Verschlusssache
Wie Apple iCloud-Nutzerdaten besser vor fremden Blicken schützen will
Nach viel Druck von Nutzern und Sicherheitsexperten plant Apple die Einführung von drei neuen Sicherheitsfunktionen: Die Ende-zu-Ende-Verschlüsselung von iCloud-Daten (Advanced Data Protection), die Unterstützung von Sicherheitsschlüsseln für die Apple-ID und die Möglichkeit, iMessage-Kontakte zu verifizieren.
Seit Jahren ist es der große Knackpunkt an Apples eigentlich guter Sicherheitsstrategie für iPhone, Mac & Co.: Zwar speichert iOS Backups verschlüsselt in der iCloud, die entsprechenden Schlüssel, mit denen man die Sicherungen entsperrt, legt Apple jedoch auf den eigenen Cloud-Servern ab (s. Mac & i 3/2022, S. 8). Dies erleichtert zwar das Einrichten des Accounts und die Datenwiederherstellung. Für Personen mit erhöhtem Schutzbedarf genügt dies jedoch nicht – und auch für Menschen, die in Regionen leben, deren staatlichen Stellen man nur bedingt vertrauen kann. Aus diesem Grund hat Apple nun – nach vielen Forderungen von Sicherheitsexperten, Menschenrechtlern und Nutzern – die sogenannte Advanced Data Protection (ADP, zu deutsch: Erweiterter Datenschutz) in den Vereinigten Staaten eingeführt (alle Links im Webcode). Mit dem Update auf iOS 16.3 soll diese auch in anderen Ländern wie Deutschland verfügbar sein – angeblich sogar in China. Apple gab bei dem emeritierten MIT-Professor Stuart Madnick ein White Paper in Auftrag, das gleichzeitig mit dieser Ankündigung veröffentlicht wurde und die Notwendigkeit der neuen Sicherheitsbemühungen bekräftigt. Darin heißt es unter anderem, dass die Daten von Endverbrauchern in der Cloud mehr und mehr bedroht sind, weil Angreifer sich immer ausgefallenere Methoden einfallen lassen, um sich Zugriff zu verschaffen.
Hallo, Advanced Data Protection
Apple verspricht mit ADP nun, mehr als 20 Datenkategorien in seinem Cloud-Dienst mit einer Ende-zu-Ende-Verschlüsselung (end-to-end-encryption, kurz E2EE) abzusichern. Zu den neuen Kategorien gehören iCloud-Drive-Daten, Notizen, Fotos, Erinnerungen, Safari-Lesezeichen, Kurzbefehle, Sprachmemos und Einträge in der Wallet-App. Zuvor hatte Apple nur sehr wichtige Datenkategorien wie Gesundheitsinfos (Apple Health) und Passwörter (Schlüsselbund) mit E2EE versehen. Und besonders wichtig: Erstmals sind auch iCloud-Backups von iOS- und iPadOS-Geräten dabei, die bislang als Einfallstor für Angreifer galten. Auch Strafverfolger schätzten die fehlende Ende-zu-Ende-Verschlüsselung als Arbeitserleichterung, weil das Backup fast alles enthält, was man auf seinem iPhone oder iPad tut – und Apple den Nachschlüssel besitzt (siehe Mac & i Heft 3/2022, S. 8). Der Zugriff auf all die genannten Informationen soll künftig nur mit den als vertrauenswürdig eingestuften Geräten des Anwenders möglich sein.