Meinung

Apple und die Sicherheit: Hundertprozentige Sicherheit als Utopie?

Dass die hundertprozentige Sicherheit eine Utopie ist, hat sich mittlerweile herumgesprochen. Ein erstrebenswertes Ziel ist sie dennoch. Besonders Apple wirbt mit der guten Absicherung und den hohen Ansprüchen an den Datenschutz von iOS und iCloud.

Von   Uhr

Die Anforderungen an Apple sind in jeglichen Belangen hoch. Sehr hoch. Es muss immer das Neueste, das Tollste, das Innovativste und das Beste sein. Natürlich ist Apple daran selbst nicht ganz unschuldig, wirft man doch bei Produktpräsentationen und auf der Website mit Superlativen nur so um sich.

Seit Jahren bemüht sich Apple neben den offensichtlichen Funktionen aber auch in einem eher subtilen Punkt darum, die beste Performance der Branche abzuliefern: Daten-Sicherheit und Daten-Schutz. Das Thema Sicherheit, so elementar es auch für alle sein sollte, führt ein absolutes Schattendasein. Eigentlich müssten seit den Snowden-Enthüllungen jedes Wochenende Zehntausende auf den Straßen stehen und Aufklärung von der Regierung fordern. Passiert ist wenig bis gar nichts. Grund genug, sich einmal genauer anzuschauen, wie ernst es Apple eigentlich mit den Versprechungen um die hohen Datenschutz-Standards meint.

iMessage – Gigantische Schlüsselsammlung

Bei Apples hauseigenem und geräteübergreifenden Chat-Dienst iMessage spricht Apple von einer echten „Ende-zu-Ende“-Verschlüsselung. Üblicherweise wird bei dieser Art der Verschlüsselung auf ein Schlüsselpaar gesetzt. Es besteht aus einem öffentlich zugänglichen Schlüssel und einem privaten, komplett geheimem Schlüssel. Wenn jemand dir eine Nachricht schicken möchte, dann verwendet er den öffentlichen Schlüssel, den er zuvor entweder von dir oder einem Server übermittelt bekommen hat, um die Nachricht zu verschlüsseln. Zum Entschlüsseln benötigt man den privaten Schlüssel, der bei Apple gerätespezifisch ist. Gerade der letzte Teil nährte immer wieder Spekulationen, dass das System nicht so sicher sei wie von Apple behauptet. Denn schließlich kannst du an dich gerichtete Nachrichten ja genauso auf deinem Mac, wie auch auf deinem iPhone und iPad lesen. Die Vermutung war lange, dass Apple also auch die privaten Schlüssel verwaltet und zwischen den einzelnen Geräten synchronisiert.

Genau diesen Punkt entkräftet Apple allerdings im Bericht zur iOS-Sicherheit. Tatsächlich gibt es für jedes deiner Geräte ein eigenes Schlüsselpaar. Apple weiß natürlich, welche Geräte zu deiner Apple-ID gehören und übermittelt bei einer entsprechenden Anfrage einfach alle öffentlichen Schlüssel an den Sender der Nachricht. Dessen Apple-Gerät verschickt die jeweilige Nachricht dann gleich mehrfach. Nämlich genau einmal pro Apple-Gerät, das du besitzt. Wenn eine iMessage-Nachricht dich also auf mehreren Geräten erreicht, erreicht dich nicht dieselbe Nachricht auf allen Geräten, sondern jedes Gerät bekommt eine eigens für eben dieses Gerät verschlüsselte Version der Nachricht. Bei Gruppenkonversationen wird dieser Prozess für jeden Empfänger und jedes Gerät wiederholt.

Vor diesem Hintergrund ist tatsächlich erst einmal davon auszugehen, dass Apple die privaten Schlüssel tatsächlich auf den jeweiligen Geräten belässt und Ihre Nachrichten tatsächlich nicht entschlüsseln kann.

Das ist allerdings nur richtig, wenn du Apple vertraust. Denn Apple hat natürlich nach wie vor die Kontrolle über deine Apple-ID und das Verzeichnis der öffentlichen Schlüssel. Rein technisch gesehen könnte Apple also ein weiteres (virtuelles) Gerät über deine Apple-ID anmelden und könnte so sehr wohl all deine iMessage-Daten mitschneiden. Letztlich handelt es sich hier also um eine reine Vertrauensfrage. Aber letztlich ist es das ja immer. Du musst auch deinem Arzt vertrauen, dass er mit deinen Daten keinen Schindluder treibt.

Siri – Zwei Jahre in der Cloud

Ein besonders delikates Thema, wenn es um Datenschutz geht, ist natürlich Siri, Apples (mal mehr, mal weniger) digitaler Assistent. Eine der schwierigsten Fragen im Zusammenhang mit Siri dürfte für Apple sein, zwischen Nutzen und Privatsphäre abzuwägen. Es ist kein Geheimnis, dass verhältnismäßig wenige Siri-Funktionen direkt auf dem jeweiligen Gerät abgewickelt werden. Für die allermeisten Anfragen wird eine Verbindung zum Internet benötigt.

Wann immer du mit Siri sprichst, wird der entsprechende Audio-Mitschnitt zusammen mit deinem Namen und deinem ungefähren Standort an Apple übermittelt.

Apple setzt dabei auf einen Mechanismus, den es „progressive disclosure“ nennt. Dieser soll sicherstellen, dass immer nur das Minimum an Informationen übertragen wird, das ausreicht, um die Anfrage zu beantworten. Wenn du Siri beispielsweise nach einem Kino fragst, wäre es sinnvoll für Apple zu wissen, wo genau du dich befindest, da dir eine Auflistung aller Kinos an deinem ungefähren Standort – sagen wir: Berlin – nur bedingt weiterhilft. Nachdem der Server also herausgefunden hat, wonach du eigentlich suchst, könnte er genauere Positionsdaten anfordern, um deine Anfrage befriedigend zu beantworten. Diese exakten Positionsdaten werden aber beispielsweise nicht benötigt, wenn du Siri lediglich fragst, wer Neil Armstrong war. Dann werden diese nicht benötigten Daten auch weder erhoben noch an Apple übermittelt.

Außerdem können einzelne Bestandteile der Erfüllung eines Auftrags zurück an das Gerät übermittelt werden. Wenn du etwa Siri auffordest, dir die zuletzt eingegangene iMessage vorzutragen, dann wird zunächst der Audiomitschnitt an Apple übermittelt. Der Siri-Server erkennt dann den Auftrag und fordert nicht etwa den Text der iMessage an, sondern delegiert die Sprachausgabe direkt an das Gerät, über das die Anfrage einging. So bleibt der Inhalt der fraglichen iMessage auf deinem Gerät.

In Apples Dokumentation zur Sicherheit von iOS findet sich auch ein Hinweis darauf, was Apple mit den erhaltenen Daten anfängt. So werden Daten wie Transkripte und Standorte schon nach 10 Minuten wieder gelöscht. Die Audio-Mitschnitte bleiben allerdings für bis zu zwei Jahre gespeichert, werden aber immerhin nach sechs Monaten anonymisiert. Apple verwendet diese Daten, um die Spracherkennung von Siri weiter zu verbessern.

Apples 63-seitiger Security Guide als PDF

Wenn du en détail nachlesen möchtest, was Apple über die in diesem Artikel dargestellten drei wichtigsten Aspekte in Sachen „Sicherheit“ hinaus noch in petto hat, kannst du dir Apples 63-seitigen Security Guide als PDF herunterladen: apple.co/1NREbMY

iCloud-Schlüsselbund – Maximale Sicherheit

Ein weiterer extrem wichtiger Baustein im Bereich Sicherheit ist der iCloud-Schlüsselbund. Enthält er doch im Zweifel all deine Passwörter, Zertifikate und sonstige Zugangsdaten. In vollem Bewusstsein der Wichtigkeit des Schlüsselbunds hat Apple dann auch augenscheinlich alles Nötige unternommen, um seine Daten vor dem Zugriff Unbefugter zu schützen.

Laut Apple waren zusätzlich zu Datenschutz und Sicherheit die Benutzerfreundlichkeit und Wiederherstellbarkeit eines Schlüsselbundes Ziele, die sich nachhaltig auf Konzeption und Architektur des iCloud-Schlüsselbundes ausgewirkt haben.

Außerdem gibt Apple an, dass man den iCloud-Schlüsselbund und die Schlüsselbundwiederherstellung so konzipiert hat, dass die Passwörter selbst unter den folgenden Umständen sicher sind:

• Der iCloud-Account eines Benutzers wurde kompromittiert.
• iCloud wird von einem Angreifer von außen oder einem Mitarbeiter kompromittiert.
• Dritte erlangen Zugriff auf Benutzeraccounts.

Wie sich das mit dem Wunsch nach Synchronisierung der Daten unter einen Hut bringen lässt, erklärt Apple selbst wie folgt: „Aktiviert ein Benutzer den iCloud-Schlüsselbund das erste Mal, richtet das Gerät einen „Circle of Trust“ ein und erstellt für sich eine Synchronisationsidentität. Diese Synchronisationsidentität besteht aus einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel dieser Synchronisationsidentität wird Teil des „Circle of Trust“ und dieser wird zweimal signiert: zuerst mit dem privaten Schlüssel der Synchronisationsidentität und anschließend mittels asymmetrischer Elliptische-Kurven-Kryptografie mit einem weiteren Schlüssel, der vom Passwort für den iCloud-Account des Benutzers abgeleitet wird.“

Die Daten dieses „Circle of Trust“ können ohne das iCloud-Passwort nicht ausgelesen werden. Ohne den zugehörigen privaten Schlüssel können die enthaltenen Daten nicht verändert werden.

Aktiviert man nun den iCloud-Schlüsselbund auf einem weiteren Gerät, erkennt das neue Gerät, dass es für diese iCloud-ID bereits einen Circle of Trust gibt, dessen Mitglied es nicht ist. Das Gerät erstellt ein Schlüsselpaar für die Synchronisationsidentität und beantragt anschließend die Aufnahme in den Circle. Die Aufnahme in den Circle musst du dann von einem anderen Gerät, das bereits Mitglied in diesem Circle ist, bestätigen. Wenn du dies getan hast, fügt das erste Gerät den öffentlichen Schlüssel des neuen Mitglieds dem Circle hinzu und signiert alle erforderlichen Daten und Schlüssel erneut. Der Circle besteht nun aus zwei Mitgliedern, von denen jedes den öffentlichen Schlüssel des anderen besitzt. Du tauschst nun untereinander einzelne Schlüsselbundobjekte über den iCloud-Schlüssel/Wert-Speicher aus. Ist ein Objekt bei beiden vorhanden, wird das zuletzt geänderte Objekt synchronisiert. Dabei wird jedes zu synchronisierende Objekt speziell für das Gerät verschlüsselt, an das es gesendet wird.

Ein paar gerätespezifische Objekte im Schlüsselbund, wie zum Beispiel VPN-Logindaten, werden jedoch nicht synchronisiert.

Fazit

Die oben erwähnten Mechanismen, die Apple zum Schutz der Daten seiner Kunden ins Leben gerufen hat, sind nur ein kleiner Ausschnitt dessen, was hinter den Kulissen der iCloud tatsächlich passiert. Ähnlich akribisch kümmert Apple sich um Daten von und für Continuity, Handoff, FaceTime oder auch die Apple-ID.

Auch wenn für Apple technisch gesehen immer noch Möglichkeiten offen bleiben, um an einen Großteil der Daten in der iCloud zu gelangen, macht es doch den Eindruck, als ob Apple es wirklich ernst meint mit dem Versprechen von größtmöglicher Sorgfalt bei Datenschutz und -sicherheit.

Mit den diversen öffentlichen Äußerungen Tim Cooks zu diesem Thema sind Datenschutz und -sicherheit jedoch zu Verkaufsargumenten für Apple-Geräte geworden. Entsprechend viel hat Apple mittlerweile zu verlieren, sollte man gegen die selbst postulierten Werte verstoßen.

Apples Dokument zum Thema Sicherheit beginnt mit dem Satz „Apple hat bei der Entwicklung der iOS-Plattform die Sicherheit in den Mittelpunkt gestellt.“ Damit positioniert sich Apple ganz klar gegenüber Google, das ganz darauf ausgelegt ist, möglichst viele Informationen über seine Kunden in Erfahrung zu bringen.

Apples 63-seitiger Security Guide als PDF

Wenn du en détail nachlesen möchtest, was Apple über die in diesem Artikel dargestellten drei wichtigsten Aspekte in Sachen „Sicherheit“ hinaus noch in petto hat, kannst du dir Apples 63-seitigen Security Guide als PDF herunterladen: apple.co/1NREbMY

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Apple und die Sicherheit: Hundertprozentige Sicherheit als Utopie?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Glückwunsch, dieses ist der erste Artikel in dem aus meiner Sicht das Verschlüsselungsverfahren von iMessage verständlich dargestellt und auch die Möglichkeit Apples zur Aufnahme eines "Schattengerätes" zum Erhalt aller Nachrichten als Kopie als Angriffsmöglichkeit erwähnt wird.

Leider gibt es meines Wissens nach keine Möglichkeit die meiner AppleID zugehörigen Geräte und deren iMessage Schlüssel aufzulisten und einzeln zu verwalten. Kennt ihr da eine Möglichkeit diese Informationen einzusehen / zu bearbeiten?

Vielleicht noch als Ergänzung für alle die aufgrund der potentiellen Möglichkeit Apples zur Hinterlegung eines ergänzenden Geräteschlüssels in iMessage aufschreien, dass dieses ja das gesamte Verfahren hochgradig unsicher macht:

Über die iMessage Verschlüsselung lassen sich (so Apple nicht grundsätzlich immer einen zusätzlichen Schlüssel einfügt) anlasslose Massenüberwachungen der iMessage-Kommunikation sowie die nachträgliche Entschlüsselung noch auf den Servern vorhandener Kommunikationen sinnvoll unterbinden.

Gegen eine anlassbezogene und gerichtlich oder gesetzlich angeordnete Überwachung einzelner Personen kann iMessage aufgrund der fehlenden Authentisierungsmöglichkeit der verwendeten Schlüssel durch den Absender jedoch nicht schützen.

Ob Apple diese Hinterlegung ergänzender Geräteschlüssel tatsächlich durchführt / durchführen würde, werden wir wohl nur bei einer Veröffentlichungen von internen Informationen durch einen weiteren Whistleblower wie Snowden erfahren.

Die Kommentare für diesen Artikel sind geschlossen.