Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iCloud und Erweiterter Datenschutz: Wann die Ende-Zu-Ende-Verschlüsselung nicht greift und wie es zu Problemen kommen kann

Anfang Dezember 2022 kündigte Apple neue Datenschutzoptionen für iCloud an. Hier setzt der Konzern bei den allermeisten iCloud-Diensten auf eine fast vollständige Ende-Zu-Ende-Verschlüsselung, bei welcher nur einige Metadaten ausgenommen sind. Bei einer Ende-Zu-Ende-Verschlüsselung verfügt der Cloud-Anbieter nicht mehr über die kryptographischen Schlüssel, um die hochgeladenen Daten auch zu entschlüsseln – diese finden sich nur noch auf den Geräten der Nutzer wieder. Kommen Hacker an die Daten auf iCloud, können diese trotzdem nicht auf diese zugreifen – denn die Hacker haben nur die verschlüsselten Daten erbeutet, nicht jedoch die kryptografischen Schlüssel zur Entschlüsselung. Selbiges gilt für Anfragen von Regierungsbehörden an Apple: Das Unternehmen händigt hier zwar die verschlüsselten Daten aus, aber nicht die Schlüssel, da der Konzern nicht im Besitz dieser ist und somit überhaupt nicht in der Lage ist, diese herauszurücken.


Die Aktivierung ist aus Nutzersicht relativ einfach – es gelten aber ein paar Voraussetzungen: Alle mit der Apple-ID verknüpften Geräte müssen mindestens iOS 16.2, macOS 13.1, watchOS 9.2 oder tvOS 16.2 einsetzen – sonst kann der erweiterte Datenschutz nicht aktiviert werden. Außerdem muss zwingend die Zwei-Faktor-Authentifizierung wie auch ein Wiederherstellungsschlüssel (oder alternativ ein Wiederherstellungskontakt) aktiviert sein. Sind die Voraussetzungen erfüllt, lässt sich die "Advanced Data Protection" binnen weniger Momente aktivieren.

Die Aktivierung führt dazu, dass iCloud die aktuellen, auf den iCloud-Servern gespeicherten kryptografischen Schlüssel "vergisst" – diese finden sich ab diesem Zeitpunkt nur noch auf den Geräten des Nutzers wieder.

Zusammenarbeit ein Problem
iCloud erlaubt es Nutzern, in diversen Apple- und Dritthersteller-Apps mit anderen Nutzern zusammenzuarbeiten. Hierzu lädt man Nutzer einfach zu einem Dokument ein und kann dies daraufhin gemeinsam bearbeiten. Auch ist es möglich, über iCloud Drive einzelne Dateien oder Ordner mit anderen iCloud-Nutzern zu teilen.

Doch hier kann es schnell dazu kommen, dass die Ende-Zu-Ende-Verschlüsselung abgeschaltet wird. Denn: Nur wenn alle Nutzer auf den erweiterten Datenschutz setzen, verbleiben die kryptografischen Schlüssel auf den Endgeräten der Nutzer. Setzt einer der eingeladenen Nutzer nicht die Advanced Data Protection ein, speichert iCloud für die freigegebenen Daten den kryptografischen Schlüssel auf den eigenen Servern. Dies bedeutet, dass hier die Ende-Zu-Ende-Verschlüsselung nicht mehr gegeben ist. Hierüber sollten sich Nutzer, die auf ein Höchstmaß an Datenschutz Wert legen, bewusst sein.

iCloud.com nur noch mit vorhandenem Apple-Gerät nutzbar
Ist der erweiterte Datenschutz aktiviert, kann Apple die Nutzerdaten nicht mehr entschlüsseln – und somit auch nicht mehr auf der iCloud.com-Webseite nach Anmeldung anzeigen. Hierfür hat Apple aber eine Vorkehrung getroffen: In den iOS- oder Mac-Einstellungen lässt sich der so genannte Webseiten-Zugriff aktivieren – und schränkt den Datenschutz nicht ein.

Meldet der Nutzer sich auf iCloud.com an, muss er hier wie gehabt seinen Nutzernamen und Passwort eingeben – gefolgt vom Zwei-Faktor-Schlüssel. Ist der erweiterte Datenschutz aktiv, kommt ein weiterer Schritt hinzu: Der Nutzer wird nach der Anmeldung auf dem iOS-Gerät aufgefordert, zu bestätigen, dass iCloud kurzzeitig die kryptografischen Schlüssel von Gerät anfordert und an den zugriefenden Web-Browser übermittelt.

Erteilte der Nutzer die Genehmigung, speichert der Web-Browser die Schlüssel, um Daten von iCloud zugreifbar zu machen. Ist jedoch gerade kein Apple-Gerät des Nutzers verfügbar, ist der Zugriff auf Daten über iCloud.com nicht möglich – selbst wenn der Zwei-Faktor-Code per SMS zugestellt und bekannt ist.

Das vorhandene Apple-Gerät des Nutzers benötigt in jedem Fall eine aktive Internet-Verbindung, sonst gelingt die Übermittlung der kryptografischen Schlüssel an iCloud.com nicht. Besteht keine aktive Internetverbindung, quittiert iCloud.com die Anmeldung leider mit einem nichtssagenden Fehler, dass der Nutzer es bitte erneut versuchen soll – und verschweigt den eigentlichen Grund.

Dritthersteller-Zugriff auf iCloud-Daten momentan eingeschränkt
Über Programmierschnittstellen namens "CloudKit Web Services" und "CloudKit JS" können Entwickler Webseiten programmieren, welche nach der Anmeldung bei iCloud den Zugriff auf Nutzerdaten im iCloud-Nutzerkonto ermöglichen.

Doch momentan scheint es hier zu Problemen zu kommen, denn es gelingt zwar die Anmeldung bei solchen Diensten – doch leider scheint es durch einen Programmierfehler seitens Apple dazu zu kommen, dass der Browser die kryptografischen Schlüssel nicht korrekt speichert und somit der Zugriff nicht möglich nicht. Nutzer werden hier meist mit nichtssagenden Fehlern konfrontiert oder der Dienst der Auffassung, der Nutzer sei gar nicht angemeldet.

Kommentare

tk69
tk6925.01.23 14:34
Mein iPad Air 2 kann ich leider nicht mehr so nutzen, wie vorher, da Apple dieses Gerät beim erweiterten Schutz ohne Abmeldung von der iCloud ausschließt. Wenn ich es weiterhin benutze wie bisher, dann kann ich auch nicht den Schutz einstellen. 🤯
Soll ich es einmotten? 🙄 Es tut doch noch seinen Dienst und ist bestens mit anderen Apple-Geräten verbunden. Außerdem könnte ich es nicht mehr über „Wo ist“ suchen, usw. 😤
0
Mendel Kucharzeck
Mendel Kucharzeck25.01.23 14:43
tk69
Musst halt eine Abwägung bezüglich Schutz deiner Daten und einer etwaigen Neuanschaffung treffen – die kann dir hier keiner abnehmen.
+9
clayman25.01.23 15:03
Hallo kurze Frage zum Zugriff via Web. Muss in den iCloud Einstellungen bei "Über das Internet Zugriff auf iCloud Daten" der Haken gesetzt sein, dass auch ein temporärer Zugriff erfolgen kann? So wie ich die Infos lese, ja.
0
Mendel Kucharzeck
Mendel Kucharzeck25.01.23 15:10
clayman
Korrekt. Das ist die Einstellung, so dass dein iPhone, iPad oder Mac die Schlüssel auf Kommando temporär herausrückt, nachdem die Anmeldung bei einem Web-Dienst erfolgte.
+5
clayman25.01.23 15:12
Danke dir!
+1
Laphroaig
Laphroaig25.01.23 15:58
tk69
Mein iPad Air 2 😤

Man kann für die Vintage-Geräte auch eine separate Apple-ID einrichten und via Familienfreigabe viele Dienste des Hauptaccounts mitbenutzen.
+4
Steph@n
Steph@n25.01.23 17:24
Trotz tvOS 16.3 kann ich den erweiterten Datenschutz nicht aktivieren.

0
Mendel Kucharzeck
Mendel Kucharzeck25.01.23 19:50
Steph@n
Starte das AppleTV einmal neu. Wenn es dann immer noch nicht die korrekte Systemversion an iCloud übermittelt hat, entferne das Gerät mal aus dem Konto und füge es dann wieder hinzu.
+3
breaker
breaker25.01.23 20:39
Stephan

Bei mir hat die Aktivierung auch erst heute Abend geklappt, einfach immer mal wieder versuchen.
0
Nebula
Nebula25.01.23 23:31
Der Nutzen der ADP ist eh fragwürdig, solange Apple die Metadaten an Regierungsstellen und Geheimdienste rausrücken kann. Inwieweit die Daten für Hacker interessant sind, kann ich nicht beurteilen, aber die genannten Stellen können aus den Metadaten meist ausreichend Infos abziehen. Sensible Daten wie die Kontakte sind zudem gar nicht gesichert. Viele Unternehme wissen gar nicht, dass Apple den gewerblichen Gebrauch von iCloud nicht gestattet.
https://www.apple.com/legal/internet-services/icloud/de/terms.html
IV. Nutzung des Dienstes durch dich

A. Dein Account

Als angemeldeter Nutzer des Dienstes musst du einen Account einrichten. Gib deine Accountinformationen nicht an Dritte weiter. Du bist alleine für die Wahrung der Vertraulichkeit und Sicherheit deines Accounts und aller Aktivitäten, die auf oder über deinen Account erfolgen, verantwortlich. Du stimmst zu, dass du Apple unverzüglich über etwaige Sicherheitsverletzungen auf deinem Account informieren wirst. Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist ...
»Wir werden alle sterben« – Albert Einstein
-4
Mendel Kucharzeck
Mendel Kucharzeck25.01.23 23:44
Nebula
Der Nutzen der ADP ist eh fragwürdig, solange Apple die Metadaten an Regierungsstellen und Geheimdienste rausrücken kann.

Hä? In den Metadaten stehen kaum interessante Infos drin. Guck mal hier:
+2
Weia
Weia26.01.23 06:38
Mendel Kucharzeck
Nebula
Der Nutzen der ADP ist eh fragwürdig, solange Apple die Metadaten an Regierungsstellen und Geheimdienste rausrücken kann.
Hä? In den Metadaten stehen kaum interessante Infos drin. Guck mal hier:
Naja, Kontakte und Kalenderereignisse würde ich jetzt nicht unbedingt als uninteressant für staatliche Stellen bezeichnen.
🦖The dinosaurs invented Jesus to test our confidence in science
-2
clayman26.01.23 06:41
Es geht doch um die Metadaten der verschlüsselten Daten. Die hält Mendel für uninteressant.

Dass Kalender und Kontakte weiterhin unverschlüsselt sind, finde ich nicht gut. Und Mendel vermutlich auch nicht, aber darum ging es in seiner Aussage ja nicht.
Weia
Mendel Kucharzeck
Nebula
Der Nutzen der ADP ist eh fragwürdig, solange Apple die Metadaten an Regierungsstellen und Geheimdienste rausrücken kann.
Hä? In den Metadaten stehen kaum interessante Infos drin. Guck mal hier:
Naja, Kontakte und Kalenderereignisse würde ich jetzt nicht unbedingt als uninteressant für staatliche Stellen bezeichnen.
+2
Weia
Weia26.01.23 06:47
clayman
Es geht doch um die Metadaten der verschlüsselten Daten.
Schon klar, zu diesen Metadaten gehören aber eben die Schlüssel, mit denen die Daten entschlüsselt werden können. Die verlinkte Tabelle listet explizit auf, dass bei Kontakten und Kalendern der private Schlüssel bei Apple gespeichert ist.
🦖The dinosaurs invented Jesus to test our confidence in science
-2
clayman26.01.23 09:18
Ja Kontakte Kalender und Mail fallen nicht unter ADP was schade ist.

Aber die Aussage war, dass der ADP nix bringt weil die Metadaten der unter ADP fallenden Daten nicht verschlüsselt sind. Und die Aussage finde ich Quatsch.
Weia
clayman
Es geht doch um die Metadaten der verschlüsselten Daten.
Schon klar, zu diesen Metadaten gehören aber eben die Schlüssel, mit denen die Daten entschlüsselt werden können. Die verlinkte Tabelle listet explizit auf, dass bei Kontakten und Kalendern der private Schlüssel bei Apple gespeichert ist.
+2
Weia
Weia26.01.23 09:24
clayman
Ja Kontakte Kalender und Mail fallen nicht unter ADP was schade ist.

Aber die Aussage war, dass der ADP nix bringt weil die Metadaten der unter ADP fallenden Daten nicht verschlüsselt sind. Und die Aussage finde ich Quatsch.
Aber die privaten Schlüssel sind die Metadaten. Was denn sonst noch bei Kontakten und Kalendern?
🦖The dinosaurs invented Jesus to test our confidence in science
-3
clayman26.01.23 09:37
Es geht doch überhaupt nicht um die Punkte Kontakte Kalender oder Mail. Nicht Thema der Diskussion.

Es geht um die Punkte die unter ADP fallen und dort sehe ich die Metadaten die nicht Ende zu Ende verschlüsselt sind unkritisch.
Weia
clayman
Ja Kontakte Kalender und Mail fallen nicht unter ADP was schade ist.

Aber die Aussage war, dass der ADP nix bringt weil die Metadaten der unter ADP fallenden Daten nicht verschlüsselt sind. Und die Aussage finde ich Quatsch.
Aber die privaten Schlüssel sind die Metadaten. Was denn sonst noch bei Kontakten und Kalendern?
+1
Nebula
Nebula26.01.23 09:55
Mir ging es um Metadaten wie Dateiname, Änderungsdatum, Dateigröße, App-Liste, Checksummen. Im Zweifel reichen die Infos, um bspw. zu erfahren, ob jemand eine bestimmte Datei besitzt. Natürlich ist ADP besser als nix, aber eben keine Vollverschlüsselung. Mir ist auch klar, dass das in einem möglichst einfachen zu benutzenden Sync-Umfeld technisch notwendig ist, ein Minimum an Daten sichtbar zu haben.
»Wir werden alle sterben« – Albert Einstein
+1
Weia
Weia26.01.23 09:58
clayman
Es geht doch überhaupt nicht um die Punkte Kontakte Kalender oder Mail. Nicht Thema der Diskussion.
Sorry, ich war gedanklich irgendwo falsch abgebogen. Mein Fehler.
🦖The dinosaurs invented Jesus to test our confidence in science
+2
clayman26.01.23 10:07
Kein Thema
Weia
clayman
Es geht doch überhaupt nicht um die Punkte Kontakte Kalender oder Mail. Nicht Thema der Diskussion.
Sorry, ich war gedanklich irgendwo falsch abgebogen. Mein Fehler.
0
clayman26.01.23 10:07
Lt. Apple wollen sie da ja auch noch besser werden. Mal abwarten.

Nebula
Mir ging es um Metadaten wie Dateiname, Änderungsdatum, Dateigröße, App-Liste, Checksummen. Im Zweifel reichen die Infos, um bspw. zu erfahren, ob jemand eine bestimmte Datei besitzt. Natürlich ist ADP besser als nix, aber eben keine Vollverschlüsselung. Mir ist auch klar, dass das in einem möglichst einfachen zu benutzenden Sync-Umfeld technisch notwendig ist, ein Minimum an Daten sichtbar zu haben.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.