Apple hat viel richtig gemacht in den letzten Jahren, wenn man sich die Bereiche Sicherheit, Privatsphäre und Datenschutz anschaut. Leider aber nicht alles. Zeit, das in den Fokus zu nehmen.

Apple hat vor einigen Jahren erkannt, dass Privatsphäre und Datenschutz die Grundlage für tolle PR-Strategien bilden. Im Gegensatz zu beispielsweise Google, die das zwar auch immer mal wieder verzweifelt bewerben, konnte man sich das in Cupertino leisten. Apple verdient Geld mit dem Verkauf hochpreisiger Hardware und Provisionen an den App-Stores, die sich auf dieser hochpreisigen Hardware befindet.

Bei der Sicherheit der Systeme machte man ebenfalls Fortschritte. Das Betriebssystem auf einer schreibgeschützten Partition einzuhängen oder ein ausgeklügeltes Berechtigungssystem für Apps am Desktop sind Ansätze, denen Systeme wie Linux fleißig hinterherlaufen.

Dann gab es immer wieder jene Entscheidungen und Entwicklungen, bei denen man sich nur an den Kopf fassen konnte.

Im Pakt mit dem Teufel

Die erste Entscheidung kann man circa auf das Jahr 2018 datieren. Unter dem Druck der chinesischen Regierung beugt sich Apple, um weiter Zugang zum riesigen chinesischen Markt zu haben. Dabei geht es nicht mehr nur um die fehlende Verfügbarkeit von VPN-Apps in der chinesischen Variante des App Stores, sondern nun schwächt man die Sicherheit der iCloud für chinesische Kunden, indem man dem Staat faktisch Zugriff gewährt. Zuerst wurde nur bekannt, dass die Daten von chinesischen Kunden durch chinesische Unternehmen gehostet werden sollten. Wie du NYT aber jüngst berichtete (Artikel leider hinter einer Paywall), trat Apple auch die Kontrolle über kryptografische Schlüssel an den chinesischen Staat bzw. chinesische Unternehmen ab (was letztlich nahezu das Gleiche ist).

Damit befindet sich Apple natürlich in guter Gesellschaft. Viele Unternehmen verschließen die Augen vor den Gräueltaten der chinesischen Regierung. Man denke nur an VW und sein Werk in Xinjiang. Das beschränkt sich nicht auf Industriekonzerne. Google hätte mit dem Projekt Dragonfly eine zensierte Suchmaschine in China an den Start gebracht, wenn die chinesische Regierung sie gelassen hätte.

Ich habe dazu hier immer wenig berichtet. Schlicht, weil es Auswirkungen auf chinesische Nutzer sind, die sich nicht 1:1 auf die Welt übertragen lassen. Es ist eben kein wirkliches Problem für westliche Nutzer, wenn die Chinesen ihrem „überragenden Führer“ in die nächste Stufe des totalitären Systems folgen.

Geschwächte Verschlüsselung

Apple bietet eine hervorragende Verschlüsselung für seine Systeme macOS und iOS. Diese ist leicht einzurichten, am iPhone standardmäßig aktiv und für den Anwender mit keiner merkbaren Einschränkung verbunden. Deshalb dürften deutlich mehr Apple-Nutzer auf Verschlüsselung setzen als Windows- und Linux-Anwender.

Umso unverständlicher ist aus rationalen Überlegungen das unverschlüsselte iCloud-Backup. Dieses Backup enthält auch alle relevanten Schlüssel, wodurch es eine Hintertür zu den Informationen auf dem iPhone sein kann. Reuters berichtete 2020, dass diese fehlende Verschlüsselung kein Zufall ist, sondern auf Druck der US-Sicherheitsbehörden unterlassen wurde.

Notwendige Einschränkungen?

Apple hat mit dem iPhone bzw. iOS den Bereich Betriebssysteme für Consumer revolutioniert. Strikte Einschränkung von Nutzerrechte, Installation nur aus vertrauenswürdigen Quellen, alles keine Neuheit, aber zum ersten Mal wirklich konsequent für die Masse umgesetzt. Diesem Ansatz laufen seit dem alle anderen Hersteller mehr oder minder erfolgreich hinterher.

Diese Strategie der Einschränkungen fährt Apple seit dem konsequent weiter. Nicht alles war nur vorgeschoben. Schreibgeschützte Partitionen für das System oder Zugriffsberechtigungen für Apps – auch auf dem Desktop – sind eine kluge Sache. Das trifft auch beispielsweise für den T2 Security Chip zu. Den praktischen Einschränkungen standen nachweisbare Vorteile im Bereich der Sicherheit gegenüber.

Unter dem Deckmantel der Sicherheit nahm man aber auch Änderungen vor, die wenig dazu beitrugen, aber die Freiheit der Anwender stark beschränkten. Im letzten Herbst versuchte Apple in macOS „Big Sur“ aber auch die eigenen Programme an Netzwerkfiltern wie Little Snitch vorbei zu schleusen. Hinzu kam exorbitante Datenerhebung mittels trustd, das jedes ausgeführte Programm samt einer ordentlichen Packung Metadaten an Apple übermittelt. Nach heftiger Kritik ruderte man hier ein wenig zurück.

Der Sündenfall

Jüngst hat man dann eine Funktion angekündigt, um auf den Geräten der Anwender unliebsame Inhalte zu finden. Erst mal nur für Kinderpornografie, aber technisch gibt es keine Anti-Kinderporno-Funktion, sondern damit lassen sich zwangsläufig jedwede Inhalte aufspüren.

Ob die Funktion kommt, ist noch nicht sicher. Die mediale Kritik war enorm und Apple ist dafür bekannt, hin und wieder Rückzieher zu machen

Eine Frage der Unternehmenskultur

Letztlich ist das eine Frage der Unternehmenskultur. Wenn ein Unternehmen wirklich konsequent auf Privatsphäre und Datenschutz ausgerichtet ist und das im Unternehmen gelebt wird, dann entstehen solche Funktionen gar nicht erst. Es kommt niemand auf die Idee, so etwas vorzuschlagen und wenn doch, dann würgt bereits die mittlere Management-Ebene den Vorschlag ab. Das ist ein Grundprinzip, dass für jeden Eckpfeiler einer Unternehmenskultur gilt.

Bei Apple scheint das nicht so zu sein.

Mir sind nach längerem überlegen wirklich vor allem diese drei Problembereiche eingefallen. Was für Skandale, Probleme und Fehlentwicklungen habe ich vergessen?

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

7 Ergänzungen

  1. Man darf leider nie vergessen: Es geht hier um Geld und nicht um Wohltätigkeit. Das ist keine Entschuldigung für einige Taten, das ist die reine Realität.
    Wichtig finde ich immer (am Beispiel des Fotoscans) auch in den Dialog mit Fachleuten und Community zu gehen. Apples Idee Kinderbilder zu finden und die Leute entsprechend zu melden finde ich gut. Und auch wenn die großen Fische dieser „Szene“ nicht die iCloud nutzen werden gibt es zumindest einige Deppen und Trittbrettfahrer die man evtl. rausfischen kann.
    Die Umsetzung der Funktion ist zweifelhaft und muss stark verbessert bzw. abgeändert werden. Apple hat in der Vergangenheit gezeigt, dass man auch auf Kritik reagieren kann (hattest du in einem Kommentar im letzen Blogbeitrag zu dieser Funktion auch erwähnt). Also hoffe ich auch diesmal, dass Apple sich das nochmal überlegt und man versucht solch eine Funktion im Dialog anzupassen. Denn diese Funktion im Kern (also der reine Versuch widerliche Bilder zu finden und die Personen dahinter zu bestrafen) ist toll!
    Und auch Apple hat jetzt das Recht zu erhalten zu beweisen dass Sicherheit und Privacy nicht reine PR für sie sind und man Fehler einsieht. Denn die Realität ist ebenfalls: Die Alternativen sind entweder deutlich schlimmer oder noch nicht ausgereift.

    • „Es geht hier um Geld und nicht um Wohltätigkeit.“

      Was hat das mit der thematisierten Funktion zu tun?

      „Apples Idee Kinderbilder zu finden und die Leute entsprechend zu melden finde ich gut.“

      Nein. Ich hab bisher noch keinen Fachmann (Strafverfolgungsbehörden oder entsprechende Kinderschutzinitiativen) gefunden, die sich positiv dazu geäußert haben.

      Der Missbrauchkomex Münster hat meines Wissens nach übrigens gezeigt, dass entsprechende Straftäter überdurchschnittliches technisches Wissen haben bzw. sich intern gut austauschen.

      Die Funktion bringt schlicht keinen Mehrwert außer, dass sie eine Überwachungsinfrastruktur schafft. Ich behaupte mal, dass daraus nicht ein einziges Strafverfahren entstehen wird. Schon alleine wegen der ganzen Einschränkungen und weil die Meldungen bei den überlasteten Behörden direkt im „Apple-Spam Ordner“ landen werden.

  2. Apple ist in einem Bereich unangefochten Marktführer: Marketing
    Man kann das besonders am Greenwashing erkennen.
    Man verwende ja recycltes Aluminium wird gerne betont. Dass die Hardware kaum zu reparieren ist wird gerne verschwiegen- Und es wäre durchaus möglich wirklich etwas für den Verbraucher und den Ressourcenschutz zu unternehmen (siehe Framework Notebooks).
    Was Apple mit den Daten macht wissen nur sie selbst und Android Version 11 ist mit der App Kontrolle einen guten Schritt vorangekommen in Sachen Datensparsamkeit.

    Sicher, alle wollen nur unsere Bestes aber keiner ist so unverschämt und heuchlerisch wie Apple.

    • „und Android Version 11 ist mit der App Kontrolle einen guten Schritt vorangekommen in Sachen Datensparsamkeit.“

      Na, das musst du jetzt aber mal erklären. Wo hat sich da bei Android was getan außer Alibi-Maßnahmen, die Google nichts von seinem Datenschatz kosten?

  3. Bei den App-Berechtigungen war sicher IOS das Vorbild.
    Das bestreite ich auch gar nicht und man sieht, dass Konkurrenz guttut.
    Google selbst ist davon weniger betroffen und man muss da als Nutzer schon selbst noch tätig werden was zugegebenermaßen die wenigsten User machen werden:
    Standortverlauf deaktivieren, keine Webaktivitäten verfolgen, keine Werbe ID anlegen usw. usf.
    Natürlich kann man ohne Probleme andere Standard Apps verwenden, was bei Apple jahrelang nicht möglich war.
    Das bekommt man auch ohne Datenschutz als Hobby hin, allein die Bequemlichkeit ist die Hürde.

  4. Apples Umgang mit IT Security, bzw. Researchern halte ich für problematisch. Soweit ich es mitbekommen habe, werden denen eher Knüppel zwischen die Beine geworfen, als das man dies unterstützt.
    DRM/Vendor Lock-in/Apples Geschäftsmodell sind die führenden Treiber der Entwicklung – IT Security nur wenn es die vorgenannten Ziele unterstützt und steht Convinience eher im Weg.
    Apple muss man Sicherheitslücken links und rechts um die Ohren hauen, damit sich etwas ändert.

    Vor ‚lawfull-inspection‘ waren iOS Geräte meines Wisssens nach nie geschützt – auch nicht 2015 zum San Bernadino Anschlag. Das war eher die Unfähigkeit des FBI, der Versuch Begehrlichkeiten juristisch durchzusetzen oder eine der US Nebelkerzen (Android auch nur bis Android 9 und nur, wenn das Gerät nicht gebootet war).
    „Lawfull-inspection“ klingt ja erstmal wünschenswert…blöd nur, wenn ich nicht in einem Rechtsstaat lebe und Behörden sich einfach passende Gesetze basteln – frag mal Journalisten in Ungarn.

    Pegasus ist mMn seit Jahren erfolgreich, weil Security für Apple nachrangig ist.

    • Du wirfst für eine konsistente Argumentation zu viel durcheinander. Zwischen der FBI-Sache und Pegasus liegen ein paar Jahre und die Sachverhalte sind komplett unterschiedlich. DRM und Vendor Lock-in sind wieder ganz andere Baustellen.

      So ist das eher ein Appler-Hater-Bingo 😉

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein