iCloud-Backups: Apple soll Verschlüsselung wegen FBI aufgegeben haben
Die iPhone-Verschlüsselung macht es Apple unmöglich, Ermittlungsbehörden beim Knacken eines Smartphones zu helfen. Anders sieht es bei iCloud-Backups aus, für die neben dem Nutzer auch Apple einen Schlüssel hat. Pläne, auch hier auf eine Ende-zu-Ende-Verschlüsselung zu setzen, sollen durch Einfluss des FBI verworfen worden sein.
Apples Ende-zu-Ende-Verschlüsselung auf iOS-Geräten stand zuletzt beim FBI in der Kritik. Die US-Bundesbehörde wirft Apple mangelnde Kooperation bei den Ermittlungen rund um den Terrorangriff auf einen Marinestützpunkt in Florida am 6. Dezember des letzten Jahres vor, bei dem drei Menschen getötet und mehrere verletzt wurden. Im Zuge der Ermittlungen wollten die Behörden auf zwei iPhones des Täters zugreifen.
Doch selbst wenn Apple wollte, kann das Unternehmen nicht auf die auf einem iPhone oder iPad gespeicherten Daten zugreifen, da dies die per Secure Enclave abgesicherte Ende-zu-Ende-Verschlüsselung verhindert. Apple hat keine Schlüssel dafür vorliegen. Dass Apples Verschlüsselung in Abhängigkeit von der installierten iOS-Version hingegen nicht unantastbar ist, zeigen Geräte wie GrayKey von Grayshift, mit denen das FBI im vergangenen Jahr ein iPhone 11 Pro mit iOS 13.1 entsperren konnte. Es wird vermutet, dass die aktuelle iOS-Version 13.3 die von GrayKey genutzte Schwachstelle nicht mehr aufweist.
Apple hat Zugriff auf iCloud-Backups
Wie die Nachrichtenagentur Reuters heute unter Berufung auf Aussagen eines aktuellen sowie drei ehemaliger Mitarbeiter des FBI sowie eines aktuellen und eines früheren Mitarbeiters von Apple berichtet, war es ursprünglich der Plan von Apple gewesen, auch bei iCloud-Backups keinen Schlüssel mehr vorliegen zu haben. Das hatte 2018 sogar CEO Tim Cook selbst bestätigt. Auch auf Apples Servern wäre dann eine Ende-zu-Ende-Verschlüsselung zum Einsatz gekommen. Nach aktuellem Stand ist dies etwa bei Daten der Health-App sowie der Keychain für Passwörter der Fall. Andere Daten sind zwar ebenfalls verschlüsselt, aber für Apple zugänglich.
Im Falle des Terror-Angriffs vom 6. Dezember des letzten Jahres konnte Apples deshalb das iCloud-Backup, Kontoinformationen sowie sämtliche weiteren Informationen, die Apple auf den eigenen Servern vorliegen hatte, dem FBI aushändigen. Wie häufig Ermittlungsbehörden in welchen Fällen bei Apple Daten anfragen, ist dem jüngst für das erste Halbjahr 2019 veröffentlichten Transparenzbericht zu entnehmen.
Pläne angeblich auf Drängen des FBI eingestellt
Apple soll vor ungefähr zwei Jahren Pläne eingestellt haben, auch für iCloud-Backups eine Ende-zu-Ende-Verschlüsselung einzuführen. Wie Reuters berichtet, habe Apple das FBI vor mehr als zwei Jahren und vor der geplanten Umsetzung darüber informiert, dass das Unternehmen die Verschlüsselung einführen wolle. Angeblich habe die Ermittlungsbehörde jedoch Apple davon überzeugen können, die Pläne wieder zu verwerfen. Einem ehemaligen Apple-Mitarbeiter zufolge wollte das Unternehmen nicht zur Zielscheibe öffentlicher Kritik werden, da sich Apple potenziell hätte vorwerfen lassen müssen, Kriminelle zu schützen und Behörden den Zugriff auf Daten zu verwehren.
Nachdem Apple bereits 2016 nach einer Massenschießerei im kalifornischen San Bernardino mit dem FBI um die Daten auf einem iPhone vor Gericht stritt, sollte „der Bär nicht länger gereizt werden“, wie es ein ehemaliger Apple-Mitarbeiter umschreibt. Einem anderen Mitarbeiter zufolge habe Apple die Pläne aber auch aufgegeben, da sich Kunden so womöglich häufiger selbst von ihren Daten aussperren könnten.
Tim Cook bestätigte Pläne im Spiegel
Das letzte Mal, dass sich Apple öffentlich zur Verschlüsselung von iCloud-Backups geäußert hat, war im Herbst 2018 in einem Interview von CEO Tim Cook im Spiegel. Damals hatte sich der Konzern noch für eine Ende-zu-Ende-Verschlüsselung ohne Schlüssel bei Apple ausgesprochen.
Spiegel: Sind die Daten auch bei Ihrem Onlinedienst iCloud so gesichert wie auf den Geräten?
Tim Cook: Dort haben unsere Nutzer einen Schlüssel, und wir haben einen. Das machen wir so, weil manche Nutzer ihren Schlüssel verlieren oder vergessen und dann von uns Hilfe erwarten, um wieder an ihre Daten zu kommen. Es ist schwer abzuschätzen, wann wir diese Praxis ändern werden. Aber ich glaube, das wird künftig wie bei den Geräten geregelt. Wir werden also auch dafür künftig keinen Schlüssel mehr haben.
Spiegel-Interview mit Tim Cook vom 25.10.2018