Apple plant neues Verschlüsselungssystem, um Hacker abzuwehren und iCloud-Daten zu schützen

Während Apple in der Vergangenheit darauf aufmerksam gemacht hat, dass es Behörden wie dem Federal Bureau of Investigation nicht helfen konnte, auf Daten auf seinen verschlüsselten iPhones zuzugreifen, konnte es einen Großteil der in iCloud-Backups gespeicherten Daten auf eine gültige rechtliche Anfrage hin bereitstellen. Im vergangenen Jahr hat es nach Angaben des Unternehmens auf Tausende solcher Anfragen in den USA geantwortet.

Mit diesen neuen Sicherheitsverbesserungen wäre Apple technisch nicht mehr in der Lage, bestimmten Anfragen von Strafverfolgungsbehörden nachzukommen, z. B. für iCloud-Backups – die Chatprotokolle und Anhänge von iMessage enthalten könnten und in vielen Ermittlungen verwendet wurden.

Das Unternehmen sagte, die Sicherheitsverbesserungen, die am Mittwoch angekündigt wurden, sollen Apple-Kunden vor den raffiniertesten Angreifern schützen.

„Da Kunden immer mehr ihrer persönlichen Informationen aus ihrem Leben in ihre Geräte gesteckt haben, werden diese immer mehr zum Gegenstand von Angriffen durch fortschrittliche Akteure“, sagte Craig Federighi, Senior Vice President of Software Engineering von Apple, in einem Interview. Einige dieser Akteure unternehmen große Anstrengungen, um an die privaten Informationen von Personen zu gelangen, auf die sie abzielen, sagte er.

Das FBI sagte, es sei „zutiefst besorgt über die Bedrohung durch End-to-End- und User-Only-Access-Verschlüsselung“, so eine Erklärung einer Agentursprecherin. „Dies behindert unsere Fähigkeit, das amerikanische Volk vor kriminellen Handlungen zu schützen, die von Cyberangriffen und Gewalt gegen Kinder bis hin zu Drogenhandel, organisierter Kriminalität und Terrorismus reichen“, heißt es in der Erklärung. Das FBI und die Strafverfolgungsbehörden brauchen „rechtmäßigen Zugang durch Design“, hieß es.

Ein Sprecher des Justizministeriums lehnte eine Stellungnahme ab.

Ehemalige westliche Strafverfolgungs- und Geheimdienstbeamte sagten, sie seien von Apples Entscheidung teilweise überrascht, weil das Unternehmen in der Vergangenheit darauf verzichtet habe, solche Verschlüsselungseinstellungen für iCloud einzuführen. Die Beamten sagten, Apple würde Behörden manchmal auf die iCloud als mögliches Mittel zum Sammeln von Informationen hinweisen, die für strafrechtliche Ermittlungen nützlich sein könnten.

Ciaran Martin, ehemaliger Leiter des britischen National Cyber ​​Security Centre, sagte, die Ankündigung von Apple könne rechtliche Komplikationen für das Unternehmen in mehreren Demokratien mit sich bringen, die in den letzten Jahren Beschränkungen für Technologien eingeführt oder abgewogen haben, die nicht auf Forderungen der Strafverfolgung reagieren können .

„Die Dinge werden erst klarer, wenn weitere technische Details gegeben werden“, sagte Herr Martin. „Aber auf den ersten Blick scheint die bestehende Gesetzgebung in Australien und die drohende Gesetzgebung in Großbritannien diesen Regierungen die Befugnis zu geben, Apple in diesen Ländern effektiv zu sagen, dies nicht zu tun.“

Letztes Jahr hat Apple eine Software für das iPhone vorgeschlagen, die Material über sexuellen Missbrauch von Kindern auf dem iPhone identifizieren würde. Apple sagt jetzt, dass es die Entwicklung des Systems eingestellt hat, nachdem es Kritik von Datenschutz- und Sicherheitsforschern gegeben hatte, die befürchteten, dass die Software von Regierungen oder Hackern missbraucht werden könnte, um Zugang zu sensiblen Informationen auf dem Telefon zu erhalten.

Herr Federighi sagte, Apples Fokus im Zusammenhang mit dem Schutz von Kindern liege auf Bereichen wie der Kommunikation und der Bereitstellung von Tools für Eltern zum Schutz von Kindern in iMessage. „Sexueller Missbrauch von Kindern kann verhindert werden, bevor er auftritt“, sagte er. „Hier setzen wir unsere Energie für die Zukunft ein.“

Apple hat im Dezember 2021 eine Funktion namens „Kommunikationssicherheit“ in Nachrichten veröffentlicht, die Tools für Eltern bietet, die ihre Kinder warnen, wenn sie Fotos erhalten oder versuchen, Fotos zu senden, die Nacktheit enthalten. Die Option ist Teil der Kindersicherungssoftware „Screen Time“ von Apple.

Das neue Verschlüsselungssystem, das ab Mittwoch von frühen Benutzern getestet werden soll, wird bis Ende des Jahres als Option in den USA eingeführt und dann 2023 weltweit, einschließlich China, sagte Herr Federighi.

„Diese Entwicklung wird im In- und Ausland Fragen aufwerfen, einschließlich der Frage, ob die chinesische Regierung wirklich einen Verlust des Datenzugriffs akzeptieren wird“, sagte Sumon Dantiki, ein ehemaliger hochrangiger Beamter des FBI und des Justizministeriums, der an Cyber-Ermittlungen gearbeitet hat und jetzt Partner bei ist die Anwaltskanzlei King & Spalding. US-Beamte weisen seit langem auf Chinas zunehmend strengere Forderungen nach Zugang zu Daten über Unternehmen hin, die als nationale Sicherheitsbedenken innerhalb seiner Grenzen tätig sind.

Zusätzlich zu Advanced Data Protection modifiziert Apple auch seine Nachrichten-App, um das Ausspionieren von Nachrichten zu erschweren, und ermöglicht es Benutzern jetzt, sich mit hardwarebasierten Sicherheitsschlüsseln anderer Unternehmen wie z Yubico.

Datenschutzgruppen fordern Apple seit langem auf, die Verschlüsselung auf seinen Cloud-Servern zu verstärken. Da die Verschlüsselungsschlüssel von Advanced Protection jedoch von Benutzern kontrolliert werden, schränkt das System die Fähigkeit von Apple ein, verlorene Daten wiederherzustellen.

Um Advanced Data Protection einzurichten, müssen Benutzer mindestens eine Datenwiederherstellungsmethode aktivieren. Dies könnte ein Wiederherstellungsschlüssel sein – eine lange Liste von Zahlen und Zeichen, die Benutzer ausdrucken und an einem sicheren Ort speichern können – oder der Benutzer könnte einen Freund oder ein Familienmitglied als Wiederherstellungskontakt zuweisen.

In den letzten zwei Jahrzehnten haben Unternehmen und Verbraucher einen Großteil ihrer Daten von Computersystemen, die sie kontrollieren, in die Cloud verschoben – Rechenzentren voller Server, die von großen Technologieunternehmen betrieben werden. Dieser Trend hat diese Cloud-Systeme zu einem attraktiven Ziel für Cyber-Eindringlinge gemacht.

Herr Federighi sagte, Apple wisse nicht, dass Hacker Kundendaten aus iCloud entwendeten, aber dass das erweiterte Schutzsystem ihnen die Sache erschweren werde. „Wir alle in der Branche, die Kundendaten verwalten, werden ständig von Unternehmen angegriffen, die versuchen, in unsere Systeme einzudringen“, sagte er. „Wir müssen künftigen Angriffen mit neuen Schutzmaßnahmen einen Schritt voraus sein.“

Da Apple seine Systeme gesperrt hat, interessieren sich Regierungen weltweit zunehmend für die auf Telefonen und Cloud-Computern gespeicherten Daten. Dieses Interesse hat zu Reibereien zwischen Apple und den Strafverfolgungsbehörden geführt, zusammen mit einem wachsenden Markt für iPhone-Hacking-Tools. Im Jahr 2020 drängte Generalstaatsanwalt William Barr Apple, die Verschlüsselung des iPhones zu knacken, um bei einer terroristischen Untersuchung einer Schießerei zu helfen, bei der drei Menschen auf einem Marinestützpunkt in Florida getötet wurden.

Advanced Protection reduziert die Menge an iCloud-Informationen, die Apple Strafverfolgungsbehörden zur Verfügung stellen kann, die im Rahmen ihrer Ermittlungen häufig iPhone-Daten von Apple anfordern. Apple hat in den ersten sechs Monaten des Jahres 2021, dem letzten Zeitraum, für den das Unternehmen Informationen bereitgestellt hat, Auskunftsersuchen zu 7.122 Apple-Konten von US-Behörden erhalten.

Apple hatte bereits für einige seiner Dienste eine Ende-zu-Ende-Verschlüsselung angeboten, aber der Schutz wird sich nun auf 23 Dienste erstrecken, darunter iPhone-Backups und Fotos. Drei Dienste – Mail, Kontakte und Kalender – qualifizieren sich jedoch nicht für den erweiterten Schutz, da sie ältere Technologieprotokolle verwenden, sagte Herr Federighi.

Herr Federighi sagte, Apple glaube, dass es die gleiche Mission wie die Strafverfolgungsbehörden und Regierungen habe: die Sicherheit der Menschen zu gewährleisten. Wenn vertrauliche Informationen in die Hände eines Angreifers, eines ausländischen Gegners oder eines anderen schlechten Schauspielers gelangen, könnte dies katastrophal sein, sagte er.

„Wir geben Benutzern die Möglichkeit, diesen Schlüssel nur auf ihren Geräten zu behalten, was bedeutet, dass es für sie Unsinn wäre, selbst wenn ein Angreifer erfolgreich in die Cloud eindringen und auf all diese Daten zugreifen würde“, sagte Herr Federighi. “Ihnen würde der Schlüssel fehlen, um es zu entschlüsseln.”