Überraschend positive Nachrichten gab es letzte Woche aus Cupertino. Apple hat sich ja schon länger das Thema „Privacy“ auf die Fahnen geschrieben und macht auch ordentlich Werbung damit. In einer Welt, wo viele Konzerne von den Daten ihrer Kunden regelrecht leben, ist es auch eine Art Alleinstellungsmerkmal. Problematisch wird es immer dann, wenn Daten nicht auf dem Gerät verbleiben, sondern auch in der Cloud leben, im Falle von Apple in der iCloud. Ein solcher Dienst ist wichtig, wenn Kunden in einer Mehrgeräte-Welt leben, wo alle Daten wie Fotos und Notizen möglichst synchron verfügbar sein sollen. Um hier die Privatsphäre zu erhalten, hilft eigentlich nur die sogenannte Ende-zu-Ende-Verschlüsselung. D.h., die Daten werden schon verschlüsselt, bevor sie das Gerät Richtung Cloud verlassen. Und zwar, wichtig, mit einem Schlüssel, den Apple nicht ebenfalls hat.
Risiken
Das birgt aber für den Kunden auch das Risiko, dass er nicht mehr auf Apples Hilfe zählen kann, sollte er mal sein Passwort oder gar seine Geräte verlieren. Die Daten sind dann schlichtweg nicht mehr verfügbar/lesbar. Man mag sich die Dramen im Apple Store oder an der Support-Hotline nur mal vorstellen, wenn Kunden eröffnet wird, dass ihre wertvolle Fotosammlung für immer verloren ist. Solche Gründe gibt Apple dann auch an auf die Frage, warum es nicht längst überall eine Ende-zu-Ende-Verschlüsselung gibt.
Was ändert sich nun?
Es gab in der iCloud schon bisher Dienste, die Ende-zu-Ende-verschlüsselt waren. Dazu zählen z.B. Gesundheitsdaten oder die sogenannte iCloud-Keychain, die Teil von Apples Kennwortverwaltung ist. Nun kommen aber entscheidende Dienste dazu wie etwa Notizen, das iCloud-Drive und vor allem die iCloud-Backups. Gerade die Backups waren eine große Privacy-Lücke im System und wurden immer wieder von Behörden angefordert. Das oben genannte Risiko durch die Aktivierung, seine Daten zu verlieren, bleibt allerdings, daher hat Apple die lange Umsetzungszeit genutzt, einige Vorkehrungen und Voraussetzungen zu schaffen.
Vorkehrungen und Voraussetzungen
Vorkehrung Nr. 1 ist, dass der Nutzer die neue Ende-zu-Ende-Verschlüsselung, welche Apple übrigens „Advanced Data Protection“ nennt, selber aktivieren muss. Standardmäßig bleibt sonst alles beim altem. Er muss außerdem einen Recovery-Kontakt anlegen oder einen Recovery-Key ausdrucken, um vor absolutem Datenverlust geschützt zu sein. Weiterhin müssen alle Geräte mindestens auf iOS 16.2, iPadOS 16.2, tvOS 16.2, watchOS 9.2 und macOS 13.1 sein. Ist man mit nur einem Gerät in iCloud angemeldet, was nicht auf einem dieser Versionen ist, lässt sich die Advanced Data Protection nicht aktivieren. Im Zweifel also bitte alle Schubladen mal vorher nach alten iPhones durchwühlen.
Einschränkungen
Die neue Verschlüsselung ist nicht verfügbar für Kontakte, Termine und E-Mails. Grund dafür ist, dass auch Drittprogramme weiterhin mit diesen Daten arbeiten müssen. Außerdem ist es nach Aktivierung nicht mehr möglich, die webbasierte Version der iCloud, also icloud.com, zu nutzen. Denkt bitte weiterhin daran, dass ihr bei einigen Programmen wie „Nachrichten“ nicht die einzigen Nutzer seid, die diese Daten haben. Auch die jeweiligen Empfänger besitzen diese naturgemäß, und dort ist die „Advanced Data Protection“ vielleicht nicht aktiviert.
Verfügbarkeit
Das Feature rollt mit iOS 16.2, macOS 13.1 usw. vermutlich schon diese Woche in den USA aus. Der Rest der Welt soll „Anfang 2023“ folgen, also in nicht allzu ferner Zukunft.
Bewertung und Ausblick
Die neue Verschlüsselung ist aus Privacy-Sicht ein großer Schritt in die richtige Richtung. Sogar auf die schon für iOS 15 angekündigte, aber nie umgesetzte, Suche nach Missbrauchsfotos (CSAM) vor deren Upload in die Cloud will Apple nun verzichten. Bleibt abzuwarten, wie die Gesetzgeber weltweit reagieren werden. Das amerikanische FBI hat schon schwere Bedenken geäußert, aus Privacy-Gesichtspunkten meist ein gutes Zeichen. In vielen Ländern gibt es Bestrebungen Regelungen zu finden, Daten vor einer Ende-zu-Ende-Verschlüsselung zu untersuchen und ggf. automatisch zu melden (z.B. die EU-Chatkontrolle). Es ist an den Bürgern, genug Druck auf ihre Regierungen auszuüben, den Schutz ihrer wertvollsten Daten zu gewährleisten.
