Die vor einem Monat von Apple angekündigte Ende-zu-Ende-Verschlüsselung für die iCloud ist nicht so toll wie erwartet: Der Konzern behält eine Art Schlüssel für zentrale Metadaten in den eigenen Händen.
Apple hatte angekündigt, im Jahr 2023 die Ende-zu-Ende-Verschlüsselung für die iCloud einzurichten – und damit auf den eigenen Generalschlüssel für diese Daten zu verzichten. Auf Verlangen der US-Ermittlungsbehörden hatte das Unternehmen diesen Schlüssel bereits herausrücken müssen.
Doch mittlerweile wird deutlich: Apple behält einen Nachschlüssel für zentrale Metadaten in den eigenen Händen. Das sind – unter anderem – die Dateinamen, eine Checksumme (ein digitaler Fingerabdruck der Dateiinhalte), Dateigröße und Dateityp sowie Erstellungs- und Öffnungszeiten von Daten in der iCloud.
"Zentrale Metadaten sollen laut Apple nur mit der Standardverschlüsselung verschlüsselt werden."
All diese Metadaten sollen laut einer aktuellen Dokumentation des Konzerns nur mit der alten Standardverschlüsselung verschlüsselt werden und nicht mit dem neuen erweiterten Datenschutz ADP (Advanced Data Protection). Apple könnte die nur standard-verschlüsselten Daten wie bislang auf Verlangen an Behörden weitergeben.
Metadaten hilfreich für Behörden
Der Nutzen von Metadaten wird immer wieder unterschätzt, sagt Michael Gessat. Sie sind zum Beispiel aufschlussreich für Behörden und Geheimdienste. Bei Kommunikationsdaten können diese damit zum Beispiel nachvollziehen, wer wann mit wem kommuniziert hat. Zudem können die Behörden damit erkennen können, ob ein(e) User*in eine bestimmte Datei, die den Behörden bekannt ist, in ihrer iCloud haben.
Angeblich will Apple damit nur Speicherplatz einsparen und die Cloud-Funktion optimieren – und zwar, indem es anhand der Metadaten Dateidubletten erkennt. Das ist in der Tat ein verbreitetes Verfahren, erklärt Michael Gessat. Wenn nämlich Millionen User*innen einen Cloudspeicher benutzen, dann laden viele von ihnen identische Dateien hoch, zum Beispiel populäre Fotos oder Videoclips.
"Ob Apple für die sogenannte De-Duplizierung tatsächlich alle genannten Metadaten braucht, wird von Kritikern bezweifelt."
Und anstatt eben hunderttausendmal das gleiche Video eines Taylor-Swift-Konzerts mit jeweils 700 MB Dateiumfang separat zu speichern, speichert ein Clouddienst diese Datei nur einmal. Für alle erkannten Dubletten wird lediglich ein Verweis auf diese eine Datei eingetragen. Ob Apple für diese sogenannte De-Duplizierung aber tatsächlich alle genannten Metadaten braucht, wird von Kritiker*innen bezweifelt.
Weitere Gründe für den Nachschlüssel?
Zu dem Eindruck, dass es auch noch andere Gründe für die Privacy-Einschränkung geben könnte, tragen auch einigermaßen merkwürdige Formulierungen von Apple bei, sagt unser Netzreporter. Apple setze sich dafür ein, heißt es, "dass mehr Daten, einschließlich dieser Art von Metadaten, Ende-zu-Ende-verschlüsselt werden, wenn Advanced Data Protection aktiviert ist". Warum macht ihr es dann nicht einfach, fragt sich Michael Gessat.
Entweder stellt Apple die Speicherplatzeinsparung – und damit finanzielle Aspekte – über die Privacy seiner Kund*innen. Oder – das ist aber wohlgemerkt nur eine Spekulation unseres Netzreporters – die US-Behörden machen Druck. Nach der Ankündigung der Advanced Data Protection hatte sich das FBI beklagt, damit würden Ermittlungen erschwert oder sogar unmöglich gemacht.