Um einer Anordnung der britischen Regierung, eine Backdoor in die optionale E2EE-Datenschutzfunktion zu implementieren, zuvorzukommen, entfernt Apple diese Datenschutzfunktion für die iCloud in Großbritannien.
Anzeige
Die Vorgeschichte
Für in der iCloud gespeicherte Inhalte bietet Apple eine End-to-End-Encryption (E2EE, Verschlüsselung) an. Das bedeutet, dass nur der Inhaber eines iCloud-Kontos die betreffenden Inhalt, die in der iCloud gespeichert sind, auch entschlüsseln und ansehen kann. Selbst Apple hat keinen Zugriff auf in der Cloud abgelegten Inhalte. Das ist staatlichen Organisationen ein Dorn im Auge.
Bisher war es so, dass Regierungen oder die jeweiligen Strafverfolger routinemäßig bei Technologieunternehmen vorstellig werden und Unterstützung beim Zugriff auf verschlüsselte Nutzerdaten bitten, um Kriminalfälle zu lösen. Aber jetzt wollten die Briten so etwas wie einen "Blanko-Vollmacht" für den iCloud-Zugriff.
Ich hatte es hier im Blog nicht thematisiert, aber Bolko stellte zum 7. Februar 2025 einige Informationen zu diesem Thema im Diskussionsbereich als Kommentar ein. Die Regierung des Vereinigten Königreichs (UK, England) hat von Apple den Einbau einer Backdoor in seine Produkte verlangt, um Zugriff auf verschlüsselte Daten in der Cloud zu erhalten.
Reuters hatte im Artikel UK orders Apple to open up users' encrypted cloud data, report says, unter Bezug auf einen Bericht in der Washington Post, einige Details veröffentlicht. Dem Bericht zufolge gebe es eine geheime Anordnung (Technical Capability Notice) der britischen Regierung an Apple, die einen flächendeckenden Zugriff auf geschützte iCloud-Backups in aller Welt verlangt.
Anzeige
Hintergrund ist, dass Sicherheitsbehörden im Vereinigten Königreich Apple aufgefordert haben, eine Hintertür zu schaffen, die es ihnen ermöglicht, alle Inhalte abzurufen, die ein Apple-Nutzer weltweit in die iCloud hochgeladen hat. Es wurde also eine Blanko-Möglichkeit verlangt, um vollständig verschlüsseltes Material in der iCloud einzusehen, und nicht nur wie bisher, Hilfe beim Knacken eines bestimmten Kontos.
Apple setzt Verschlüsselung für UK aus
Apple geriet dadurch in eine Zwickmühle, da das Unternehmen keine Backdoor in seine Produkte einbauen möchte. Daher hat sich der Hersteller zu einem noch nie dagewesenen Schritt entschlossen. Es entzieht seinen Kunden in Großbritannien die Möglichkeit, die in der iCloud gespeicherten Inhalt über die Advanced Data Protection (ADP) zu verschlüsseln.
Advanced Data Protection (ADP) ist optional und ermöglicht es, dass nur Kontoinhaber Objekte wie Fotos oder Dokumente, die sie online in der iCloud gespeichert haben, durch Ende-zu-Ende-Verschlüsselung einzusehen.
Da sich ADP für britische Nutzer nicht mehr aktivieren lässt, werden deren Daten in der iCloud nicht mehr Ende-zu-Ende-verschlüsselt gespeichert. Daten, die mit einer Standardverschlüsselung in der iCloud gespeichert werden, sind für Apple zugänglich und können, beim Vorliegen einer richterlichen Anordnung, mit Strafverfolgungsbehörden geteilt werden.
Damit hat sich Apple elegant aus der Zwickmühle befreit, die die Regierungsanordnung bedeutet hätte. Die BBC schreibt im Artikel Apple pulls data protection tool after UK government security row, dass sich Apple zwar Anfang Februar 2025 nicht zu den Berichten über die geheime Anordnung geäußert habe. Aber Apple hat sich immer gegen eine "Hintertür" in seinen Verschlüsselungsdienst ausgesprochen. Das Argument ist, dass es dann nur eine Frage der Zeit wäre, bis auch böswillige Akteure einen Weg finden, um die Backdoor zu nutzen.
Das Innenministerium gibt gegenüber der BBC an, keine operativen Angelegenheiten, einschließlich der Bestätigung oder Dementierung der Existenz solcher Mitteilungen, zu kommentieren. Apple zeigte sich aber in einer Erklärung, laut BBC, "zutiefst enttäuscht", dass die Sicherheitsfunktion britischen Kunden nicht mehr zur Verfügung stehen werde. Aber man habe nie eine Hintertür oder einen Generalschlüssel in eines der Apple Produkte eingebaut und werde dies auch nie tun.
Anzeige
Hart :(
Ich bin bisher kein Apple-Freund, aber das finde ich gut.
Offen, ehrlich und konsequent, wie es aussieht.
Für den einen oder anderen Anwender ist es natürlich nicht so schön …
Naja, in China sind sie eingeknickt
Natürlich ist es schade, dass Apple die Funktion im UK entfernt – und es wird auch weitere Begehrlichkeiten seitens der Behörden/Politik hervorrufen: E2E auch in Chats beenden, und auch in EU und US gibt es dieselben Wünsche – als ob die wahren Gefährder nicht auf andere Formen nichtöffentlicher Kommunikation ausweichen könnten: Codewörter, die anderes gebraucht werden als sonst üblich, zusätzliche Verschlüsselung. Es wird für diese Gefährder halt weniger bequem.
Trotzdem bin ich froh, dass Apple keine Backdoor eingebaut hat, sodass die Behörden nicht alles abschnorcheln können, sondern einen richterlichen Beschluss brauchen (auch wenn der anscheinend erschreckend einfach und mit erschreckend wenig Überprüfung und Abwägung zu bekommen ist).
Kennst Du den Cloud Act?
Kennen Sie ihn denn? Der CA verpflichtet US-Firmen (und IIRC auch ausländische Firmen mit US-Niederlassung!), ausgewählte von ihnen gespeicherte Daten an US-Behörden zu übergeben – und das weltweit (Speicherort und Kunden).
Er verpflichtet aber nicht, diese Daten lesbar zu speichern.
Am Beispiel der iCloud: Ja, diese Daten wären zu übergeben. Aber wenn sie ADP-verschlüsselt sind¹ sind sie für Andere (inkl. dieser Behörden) eben nicht mit vertretbarem Aufwand lesbar.
¹ und ADP etwas taugt (habe mich als nicht-Apfelmensch nie mit ADP speziell beschäftigt)
Grenzenlose Naivität.
Grenzenlose Niveaulosigkeit, dumpfe Andeutungen ohne jede Sachaussage oder gar Beleg zu streuen.
Kein Wunder, dass Sie als "Anonym" schreiben.
Kennen Sie Snowden?
Für die entspr. Behörden ist alles seit immer lesbar und wird immer lesbar bleiben.
Kennen Sie, Herr Anonym, die genauen Sachverhalte? Im Cloud Act selbst wird die sogenannte Comity Analysis behandelt. Hier wird bestimmt, dass die örtliche Gerichtbarkeit des Betroffenen (Person oder Unternehmen) die Anfrage auf Herausgabe von Daten auf Rechtmäßigkeit prüft und dann entscheidet.
Und wissen Sie, dass es in der zivilisierten Welt geltende Verträge gibt? Wenn also ein Unternehmen wie bspw. MS sich per DPA vertraglich verpflichtet nicht in Kundendaten reinzuschauen oder in irgendeiner Form abweichend vom Vertrag zu verarbeiten sind Vertragsstrafen fällig.
Ein Datenschutzanwalt mit dem ich beruflich zu tun hatte fragte einen ähnlich gestrickten Kunden einmal: "Über was wollen wir nun sprechen? Die Sachlage oder über wilde Vermutungen?"
DPA steht für Deutsche Presseagentur … wie kommen wir da zusammen?
Was dein Datenschutzanwalt von sich gibt, mag schön und gut sein – als Jurist, der einen Anspruch durchsetzen muss, hat er sogar recht (gegen schwammige Gesetze oder Presidential Orders kommt er nicht an). Max Schrems hat zwei Mal die Frage, ob das Datenschutzniveau der USA der europäischen DSGVO entspricht, dem EuGH vorgelegt und zwei Mal hat dessen Senat ein Urteil gefällt, der den Transfer persönlicher Daten in die USA für unzulässig im Sinne der DSGVO erklärt.
Man kann noch darüber streiten, ob Daten, die bei einem US-Cloud-Anbieter in Europa lagern, vor dem Zugriff von US-Behörden geschützt sind. Meine Antwort lautet mit hoher Wahrscheinlichkeit nein – die Sache ist einfach nicht transparent. Es gibt US-Unternehmen, die die "Gag-Ordner" der US-Justiz durch ein Canary-Signal umgangen haben. Wenn es keine Order gab, wurde das jährlich bekannt gegeben. Blieb das aus, konnte jeder Beobachter seine Schlüsse daraus ziehen. Und was bestimmte US-Dienste tun und lassen, steht nochmals auf einem anderen Blatt – bin zu faul zum Suchen, es gab vor 1-2 Jahren ein US-Gerichtsurteil gegen US-Behörden, die US-Amerikaner unzulässig überwacht haben (von nicht US-Amerikanern war schon mal keine Rede).
Zurück zur DSGVO und die Implikationen, dass Daten in den USA gehen. Gehe ich auf die betreffende noyb-Seiten, wird sehr detailliert erklärt, was an dem Transatlantic Data Privacy Framework (TPF) kaputt ist. Das Ganze wird ein drittes Mal vor dem EuGH verhandelt werden.
Ich habe es nicht im Blog thematisiert, aber der Vorsitzende des EU-LIBE-Ausschusses hat einen Brief (siehe obigen Screenshot) an die Kommission geschrieben, der den Angemessenheitsbeschluss hinterfragt. Hintergrund ist, dass wir es offensichtlich nicht mehr mit einer "zivilisierten Welt und geltenden Verträgen" zu tun haben, seit ein neuer US-Präsident mit Presidential Orders hantiert. Einfach mal durch den Kopf gehen lassen und danach handeln, täte gut.
PS: Man kann wilde Vermutungen "Die können in jede persönliche Information rein schauen, sobald das irgendwie in der Cloud ist" anstellen und das zurück weisen – aber die Vermutung "es geht alles juristisch sauber und wasserdicht zu" ist imho genau so wild (jedenfalls, dann, wenn man die Sachlage über die letzten Jahre, angefangen mit Snowden, verfolgt). Es ist insgesamt ein komplexes und undurchsichtiges Thema und man täte gut daran, Vorsicht und Zurückhaltung walten zu lassen, was die Ablage von Daten generell und von persönlichen Daten im Speziellen betrifft.
Da ist sie wieder, die grenzenlose Naivität.
Es wird alles gemacht, was technisch möglich ist.
Die Sachlage ist spätestens seit Snowden bekannt.
Wer das nicht sehen kann oder will, nun denn.
Dass bei totalitären Regimes jederzeit diese Gefahr bestehen kann, hätten sich sämtliche Cloud-Nutzer eben vor der Entscheidung, Daten in einem Cloud-System zu speichern, überlegen müssen. Ein weiterer Punkt, welcher für die Datenspeicherung "on-premises" spricht, neben der bei längerfristiger Betrachtungsweise wohl oftmals geringeren und besser kalkulierbaren Gesamtkosten (keine überraschenden massiven Preisaufschläge!).
Die Datenspeicherung "on-premises" hat jedoch einen Nachteil für gewisse Personen: Es gibt keine derart üppigen Kickback-Zahlungen für die Auftraggeber ….
UK Reisen werden auch immer unattraktiver, erst Reisepasspflicht, jetzt noch mehr Bloat
https://www.tagesschau.de/ausland/europa/reisegenehmigung-grossbritannien-100.html