem am Dienstag veröffentlichten Artikel. Er beruft sich auf sechs nicht namentlich genannte Quellen. Darunter angeblich frühere Mitarbeiter von FBI und Apple.
Laut Bericht entschied Apples Führungsgremium 2018, auf die eigentlich geplante Ende-zu-Ende-Verschlüsselung von Cloud-Backups zu verzichten. Dies nachdem die US-Bundespolizei deswegen schwere Bedenken angemeldet hatte.
Klar erscheint vorläufig nur die Ausgangslage: Die Ende-zu-Ende-Verschlüsselung behindert die Ermittler.
Strafverfolgungsbehörden wollen vollständigen Zugriff auf die digitalen Daten von Verdächtigen und Kriminellen – ob diese auf dem Handy oder einem Server (Cloud) lagern.
Und es ist schon länger bekannt, dass iCloud-Backups auf richterliche Anordnung entschlüsselt werden.
Besondere Brisanz erlangen nun Äusserungen, die Apple-Chef Tim Cook Ende Oktober 2018 in einem Interview mit Spiegel Online (damals Medienpartner von watson) machte.
Die Frage an den Apple-Chef war, ob die Daten beim Onlinedienst iCloud so gesichert seien wie auf den Geräten. Worauf Cook erklärte, dass die Daten zwar verschlüsselt seien, dass aber nicht nur die User über den für die Entschlüsselung erforderlichen Schlüssel verfügten, sondern auch Apple. Das würde man so machen, erklärte Cook, weil manche Nutzer ihren Schlüssel verlieren oder vergessen und dann von Apple Hilfe erwarten, um wieder an ihre Daten zu kommen.
Und dann liess Cook verlauten:
Der Apple-Chef bekräftigte also öffentlich, dass sein Unternehmen die Ende-zu-Ende-Verschlüsselung für alle in der iCloud gespeicherten User-Daten einführen wolle.
Im aktuellen «Enthüllungsbericht» von Reuters wird jedoch behauptet, dass das Unternehmen seine (internen) Pläne zur Verschlüsselung der iCloud-Backups «vor etwa zwei Jahren» aufgegeben habe.
Irgendetwas im zeitlichen Ablauf passe da nicht zusammen, kommentiert der bekannte Apple-Blogger John Gruber (Daring Fireball). Aus dem «Spiegel»-Interview gehe auch klar hervor, dass Cook sich sehr wohl bewusst sei, wie die Verschlüsselung mit Apples Geräten und Diensten funktioniere. Ein Missverständnis konnte man also auszuschliessen.
Sollte der im Reuters-Bericht genannte Zeitplan stimmen, wäre das Verschlüsselungsprojekt zu diesem Zeitpunkt bereits beerdigt gewesen, hält heise.de fest. Auch zu dieser Diskrepanz gebe es von Apple bislang keine Stellungnahme.
Apple bezeichnet sich auf der eigenen Website als «branchenführend durch die Nutzung datenschutzsichernder Technologien wie Ende-zu-Ende-Verschlüsselung.»
Bei diesem Verfahren werden die Daten auf dem Gerät selbst mit einem gerätespezifischen Schlüssel gesichert. Und dieser Schlüssel steht nur zur Verfügung, wenn man das Gerät mit den biometrischen Daten oder dem Gerätecode entsperren kann. Apple wiederum kennt den Gerätecode nicht.
Die folgenden User-Daten werden laut Apple heute schon mit Ende-zu-Ende-Verschlüsselung zwischen Geräten und der iCloud übertragen und darin gespeichert:
Die Gretchenfrage lautet nun:
Eine plausible Erklärung wäre, dass sich Apple tatsächlich dem Druck des FBI beugte und gleichzeitig weiterhin die PR-Position vertritt, die Daten der Kunden nach bestem Wissen und Gewissen zu schützen. Was demnach nicht stimmte.
Eine andere plausible Erklärung wäre, dass Apple genau weiss, dass sehr viele Kundinnen und Kunden ihren Gerätecode vergessen – und deswegen bei einer hundertprozentigen Ende-zu-Ende-Verschlüsselung auch alle in der Cloud gespeicherten Daten unwiderruflich verloren wären. Dies hatte ja Tim Cook im Spiegel-Interview angedeutet.
Die US-Regierung hatte Konzerne wie Apple, Google, Facebook oder Twitter schon 2017 zu einer «verantwortungsvollen Verschlüsselung» aufgerufen, was verklausuliert bedeutete, dass staatliche Hintertüren einzubauen seien.
Solche in die System-Software (oder Hardware) eingebaute Hintertüren lehnen Apple und Google seit jeher vehement ab, weil dies die IT-Sicherheit beinträchtigen würde.
Die beiden rivalisierenden Plattform-Betreiber liefern sich seit Jahren einen Wettstreit in Sachen Datensicherheit, bzw. der öffentlichen Wahrnehmung solcher Bemühungen.
Google, das User-Daten zu Werbezwecken sammelt, war lange Zeit im Hintertreffen, während es Apple geschickt verstand, das iPhone als speziell sicher zu vermarkten.
Doch dann konterte Google im Oktober 2018 geschickt mit einer Verschlüsselungsoffensive. Mit Android 9 Pie könne das Unternehmen Cloud-Backup-Inhalte der User nicht mehr im Klartext an Strafverfolger herausgeben, hielt heise.de fest. Auch nicht auf richterliche Anordnung.
Als «Hilfssheriff» sei Google damit aussen vor, kommentierte das deutsche Techportal. Der Ball lag bei Apple.
Spiegel Online schreibt, der Reuters-Bericht habe «im aktuellen Klima» besondere Brisanz. Erst vor wenigen Tagen hätten sich der US-Justizminister und dann der US-Präsident beklagt, Apple würde dem FBI nicht ausreichend bei der Aufklärung der Terrorattacke eines saudischen Offiziers auf einem Marinefliegerstützpunkt in Florida im Dezember helfen. Bei dem Täter hatten die Ermittler zwei iPhones gefunden, konnten aber angeblich nicht auf alle Daten zugreifen.
Während sich die Aufmerksamkeit einmal mehr auf Apple konzentriert, ist es um Googles Cloud-Backup-Verschlüsselung verdächtig ruhig geworden. Obwohl rund 75 Prozent aller Smartphones weltweit mit Android laufen. Warum läuft das FBI nicht gegen die Android-Verschlüsselung Sturm?
Sicher ist: Apple täte gut daran, sich zeitnah zu erklären. Und eigentlich muss die Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten her. Sonst ist das Image, das die Kalifornier pflegen, dahin. Und solche Versprechen klingen wie Hohn:
Ich habe noch nie jemand reden: "Also ich bin jetzt von Android auf iOS gewechselt weil die Daten besser schützen.
Eher wegen Funktionalitäten wechselt man oder Design oder oder doer.