- Die Forderung der britischen Regierung betrifft umfassende Zugriffsrechte auf sämtliche verschlüsselte Nutzerinhalte, die in iCloud hochgeladen wurden, und erschüttert damit über die Zusammenarbeit bei Ermittlungen eines einzelnen Landes hinaus das Sicherheitsversprechen für Nutzer weltweit
- Die Anordnung wurde als Technical Capability Notice gemäß dem Investigatory Powers Act (IPA) von 2016 übermittelt und verlangt die Schaffung einer Backdoor, über die britische Sicherheitsbehörden auf weltweit verschlüsselte Daten zugreifen können
- Für Apple könnte es schwierig werden, Nutzer darüber zu informieren, dass die stärkste Verschlüsselung möglicherweise keinen vollständigen Schutz mehr bietet; das betreffende Gesetz macht bereits die Offenlegung der Existenz einer solchen Forderung zu einer Straftat
- Apple könnte eher seine verschlüsselten Speicherdienste in Großbritannien einstellen, als seine Sicherheitszusagen zu brechen; diese Entscheidung würde jedoch britische Backdoor-Zugriffsanordnungen für Dienste in anderen Ländern, darunter den USA, nicht beseitigen
- Die Anordnung schwächt den 2022 eingeführten iCloud-Advanced Data Protection-Schutz; Apple und Sicherheitsexperten warnen, dass Backdoors auch für böswillige Akteure zu Einstiegspunkten werden
Großbritanniens geheime Forderung nach iCloud-Zugriff
- Berichten zufolge hat die britische Regierung Apple heimlich umfassende Zugriffsrechte auf alle verschlüsselten Nutzerinhalte gefordert, die in die Cloud hochgeladen wurden
- Die geheime Anordnung soll im vergangenen Monat erlassen worden sein und verlangt von Apple, eine Backdoor zu schaffen, die britischen Sicherheitsbehörden Zugriff auf weltweit verschlüsselte Nutzerdaten ermöglicht
- Diese Forderung gilt als beispiellos in einem Ausmaß, das in anderen Demokratien kaum zu finden ist
Technical Capability Notice und IPA
- Die Anordnung wurde in Form einer Technical Capability Notice der britischen Innenministerin an Apple übermittelt
- Rechtsgrundlage ist der britische Investigatory Powers Act (IPA) von 2016
- Dieses Gesetz erlaubt es Strafverfolgungsbehörden, Unternehmen zur Kooperation zu verpflichten, wenn dies zur Beweiserhebung erforderlich ist
- Kritiker bezeichnen das Gesetz seit Langem als „Snooper’s Charter“
- Ein Apple-Sprecher lehnte eine Stellungnahme dazu ab
- Auch das Innenministerium erklärte, technische Anforderungen nicht zu erörtern und die Existenz bestimmter Mitteilungen weder zu bestätigen noch zu dementieren
- Das betreffende Gesetz macht bereits die Offenlegung, dass die Regierung eine solche Forderung gestellt hat, zu einer Straftat
Einschränkungen bei Nutzerhinweisen und internationale Reichweite
- Eine mit der Situation vertraute Person geht davon aus, dass Apple auch daran gehindert würde, Nutzer zu warnen, dass Advanced Data Protection keinen vollständigen Schutz mehr bietet
- Dieselbe Person zeigte sich schockiert darüber, dass die britische Regierung von Apple Überwachung von Nicht-UK-Nutzern verlangt, ohne dass deren Regierungen davon wissen
- Ein ehemaliger Sicherheitsberater des Weißen Hauses bestätigte die Existenz der britischen Anordnung
Mögliche Reaktion von Apple und Auswirkungen auf iCloud-Funktionen
- Mit der Angelegenheit vertraute Personen halten es für wahrscheinlicher, dass Apple die Bereitstellung verschlüsselter Speicherdienste in Großbritannien einstellt, als seine Sicherheitszusagen gegenüber Nutzern zu brechen
- Eine Einstellung des Dienstes in Großbritannien hätte keine Auswirkungen auf britische Backdoor-Zugriffsanordnungen für Dienste in anderen Ländern, einschließlich der USA
- Apple hatte bereits früher erklärt, eher den Rückzug von Diensten wie FaceTime und iMessage aus Großbritannien in Betracht zu ziehen, als bei der Sicherheit Kompromisse einzugehen
- Die aktuelle Anordnung schwächt den von Apple 2022 eingeführten Advanced Data Protection-Schutz
- Diese Funktion ermöglicht es, Ende-zu-Ende-Verschlüsselung optional auf weitere iCloud-Datenkategorien wie Photos, Notes, Voice Memos, Messages-Backups und Geräte-Backups anzuwenden
- Diese Daten sind so konzipiert, dass niemand außer dem Nutzer darauf zugreifen kann, auch Apple nicht
Googles Verschlüsselung von Android-Backups
- Google verschlüsselt Backups von Android-Smartphones seit 2018 standardmäßig
- Google-Sprecher Ed Fernandez antwortete nicht direkt darauf, ob Regierungen eine Backdoor angefordert haben, deutete aber an, dass es keine Backdoor gebe
- Fernandez erklärte, Google könne selbst bei Vorliegen einer rechtlichen Anordnung nicht auf Ende-zu-Ende-verschlüsselte Backup-Daten von Android zugreifen
IPA-Änderung von 2023 und Apples bisherige Bedenken
- Der IPA wurde 2023 geändert, sodass das Innenministerium über eine Technical Capability Notice bestimmte Verschlüsselungsdienste verbieten kann
- Apple bezeichnete die damals vorgeschlagenen Änderungen als „beispiellosen Machtmissbrauch“ der Regierung
- Apple äußerte die Sorge, dass Großbritannien bei Inkrafttreten der Änderungen neue Schutzfunktionen für Nutzer weltweit heimlich ablehnen und Apple daran hindern könnte, diese Funktionen seinen Kunden anzubieten
Haltung von Apple und der Sicherheitsbranche zu Backdoors
- Apple-CEO Tim Cook hat wiederholt erklärt, dass ein Backdoor-Zugriff auf Verschlüsselung für Behörden auch „bad guys“ die Tür zum Zugriff auf Nutzerdaten öffnen könne
- Cybersecurity-Experten sind sich einig, dass es nur eine Frage der Zeit wäre, bis böswillige Akteure einen solchen Einstiegspunkt entdecken
- Apples Haltung wurde gestärkt, nachdem das Unternehmen 2016 erfolgreich gegen eine US-Anordnung gekämpft hatte, das iPhone des Schützen von San Bernardino in Kalifornien zu entsperren
Wandel der Verschlüsselungsdebatte in den USA und China zugeschriebene Eindringversuche
- US-Strafverfolgungsbehörden haben sich lange gegen Verschlüsselung gestellt, doch zuletzt wuchsen die Sorgen über groß angelegte Cyberangriffe, die mutmaßlich von staatlich unterstützten chinesischen Hackern ausgingen
- Die Angreifer drangen in große Telekommunikationsanbieter ein und konnten uneingeschränkt auf private Telefonanrufe zugreifen
- Bei einer Pressekonferenz im Dezember warnte ein Vertreter des US-Heimatschutzministeriums gemeinsam mit FBI-Vertretern davor, anzunehmen, dass klassische Telefonnetze Privatsphäre bieten
- Bei derselben Gelegenheit wurde empfohlen, wo möglich verschlüsselte Kommunikation zu nutzen
- Im selben Monat veröffentlichten FBI, NSA und CISA eine gemeinsame Empfehlung zur chinesischen Cyberkampagne und rieten dazu, Traffic im größtmöglichen Umfang Ende-zu-Ende zu verschlüsseln
Reaktion von Bürgerrechtsgruppen
- Die Datenschutzkampagnengruppe Big Brother Watch erklärte, dieser Versuch im Namen der Bekämpfung von Kriminalität und Terrorismus werde Großbritannien nicht sicherer machen
- Die Gruppe ist der Ansicht, dass der Versuch die Grundrechte und bürgerlichen Freiheiten der gesamten Bevölkerung schwächen werde
1 Kommentare
Meinungen auf Hacker News