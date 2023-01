Alle großen Cloud-Dienste sind rund um die Uhr Angriffen ausgesetzt, weil sie enorme Mengen an Nutzerdaten enthalten, die Angreifern Geld bringen würden. So steht auch Apples iCloud ständig im Fokus böswilliger Hacker. Mitte Dezember kündigte der Konzern an, die in der iCloud gespeicherten Daten mit einer Ende-zu-Ende-Verschlüsselung abzusichern, die User-Daten auch dann schützt, wenn die iCloud geknackt werden sollte. Außerdem will Apple auch die Dienste iMessage und Apple-ID härten.

Die bisher ungeschützten iCloud-Daten soll man mittels der Option Advanced Data Protection bald ohne besondere Vorkenntnisse absichern können. Dazu gehören Backups von iPhones und iPads, iMessage-Nachrichten, Fotos, Notizen, Safari-Lesezeichen, Erinnerungen, Sprachmemos und alle auf iCloud Drive gespeicherten Daten. Die Technik setzt iOS 16.2 voraus und erscheint zunächst in den USA, ab Anfang 2023 dann in weiteren Ländern.

Das Mitte Dezember erschienene iOS 16.2 enthält Funktionen, um in Apples iCloud die Verschlüsselung fast sämtlicher Daten einzuschalten. In Apples europäischen Rechenzentren wird die Option ab Anfang 2023 aktiviert. (Bild: Apple)

Für die bisher fehlende Verschlüsselung von iCloud-Backups wurde Apple schon hart kritisiert; auf staatliche Nachfrage kann der Konzern in Fällen, die er selbst als begründet einstuft, solche iCloud-Daten herausgeben. So kann aber auch ein Unrechtsregime Daten etwa von Oppositionellen verlangen.

Konzern-Chef Tim Cook hatte erstmals 2018 angekündigt, dass Apple seinen eigenen Zugang zu den iCloud-Daten der Nutzer sperren will. Weil das jahrelang nicht passierte, spekulierten Beobachter, dass die Firma die Änderung auf Druck der US-Bundespolizei FBI nicht umgesetzt habe. Mit der Advanced Data Protection wird auch Apple keinen Schlüssel für die in den eigenen Rechenzentren gespeicherten Daten mehr haben.

Ungenutztes Potenzial

E-Mails, Kontakte und Kalender bleiben von der Advanced Data Protection ausgenommen, obwohl sie ebenfalls vertrauenswürdige Daten enthalten. Apple begründet die Auslassung damit, dass alle drei Kategorien schwer zu schützen seien, weil sie aus heutiger Sicht auf unzureichend konzipierten Protokollen gründen. Zudem sollen die "zahlreichen Anwendungen anderer Hersteller weiterhin darauf zugreifen können". Kurz: Nutzer sollen weiterhin beliebige Mail- oder Kalender-Apps nutzen können.

Auswege nennt Apple nicht, obwohl sie auf der Hand liegen: Kalender und Kontakte kann man selbst schützen, indem man sie im Heimnetz auf einem NAS-Server mit beispielsweise NextCloud lagert. Und wer den steinigen Weg auf sich nimmt, kann E-Mails per SMIME oder PGP selbst Ende-zu-Ende verschlüsseln (etwa mit GPG Mail für rund 24 Euro). Da lässt Apple aber noch Potenzial liegen, denn Macs, iPhones und iPads könnten ja schon beim Anlegen eines Mail-Kontos oder auf Wunsch nachträglich zugehörige PGP- oder SMIME-Schlüssel erzeugen. Die Keys könnten dann per Advanced Data Protection geschützt in der iCloud lagern, für den Fall, dass ein Nutzer seine Keys verliert oder ein System von Grund auf neu einrichtet.

Ebenfalls ab Anfang 2023 können Nutzer ihre Apple-ID bei der Zwei-Faktor-Authentifizierung mit einem Hardware-Sicherheitsschlüssel schützen. Außerdem kündigt Apple eine Verifizierungsoption für den iMessage-Key des Gesprächspartners an. Damit könne man ab 2023 sicherstellen, dass man nur mit der richtigen Person kommuniziert und niemand mitliest. So schließt Apple zu Messengern wie Signal auf, die diese Funktion schon seit Jahren bieten. Sie dürfte auch iMessage gegen aufwendige Spionageversuche staatlich finanzierter Hacker wappnen.

FBI zutiefst besorgt

In den USA erntete Apple geteiltes Echo. Das FBI kritisiert, dass die Advanced Data Protection die Möglichkeiten der Sicherheitsbehörde einschränke, Bürger vor Angriffen und kriminellen Handlungen zu schützen. Das teilte die Behörde in einer Stellungnahme gegenüber der Washington Post mit und zeigte sich "zutiefst besorgt". Die Electronic Frontier Foundation (EFF) wertet die Verschlüsselung als "eines der allerwichtigsten Tools zum Schutz der Privatsphäre und Sicherheit online".

