Apple kündigte am Mittwoch eine Reihe von Sicherheits- und Datenschutzverbesserungen an, die das Unternehmen vorschlägt, um Menschen dabei zu helfen, ihre Daten vor Hackern zu schützen, darunter eine, auf die Befürworter der Bürgerfreiheit und des Datenschutzes lange gedrängt haben.
Der Technologieriese wird es Benutzern bald ermöglichen, mehr der in ihrer iCloud gesicherten Daten mit End-to-End-Verschlüsselung zu sichern, was bedeutet, dass niemand außer dem Benutzer auf diese Informationen zugreifen kann.
Apple sagt, dass die Änderungen den Benutzern helfen werden, ihr digitales Leben vor Hackern zu schützen, falls ein fortgeschrittener staatlicher Akteur in der Lage war, die Unternehmensserver zu durchbrechen. Aber Befürworter des Datenschutzes wie Albert Fox Cahn, Gründer des Surveillance Technology Oversight Project, sagen, dass diese Änderungen unmittelbare Auswirkungen auf die Arten von Benutzerdaten haben könnten, die Strafverfolgungsbehörden und Regierungsbehörden von Apple erhalten können. Diese Änderungen „erkennen die massive öffentliche Gegenreaktion gegen das erweiterte Ausspionieren unserer Geräte an“, insbesondere nach der Aufhebung des Bundesabtreibungsschutzes durch den Obersten Gerichtshof, sagte er.
„Diese Art des Schutzes ist am wertvollsten, um nicht vor Cyberkriminellen zu schützen, sondern vor Menschen, die die Macht der Regierung missbrauchen, um das Unternehmen zur Herausgabe von Daten zu zwingen“, sagte Cahn. „Apple war lange in der Position, wo es jahrelang der verlängerte Arm der Polizei sein musste. Ihr Strafverfolgungshandbuch zeigt Dutzende von Möglichkeiten, wie sie bei Ermittlungen helfen können, und jetzt auch für Personen, die sich für den Schutz entscheiden [feature]es wird eine Sicherheitsvorkehrung für die Zukunft geben.“
Dies könnte ein Grund zur Besorgnis für Regierungsbehörden sein, die nach Benutzerdaten suchen, um ihre Ermittlungen zu unterstützen. Apple wollte sich nicht dazu äußern, ob das Unternehmen die Änderungen mit Strafverfolgungs- oder Regierungsbehörden besprochen hat.
Unternehmen wie Apple sind aufgrund der riesigen Mengen an Informationen, die sie über Personen besitzen, zu einer zunehmend attraktiven Einheit für Hacker und Strafverfolgungsbehörden geworden. Die letzten Jahre haben weltweit einen Anstieg gebracht Cyberangriffe und Datenschutzverletzungen. Laut einem Bericht des Identity Theft Resource Center (ITRC) gab es im ersten Quartal 2022 404 öffentlich gemeldete Datenschutzverletzungen, 14 % mehr als im Vorjahresquartal. Dazwischen gab es einen Gesamtanstieg von 68 % bei Datenschutzverletzungen 2020 und 2021.
Die Zahl der Anfragen von Strafverfolgungsbehörden und Regierungen nach Daten, die Apple erhalten hat, ist ebenfalls gestiegen der neueste Transparenzbericht des Unternehmens. Zwischen Januar und Juli 2021 erhielt das Unternehmen mehr als 12.000 Anfragen nach verschiedenen Arten von Benutzerinformationen, gegenüber mehr als 10.000 in den letzten sechs Monaten des Jahres 2020.
Die Ende-zu-Ende-Verschlüsselung von in iCloud gespeicherten Benutzerinformationen, die Apple als „erweiterten Datenschutz für iCloud“ bezeichnet, wird zunächst für eine kleine Untergruppe von Testbenutzern eingeführt, bevor sie vor Ende des Jahres in den USA weit verbreitet wird und weltweit im Jahr 2023. Das neue Angebot umfasst Informationen wie Nachrichten, die in iCloud gesichert werden, Notizen und Fotos wäre komplett verschlüsselt.
Die Änderung wird jedoch nicht alle Daten abdecken – Kontakte, Kalenderinformationen und E-Mails werden nicht verschlüsselt – und Benutzer müssen sich freiwillig für die Funktion entscheiden. Der Verschlüsselungsschlüssel oder der Code, der zum Zugriff auf diese sicheren Daten verwendet wird, wird auf dem Gerät gespeichert. Das bedeutet, dass, wenn ein Benutzer, der sich für diesen Schutz entscheidet, den Zugriff auf sein Konto verliert, er dafür verantwortlich ist, seinen Schlüssel zu verwenden, um diesen Zugriff wiederzuerlangen – Apple wird die Verschlüsselungsschlüssel nicht länger in iCloud speichern.
Dass die Funktion standardmäßig nicht für alle Nutzer aktiviert ist, bleibt ein Streitpunkt für Datenschützer.
„Ich stehe Apple weniger kritisch gegenüber [not encrypting contacts, calendar information and email] wenn man bedenkt, wie schwer es wäre, so viele E-Mail-Programme und Kalender-Tools abzuschneiden“, sagte Cahn. „Aber ich denke, dass der standardmäßige Übergang zum Datenschutz für iCloud der wichtigste Schritt ist.“
Das Unternehmen sagt, dass es diese Funktionen aktiviert hat, weil das System verlangt, dass Benutzer für die Verschlüsselungsschlüssel und andere Mittel verantwortlich sind, um den Zugriff auf diese Informationen wiederzuerlangen und wiederherzustellen. „Wenn Sie den Zugriff auf Ihr Konto verlieren, können nur Sie diese Daten wiederherstellen, indem Sie Ihren Gerätepasscode oder Ihr Kennwort, Ihren Wiederherstellungskontakt oder Ihren Wiederherstellungsschlüssel verwenden“, so die Apple-Website.
Zusätzlich zum iCloud-Datenschutz plant Apple die Einführung eines physischen Sicherheitsschlüsselsystems für Personen, die sich auf jedem neuen Gerät bei ihrem iCloud-Konto anmelden. Es fungiert als hardwarebasiertes Zwei-Faktor-Authentifizierungssystem. Diejenigen, die sich für diese zusätzliche Sicherheitsebene entscheiden, müssen einen physischen Sicherheitsschlüssel in den Ladeanschluss des Telefons stecken, um ihre Identität zu überprüfen, wenn sie sich auf einem neuen Gerät bei ihrem iCloud-Konto anmelden.
Benutzer, die sich dafür entscheiden, dies zum Schutz ihrer iCloud-Konten zu verwenden, sind jedoch dafür verantwortlich, diese Sicherheitsschlüssel – den Hauptschlüssel und ein Backup – aufzubewahren.
Schließlich führt das Unternehmen ein Codesystem ein, mit dem Benutzer überprüfen können, ob ihre Nachrichten nur an den beabsichtigten Empfänger gehen und nicht von einem Hacker kompromittiert werden. Der Vorgang dürfte Nutzern der verschlüsselten Messaging-App Signal bekannt sein. Im Fall von Apple können zwei Personen, die das System aktiviert haben, ihren eindeutigen Code austauschen, und ihre Geräte erkennen automatisch, ob jemand mit einem anderen Code in das Gespräch eingetreten ist. Automatische Warnungen werden in Gesprächen zwischen Benutzern angezeigt, die diese Überprüfungsfunktion aktiviert haben, „wenn es einem außergewöhnlich fortgeschrittenen Gegner, wie einem staatlich geförderten Angreifer, jemals gelingen sollte, Cloud-Server zu durchbrechen und sein eigenes Gerät einzufügen, um diese verschlüsselte Kommunikation zu belauschen“. sagte das Unternehmen in der Pressemitteilung, in der die Produkte angekündigt wurden.