Apple zeichnet von sich ein Image als Pionier beim Schutz der Privatsphäre seiner Nutzer. Der Konzern setzt auf lokale KI-Technik, bremst Tracker in Safari und iOS aus oder verpasst seinen iPhones und Macs einen Blockierungsmodus gegen Spyware. Allerdings klaffte in diesem System über Jahre eine große Lücke: Apple hielt für den Konzern vollständig einsehbare iCloud-Backups und weitere Daten auf seinen Servern vor, die auch staatlichen Behörden im Rahmen rechtlicher Verfahren bereitgestellt wurden – selbst in undemokratischen Weltregionen. Nun soll sich das ändern: Apple verspricht mit "Advanced Data Protection" eine Ende-zu-Ende-Verschlüsselung fast aller iCloud-Daten mit Ausnahme von E-Mail, Kontakten und Kalender. Das heißt, dass nur noch Nutzer selbst auf ihre Infos zugreifen können, Apple hat keinen Schlüssel (mehr). Schon gibt es Kritik von Sicherheitsbehörden. Was bezweckt der Konzern nun damit? Und verdient er bereits Lob oder freuen sich Datenschutzaktivisten vielleicht zu früh?

Ben Schwan, Redakteur bei Mac & i, und Malte Kirchner, Redakteur bei heise online, legen ihre Position zum Thema dar.

Pro: Eine Runde Applaus

Ben Schwan

Apples Entscheidung, endlich eine Ende-zu-Ende-Verschlüsselung (E2E) für die iCloud einzuführen, folgt auf jahrelange Forderungen von ganz normalen Nutzern, Datenschutzaktivisten und der progessiven politischen Seite. Deshalb sollte man den E2E-Start für Apples Datenwolke, der im Frühjahr auch in Europa erfolgen wird, zunächst einmal vollständig positiv interpretieren: Er ist ein echter "Win" für die Privatsphäre und Apple hat dafür Lob verdient.

Wir selbst haben dem iPhone-Hersteller mit dem Thema in unserer Berichterstattung immer wieder in den Ohren gelegen – weil praktisch alles, was der Konzern auf seinen Geräten für Datenschutz und Sicherheit tat, durch das unverschlüsselte – und standardmäßig vorgewählte! – iCloud-Backup wieder ausgehebelt wurde. Egal ob sensible iMessage-Botschaften, Fotos oder andere Inhalte: Auf dem Gerät und zwischen Nutzern waren sie abgesichert, fürs Backup und die eigenen Server hatte Apple einen Nachschlüssel. Und in China wird die iCloud zwangsweise sogar auf Maschinen staatlicher Provider gehostet.

Das ergab eine höchst seltsame kognitive Dissonanz, die man von Nutzerseite nur auflösen konnte, indem man allen seinen Freunden und Verwandten mitteilte, doch eben NICHT das bequeme iCloud-Backup zu verwenden und die Inhalte ihres iPhones oder iPads bitte stets nur lokal zu sichern, was (viel) mehr Mühe machte.

Das ist nun vorbei: Endlich wird alles geschützt, egal ob Backup, iMessages in der Cloud oder Fotos. (Dass Mail, Kalender und Kontakte aus Kompatibilitätsgründen für Apple selbst offen bleiben, lässt sich, wenn man es weiß, verschmerzen.) Apple scheint interne Widerstände, die nicht nur aus Angst vor den Behörden, sondern sicherlich auch aus dem Kundensupport kamen ("Ich habe mein Passwort vergessen. Können Sie mir helfen, an meine Daten zu kommen?"), endlich beseitigt zu haben.

Natürlich könnte man zynisch sein und das jetzt alles als PR abtun. Aber ich glaube schon, dass es Apples Softwareboss Craig Federighi ernst damit meint, wenn er sagt, dass man das Nutzerwohl im Sinne hat. "Da die Kunden immer mehr persönliche Informationen über ihr Leben auf ihren Geräten speichern, werden diese immer häufiger Gegenstand von Angriffen durch hoch spezialisierte Akteure." Dabei geht es nicht nur um wirtschaftlich getriebene Hacker, sondern Demokratiefeinde, Spione und andere Angreifer, die man nun wirklich nicht in seinen Daten haben will.

Apple zeigt sich mit dem Schritt lernfähig. Apple zeigt sich mit dem Schritt lernfähig – und das übrigens nicht zum ersten Mal, auch das problematische CSAM-Scanning wurde nach Kritik gestrichen. Man hat auf die Nutzer gehört, die die Ende-zu-Ende-Verschlüsselung haben wollen. Niemand ist gezwungen, sie zu nutzen – wer Angst hat, Daten auf diesem Weg zu verlieren, bleibt beim alten System. Alle anderen können nun ruhiger schlafen.

Natürlich wird es interessant, wie die Regierungen dieser Welt reagieren und was Apple dann macht. Natürlich gibt es längst Anbieter mit E2E, doch keiner ist so groß wie der iPhone-Konzern. Dass Apple laut Federighi die Ende-zu-Ende-Verschlüsselung auch für China plant, könnte der erste kritische Prüfstein werden. Und Sicherheitsbehörden auch in westlichen Ländern hassen die nutzergetriebene Verschlüsselung wie der Teufel das Weihwasser, da damit Durchsuchungen erschwert werden. Doch das Argument, dass nur eine vollständige Verschlüsselung (auch) kriminelle Angriffe verhindert, sticht eben einfach. Die Debatte an sich ist übrigens uralt, war schon in den Neunzigern ein Thema.

Contra: Nicht zu früh freuen

Malte Kirchner (Bild: Jacobia Dahm)

Ende-zu-Ende-Verschlüsselung für die iCloud – ein Traum wird wahr. Oder ist es vielleicht doch eher zu schön, um wahr zu sein? Fest steht: Wenn Apple seine Ankündigung uneingeschränkt umgesetzt, geht das Unternehmen auf Konfrontationskurs mit Regierungen und Sicherheitsbehörden weltweit. China könnte sich gar gedrängt fühlen, radikale Schritte bis hin zum Marktausschluss zu unternehmen.

Es wäre eine radikale Trendwende in Apples bisheriger Firmenpolitik unter Tim Cook, der sich zwar Privacy – Datenschutz – groß auf die Fahnen geschrieben hat. In der Realität hätte aber einige Male ein "zumindest so viel wie möglich" im Kleingedruckten stehen müssen. Denn Begehrlichkeiten wie die Chinas, Datencenter im eigenen Land und damit im eigenen Rechtsraum zu unterhalten, wollte Apple dann um des lieben Friedens willen doch nicht ausschlagen. Und wer die jährlichen Transparenzberichte liest, weiß, dass Hausmeister Apple auch für europäische und amerikanische Strafverfolger jährlich zigfach den Datenkeller aufschließt, wenn diese Nutzerinfos haben wollen.

Apple hat jahrelang versucht, beide Seiten zufriedenzustellen: Die Kunden, mit ihrem Wunsch nach digitaler Privatsphäre – wobei sich der Privatheitsbegriff ohne iCloud-Ende-zu-Ende-Verschlüsselung auf das Gerät selbst reduzierte. Aber eben auch die Regierungen der verschiedenen Länder, indem immer wieder versucht wurde, ihre Sorgen und Nöte aufzugreifen. Wurde es politisch mal laut, schickte Apple seine Unterhändler nach Brüssel und Washington, um mit möglichst kleinen Zugeständnissen für Zufriedenheit auf beiden Seiten zu sorgen. Doch der Ton gegenüber den Tech-Firmen ist zuletzt rauer, unversöhnlicher geworden. Die Europäische Union hat Apple sowohl bei der USB-C-Anschlusspflicht als auch bei den neuen Digitalgesetzen etwa mit Blick auf den App Store die eiskalte Schulter gezeigt. Und in den USA ist Apple spätestens seit dem Ansinnen des FBI im Jahre 2016, eine Hintertür ins iPhone zu öffnen, im politischen Dauerfeuer.

Mit der angekündigten Verschlüsselung, die spätestens im Frühjahr 2023 weltweit gelten soll, nimmt Apple staatlichen Behörden jede Zugriffsmöglichkeit – wirft also den Generalschlüssel zur Cloud weg. Das wäre für das Unternehmen eine nie dagewesene Radikalität beim Thema Datenschutz. Ist Apple wirklich bereit, für den besseren Datenschutz bis zum Ende zu streiten?

Zumindest für den Moment ist noch nicht auszuschließen, dass das eher ein politischer Schachzug ist. Apple kann hier eigentlich nur gewinnen. Die Bestrebungen von Politikern beiderseits des Atlantiks, mehr Zugriff auf Nutzerdaten der Tech-Konzerne zu nehmen, sind in der Bevölkerung alles andere als populär. Nicht einmal der versuchte Spagat zwischen den Interessen mit dem problematischen CSAM-Scanning fand Beifall – und wurde nach Kritik gestrichen.

Lockt der iPhone-Hersteller die Gesetzgeber nun mit seiner neuen Data Protection aus der Reserve und diese wehren sich mit strengeren gesetzlichen Vorgaben gegen Apples Ende-zu-Ende-Verschlüsselung, wäre Apple fein raus. Die Herzen der Kunden wären dem iPhone-Hersteller gewiss für seinen Mut. Mut, der vermutlich darauf gründet, dass man in Kalifornien viele Menschen hinter sich weiß.

Keine Frage: Die aktuelle Entwicklung ist zweifellos hochspannend und könnte im besten Falle wirklich Positives bewirken. Wir sollten aber den Tag noch nicht vor dem Abend loben.

(mki)