- Die britische Regierung fordert erneut die Einführung einer Hintertür in Apples verschlüsseltem Backup-Dienst
- Die Forderung ist nun zwar auf britische Nutzer beschränkt, an der grundsätzlichen Gefährlichkeit ändert das jedoch nichts
- Apple entschied sich statt einer Hintertür dafür, die Funktion Advanced Data Protection im Vereinigten Königreich zu entfernen
- Die staatliche Forderung nach einer Hintertür verletzt die Sicherheit und Privatsphäre aller Nutzer und erhöht das Risiko von Angriffen
- Solche Maßnahmen schaffen einen internationalen Präzedenzfall und führen zu Problemen bei der Verletzung grundlegender Menschenrechte
Großbritanniens Versuch, eine Hintertür in Apples Verschlüsselung einzuführen
Laut einem Bericht der Financial Times hat die britische Regierung Apple kürzlich erneut aufgefordert, eine Hintertür in den verschlüsselten Backup-Dienst einzubauen. Der Unterschied zu früher besteht darin, dass diese Forderung diesmal nur für britische Nutzer gelten soll, doch an der grundsätzlichen Schwere des Problems ändert das nichts.
„Technical Capability Notice (TCN)“ und die rechtliche Grundlage
Die aktuelle Forderung der britischen Regierung stützt sich auf die Befugnis einer „Technical Capability Notice (TCN)” nach dem Investigatory Powers Act.
Schon bei der Einführung dieses Gesetzes wurde darauf hingewiesen, dass es missbraucht werden könnte, um die Überwachung von Nutzern großer Technologieunternehmen wie Apple zu verlangen.
Aussetzung von Advanced Data Protection
Im Januar dieses Jahres sah sich Apple durch die Ausstellung einer TCN durch die britische Regierung in der Lage, entweder eine Verschlüsselungs-Hintertür zu schaffen oder Advanced Data Protection (eine Funktion mit vollständiger Ende-zu-Ende-Verschlüsselung) im Vereinigten Königreich zu deaktivieren.
Apple lehnte die Einführung einer Hintertür ab und entschied sich stattdessen dafür, die Funktion im Vereinigten Königreich zu entfernen.
Änderung des Umfangs der Forderung und ihre Auswirkungen
Die ursprüngliche Anordnung betraf die Daten aller Apple-Nutzer, doch laut US-Geheimdienstbehörden im August habe Großbritannien diese Forderung zurückgezogen.
Der Grund, warum Apple die Funktion dennoch nicht wieder eingeführt hat, war jedoch, dass der Inhalt tatsächlich geändert wurde, indem der Geltungsbereich auf britische Nutzer beschränkt wurde.
Bedrohung für Sicherheit und Menschenrechte
Dass die Regierung wiederholt Hintertüren fordert, schwächt die Sicherheit und Freiheit britischer Nutzer.
Selbst Hintertüren, die für Regierung und Strafverfolgungsbehörden gedacht sind, führen letztlich zu größeren Sicherheitsrisiken wie Hacking, Identitätsdiebstahl und Betrug.
Zudem wird darauf hingewiesen, dass solche Forderungen einen gefährlichen Präzedenzfall schaffen könnten, der sich auf Unternehmen insgesamt ausweitet und ähnliche Forderungen autoritärer Regierungen nach sich zieht.
Zusätzliche Sorgen entstanden, nachdem die britische Regierung kürzlich ein verpflichtendes digitales Identitätssystem eingeführt hatte und kurz darauf eine Kontroverse um den Zugriff auf die zugehörigen Server aufkam.
Weitere Entwicklung und Rechtefrage
Die Anhörung in dem damit verbundenen Verfahren war ursprünglich für Januar 2026 angesetzt, doch durch die Änderung dieser Anordnung könnten sich auch die juristischen Abläufe verändern.
Apple vertritt weiterhin die Position, solche Forderungen nach Hintertüren konsequent zurückzuweisen.
Versuche, die Ende-zu-Ende-Verschlüsselung für ein bestimmtes Land zu schwächen, führen letztlich zu Eingriffen in die Privatsphäre und zur Verletzung grundlegender Menschenrechte aller Nutzer.
2 Kommentare
Bitter zu sehen, dass das keine Angelegenheit ist, die nur andere betrifft. Auch bei uns kommt wegen des Links-rechts-Streits keine echte gesellschaftliche Debatte zustande, und auf die Dummheiten der Politiker wird nicht angemessen reagiert.
Hacker-News-Kommentare
Es wird gefragt, was genau „UK-Nutzer“ bedeutet, ob damit Nutzer gemeint sind, deren App Store auf Großbritannien eingestellt ist oder die ein britisches Zahlungsmittel verwenden. Außerdem wird gefragt, ob ein US-Bürger, der in Großbritannien lebt, Apple wegen Vertragsbruchs vor einem US-Gericht verklagen könnte. Ebenso ist unklar, wie Advanced Data Protection (im Folgenden ADP) ohne ausdrückliche Zustimmung deaktiviert werden könnte. Um bestehende Daten zu entschlüsseln, müsste der Nutzer den geheimen Schlüssel selbst bereitstellen, daher erscheint das ohne Zustimmung schwierig. Es wird auch spekuliert, ob das iPhone vielleicht über mehrere Stunden das gesamte iCloud-Archiv auf dem Gerät entschlüsselt und dann unverschlüsselt wieder hochlädt.
Falls so etwas passiert, ist es wahrscheinlich eher so, dass das Telefon den geheimen Schlüssel direkt an Apple sendet.
Dass auch US-Bürger mit Wohnsitz in Großbritannien dem britischen Recht unterliegen, erscheint naheliegend. Was die Deaktivierung von ADP betrifft, wird an frühere Diskussionen erinnert, wonach der Schlüssel nur auf dem Gerät des Nutzers liegt und Apple keinen Zugriff hat, sodass es keine Möglichkeit gab, ADP zu deaktivieren, ohne die Daten zu verlieren. Wegen dieses Risikos wurde ADP früher einmal bewusst deaktiviert.
In Großbritannien kann die Polizei Bürger zwingen, das Passwort ihres Mobiltelefons herauszugeben, und bei Verweigerung droht sogar eine Haftstrafe. Dadurch, dass Apple verschlüsselte Cloud-Dienste aufgibt, nähert man sich immer mehr einer Realität wie in 1984. In Frankreich wollte man ebenfalls Hintertüren für verschlüsselte Messenger wie Signal und WhatsApp verpflichtend machen, was jedoch nicht beschlossen wurde. Leider spüren gewöhnliche Menschen die Bedeutung von Privatsphäre oft nicht besonders stark. Es fehlt, so der Eindruck, an Bildung darüber, dass Demokratie und Freiheit bei der Privatsphäre beginnen. Im Schulunterricht zu Staatsbürgerkunde werde nur vermittelt, wie politische Institutionen funktionieren, nicht aber, was Freiheit ist, wie leicht man sie verlieren kann und wie man sie erringen kann.
Schon Apples Cloud selbst, also die Praxis, die Daten vieler Menschen gemeinsam auf dem Computer eines anderen zu speichern, sei von Anfang an ein großes Problem gewesen. Dazu wird oft der Satz zitiert: „Die Cloud = der Computer von jemand anderem“.
Es wird eine Quelle dafür verlangt, dass britische Bürger gezwungen werden können, ihre Passwörter herauszugeben.
Angesichts solcher übergriffigen Eingriffe des Staates ist die wichtigste Tatsache, dass es dafür keinerlei zustimmende demokratische öffentliche Meinung gibt. Es ist Zeitverschwendung, sich bei der Frage, warum solche Angriffe immer wieder stattfinden, nur an Rationalität festzuhalten. Wirklich wichtig sei herauszufinden, warum sie diese Befugnisse verlangen, wer sie eingefordert hat und weshalb sie eine Sonderbehandlung verdienen sollten. Politiker wie Starmer hätten an solchen Themen in Wirklichkeit kein echtes Interesse. Man müsse nachverfolgen, wer sie dazu bewegt, Werkzeuge zu schaffen, die die Demokratie aushebeln, und zuerst herausfinden, wer den ursprünglichen Gesetzentwurf tatsächlich geschrieben hat — nicht welcher Abgeordnete ihn eingebracht hat, sondern welche Mitarbeiter oder Netzwerke dahinterstehen.
Es wird gesagt, dass immer nur „die anderen“ beschuldigt werden, wenn Regierungen zu weit gehen.
Hinter all dem stünden offensichtlich die Sicherheitsbehörden. Seit Jahrzehnten wiederholten sich dieselben Medienkampagnen, früher in Boulevardzeitungen, heute online. Auch die Kontroverse um den OSA (Official Secrets Act) sei ähnlich. Es gebe unlogische Artikel, Artikel ohne echte Quellen, und die Öffentlichkeit sei gleichgültig, weil innerhalb des Staates zahllose Interessengruppen existieren. Oft arbeiteten Beamte mit den Medien zusammen, streuten Informationen oder platzierten sogar gezielt Artikel gegen ihre eigenen Minister. Gewählte Politiker hätten keine Möglichkeit, diese Lage zu ändern.
Als Einwohner Großbritanniens wird gehofft, dass Apple die überzogenen Forderungen der Regierung zurückweist. Statt wie in China nachzugeben, wäre es besser, sich ganz aus dem britischen Markt zurückzuziehen.
Wenn man erwartet, dass ein Multi-Billionen-Dollar-Konzern politische Konflikte stellvertretend ausficht, ist das eine falsche Erwartung. Letztlich wählen die Bürger die Regierung, und diese legt die Politik fest — oder man kommt zu dem Schluss, dass die Regierung überhaupt keine Legitimität besitzt und das System geändert werden muss.
Ein CEO kann nicht für unzählige Kunden ins Gefängnis gehen. Es bleiben nur zwei Möglichkeiten: Entweder das Gesetz steht auf Seiten der Regierung, oder man vertraut Unternehmen solche Daten gar nicht erst an.
Wenn man hofft, dass Apple sich den Forderungen der Regierung widersetzt, sollte man bedenken, dass im vergangenen Jahr tatsächlich die US-Regierung Druck auf Großbritannien ausgeübt hat, damit die Sicherheit von US-Bürgern nicht geschwächt wird. Es wird gehofft, dass Apple wirklich Widerstand leistet, aber nach früheren Beispielen ist eher zu erwarten, dass es bei einer kurzen Stellungnahme im offiziellen Blog bleibt.
Ein Rückzug aus dem britischen Markt hätte für das Unternehmen nur wenig praktischen Nutzen. Apple ist schließlich auch das Unternehmen, das bei der chinesischen Überwachung bereitwillig kooperiert und damit enorme Gewinne erzielt hat.
Wenn ein OEM über OTA-Updates eine Hintertür einbauen kann, dann liegt das Problem letztlich an unseren Gewohnheiten im Umgang mit Software. Solange wir von Geräten keine echte Überprüfbarkeit und Verantwortlichkeit verlangen, sind solche Top-down-Angriffe nicht aufzuhalten. Großbritannien zu beschimpfen ist keine grundlegende Lösung; vielmehr zeigt dies, wie gefährlich es ist, Black Boxes blind zu vertrauen.
Tatsächlich „besitzen“ wir die Geräte nicht einmal, sondern haben nur eine Lizenz und nicht einmal root-Rechte. Stallman und andere hätten schon vor langer Zeit vor genau dieser Entwicklung gewarnt, seien aber als „paranoid“ abgetan worden. Schon mit dem Aufkommen der Smartphones sei klar gewesen, dass es in diese Richtung gehen würde.
Wenn Unternehmen auf per trusted computing gesperrten Geräten OTA-Updates einspielen können, ist das keine Hintertür, sondern eine vollständig offene Vordertür. Das sei der Grund, warum politisches Handeln als sinnlos betrachtet werde. Nutzer hätten ohnehin nie eine Möglichkeit zu wissen, ob Apple und die britische Regierung bereits zusammenarbeiten.
Wenn das Vorhaben erfolgreich umgesetzt wird, werden wir es wahrscheinlich gar nicht bemerken.
Dass das Thema jetzt wieder aufgetaucht ist, liegt daran, dass die vorige Berichterstattung sehr mangelhaft war. Großbritannien hat seine Forderung nach Zugriff auf die Daten aller Nutzer unter dem Druck der US-Regierung zurückgenommen, die Forderung nach Zugriff auf die Daten britischer Nutzer jedoch nie zurückgezogen.
Heutzutage beschäftigen sich alle in den sozialen Medien nur noch mit Trump-bezogenen Themen und ignorieren die wirklich merkwürdigen Dinge, die in Großbritannien passieren. Dazu gehören zum Beispiel Verhaftungen wegen sprachlicher Äußerungen im Internet. Vor 20 Jahren wären solche Vorfälle auf Slashdot und ähnlichen Seiten täglich Thema gewesen, heute ist das Interesse der Menschen deutlich geringer.
Im Artikel heißt es, Apple habe die betreffende Funktion in Großbritannien entfernt, aber es bleibt die Frage, auf welche Datenzugriffe die britische Regierung tatsächlich abzielt.
ADP ist die Funktion, bei der Apple die kryptografischen Schlüssel nicht besitzt. Nun scheint Großbritannien zu verlangen, dass Apple verschlüsselte iPhone-Backup-Daten entschlüsseln kann, also wiederherstellbare Backups, die auch Gerätepasswörter, persönliche Informationen und Ähnliches enthalten. Bei Daten, die nicht unter ADP fallen, kann Apple ohnehin entschlüsseln, und genau darauf scheint man abzuzielen.
Für Nutzer, die diese Funktion vor dem Verbot bereits aktiviert hatten, bleibt ADP weiterhin bestehen. Die britische Regierung könnte es also auf Informationen solcher Bestandsnutzer abgesehen haben.
Die zugehörige Diskussion wird unter diesem Link fortgesetzt.