Der von Edward Snowden ins Rollen gebrachte NSA-Skandal hat hohe Wellen geschlagen und auch Apple in den Verruf gebracht, den amerikanischen Behörden Zugriff auf Benutzerdaten zu gewähren. Seither hat man sich in Cupertino um soviel Transparenz in dieser Angelegenheit wie möglich bemüht. Erst in der vergangenen Woche veröffentlichte Apple
Richtlinien, wie man künftig mit derlei Anfragen der amerikanischen Sicherheitsbehörden umgehen werde. Inzwischen hat sich hierzu die Datenschutzorganisation
Electronic Frontier (EFF) zu Wort gemeldet und Apple in seinem Bericht mit dem Titel "Who has your Back?" in allen sechs bewerteten Karegorien mit der Bestnote von 6 Sternen ausgezeichnet. Allerdings ist Apple hier nicht allein. Die aufgekommene Diskussion hat offenbar auch bei anderen Unternehmen die volle Punktzahl. Adobe und Amazon schnitten mit 3 Punkten, bzw. 2 Punkte deutlich schlechter ab.
Als Apple vergangene Woche einigermaßen überraschend iOS 7.0.6 veröffentlichte und dabei in den Releasenotes angab, mit der Aktualisierung "ein Problem beim Überprüfen der SSL-Verbindung" zu beheben, war man zunächst von einer einfachen Sicherheitsaktualisierung ausgegangen. Inzwischen schlägt das Thema aber um einiges höhere Wellen. So hat Apple gegenüber Reuters inzwischen erklärt, dass von demselben Problem auch OS X in seiner aktuellen Version betroffen sei: "We are aware of this issue and already have a software fix that will be released very soon." In Anbetracht der Tatsache, dass sich OS X 10.9.2 bereits seit einiger Zeit in der Betaphase befindet, darf damit wohl getrost von einer Veröffentlichung in der kommenden Woche ausgegangen werden. Das Problem betrifft lediglich Safari. Nutzt man einen anderen Browser, wie beispielsweise Firefox, ist man auf der sicheren Seite. Um zu überprüfen, ob man selbst betroffen ist, kann man die Webseite gotofail.com in Safari unter OS X aufrufen und bekommt entsprechende Auskunft. Ich rate allerdings von der Installation irgendwelcher nicht von Apple bereitgesteller Patches ab und empfehle stattdessen bis zur Behebung des Problems die Benutzung eines alternativen Browsers.
UPDATE: Inzwischen hat sich herausgestellt, dass nicht nur Safari von dem TLS/SSL-Bug betroffen ist, sondern auch andere Apps, die unter OS X verschlüsselte Verbindungen aufbauen. So z.B. iMessage, FaceTime, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und weitere Anwendungen. Es wird also Zeit, dass Apple das Problem möglichst kurzfristig behebt.
"In iOS gepatchter SSL-Bug besteht auch unter OS X - Wusste die NSA Bescheid? [UPDATE]" vollständig lesen
Edward Snowden und seine Enthüllungen über Abhöraktionen und Datensammlungen der US-Geheimdienstbehörden werden uns wohl auch noch in diesem Jahr weiter beschäftigen. Aktuell macht ein neuer Bericht des Guardian die Runde, wonach auch Nutzer-Daten aus Smartphone-Apps abgegriffen werden. Dabei macht sich die NSA vor allem die oftmals unzureichende oder gar nicht vorhandene Verschlüsselung von über das Internet übertragenen Daten zunutze. Hierdurch ist es auch nicht notwendig, Apps oder Betriebssysteme zu manipulieren oder auf Server zuzugreifen. Der bloße Datentransfer wird mitgeschnitten. Prinzipiell also nichts, was nicht auch schon vorher bekannt war. Interessant ist aber, dass dabei offenbar vor allem der Datenverkehr aus Anfragen über die Google Maps-App von großem Interesse für die Geheimdienste ist. Das zugehörige Dokument stammt aus dem Jahr 2008, so dass nicht klar ist, ob dem heute noch immer so ist, oder ob Google hier inzwischen nachgebessert hat. Auch Apples mit iOS 6 eingeführte Karten-App wird nicht erwähnt. Neben den Anfragen über die Maps-App interessieren sich die Datensammler auch für Fotos, die auf soziale Netzwerke hochgeladen werden, sowie für Daten, die von beliebten AppStore-Spielen übertragen werden. Als eines der Beispiele wird dabei Angry Birds genannt. Deren Entwickler Rovio hat sich inzwischen in einem Blogbeitrag zu Wort gemeldet und jede Zusammenarbeit mit den Geheimdienstbehörden bestritten. Stattdessen seien vermutlich Werbeeinblendungen von Drittanbietern das genutzte Datenleck.
Neben diesen eher negativen Schlagzeilen gibt es aus den USA aber auch zumindest halbwegs erfreuliche Nachrichten. Dort hat sich das Justizministerium mit verschiedenen Technologieunternehmen, darunter Apple, darauf geeinigt, dass diese künftig etwas detailliertere Auskunft geben dürfen, wie oft Behörden Nutzerdaten angefragt haben und auf welcher rechtlichen Grundlage dies geschieht. Dennoch bleiben auch künftig die meisten Details verborgen. Zudem müssen sich die Unternehmen zwischen zwei Varianten der Veröffentlichung entscheiden. Entweder dürfen sie die Gesamtzahl aller Anfragen
in 250er Schritten veröffentlichen (zuvor waren es 1.000er Schritte) oder darlegen, auf welcher rechtlichen Grundlage die Anfragen beruhen. Zudem dürfen die Unternehmen offenlegen, wonach die Behörden gefragt haben. Dabei kann es sich um E-Mail-Adressen, Nutzernamen oder IP-Adressen handeln. Alle Daten dürfen jedoch nur mit einer mindestens sechsmonatigen
Verzögerung veröffentlicht werden.
Als eines der ersten Unternehmen hat Apple in der vergangenen Nacht
neue Zahlen veröffentlicht. Demnach erhilt man in Cupertino im Zeitraum vom 01. Januar bis zum 30. Juni 2013 weniger als 249
Anfragen mit Bezug zur nationalen Sicherheit. Insgesamt gab es 927 Behördenanfragen, von denen Apple in 102 Fällen Einspruch gegen die Herausgabe von Daten einlegte. In 747 Fällen war man gezwungen, Nutzerdaten an die Behörden zu übermitteln.
Keine Frage, das Thema Datenschutz hat das Jahr 2013 geprägt. Die Enthüllungen von Edward Snowden haben dabei einen Stein ins Rollen gebracht, den in diesem Ausmaß sicherlich niemand erwartet hatte. Inwieweit der Aufschrei der Entrüstung auf der einen Seite aber ein individuelles Bewusstsein für den eigenen Datenschutz auf der anderen Seite aber tatsächlich zusammenpassen, muss sich erst noch zeigen. Die Ergebnisse einer Studie von SplashData jedenfalls lassen nicht darauf hoffen, dass die Anwender beispielsweise mehr Verantwortung bei der Wahl von Passwörtern übernehmen. Der Studie werden die 25 genannten (und unglaublich unsicheren) Passwörter erschütternderweise weltweit am häufigsten verwendet. Umso mehr rücken die Anforderungen, die verschiedene Onlinedienste an Passwörter der Nutzer stellen. Auch hier gibt es eine aktuelle Studie des Unternehmens Dashlane (via MacRumors), die genau diese Anforderungen bei über 100 Onlinediensten untersucht hat. Dabei ist Apple das einzige Unternehmen, welches den Maximalwert von 100 Punkten erzielt hat. Bei der Studie kamen 24 verschiedene Kriterien zum Tragen, darunter Faktoren wie das Akzeptieren schwacher Passwörter und das Sperren des Zugangs nach zu vielen Fehlversuchen. Apple verlangt bei seiner Apple ID beispielsweise Passwörter mit mindestens acht Zwichen, unter denen Kleinbuchstaben, Großbuchstaben und eine Zahl sein muss. Zudem dürfen nicht mehrere gleichen Buchstaben aufeinanderfolgen und es darf nicht identisch mit dem Benutzernamen sein. Nachdem man das Passwort dreimal falsch eingegeben hat, wird der Zugang so lange gesperrt, bis man das Kennwort über die Beantwortung von drei Sicherheitsfragen zurückgesetzt wurde.
"Zweimal Datenschutz: Apples Passwort-Anforderungen und Tim Cook über die NSA" vollständig lesen
Es kommt nun wieder die Zeit der großen Jahresrückblicke. Und man muss kein großer Prophet sein, um vorherzusagen, dass Edward Snowden und seine NSA-Enthüllungen darin eine Hauptrolle einnehmen werden. Eine der ersten Meldungen war dabei, dass beinahe alle großen US IT-Unternehmen, darunter auch Apple, Daten ihrer User an die US-Behörden weitergeben. Dies wurde später noch in verschiedene Richtungen ausgeschmückt. Während auf der einen Seite berichtet wurde, die NSA habe einen direkten Zugriff auf die Server die Unternehmen, hieß es auf der anderen Seite, die Unternehmen würden die Daten nur auf eine richterliche Anordnung herausgeben. Die Verwirrung und Verunsicherung hierüber ist jedoch ungebrochen groß. Grund genug für die Unternehmen, namentlich Apple, Google, Facebook, Microsoft, Twitter, Yahoo, LinkedIn und AOL in einem gemeinsamen, offenen Brief an US-Präsident Barack Obama und das US-Repräsentantenhaus ihre Bedenken gegenüber den Praktiken der NSA zum Ausdruck zu bringen. Gleichzeitig unterbreitet man Vorschläge zum besseren Schutz persönlicher Informationen im Internet.
Eine gekürzte Fassung des Briefes kann auf einer extra geschalteten Webseite nachgelesen werden, auf der auch Stimmen verschiedener CEOs der genannten Unternehmen zu der Thematik nachzulesen sind. Unter anderem verweist man in dem Brief auch auf die amerikanische Verfassung und sieht dabei die darin verankerte Balance zwischen staatlicher Überwachung und den Rechten der Bürger in Gefahr. Ob und in wie weit sich die amerikanische Regierung dadurch veranlasst sieht zu handeln, muss sicherlich abgewartet werden. Brad Smith, Chef-Anwalt von Microsoft, nimmt sie jedoch in die Pflicht. Aus seiner Sicht haben Regierungen das Vertrauen in Technologie aufs Spiel gesetzt und müssten nun dabei mithelfen, dieses Vertrauen wiederherzustellen.
Die Spionage-Affäre rund um die NSA hält uns auch in Deutschland nach wie vor auf Trab. Ich persönlich muss gestehen, dass ich es weniger skandalös finde, dass unsere Bundeskanzlerin abgehört wird, als dass unsere Geheimdienste offenbar nicht dazu in der Lage sind, sie davor zu schützen. Aber nicht nur die Bundesregierung wurde offenbar systematisch ausspioniert, auch Daten von "normalen" Bürgern sollen von der NSA abgefangen, analysiert und ausgewertet worden sein. Erinnert sich noch jemand, wie die ganze Sache ursprünglich ins Rollen kam? Damals wurde neben anderen großen (Internet-)Unternehmen auch Apple im Zusammenhang mit einer angeblichen Datenweitergabe an die NSA genannt. In Cupertino ist man seither bemüht, ein möglichst hohes Maß an Transparenz an den Tag zu legen, was mit den Nutzerdaten passiert. Als aktuelles Beispiel hierfür hat Apple nun ein umfangreiches Dokument (PDF) veröffentlicht, in dem man noch einmal detailliert auf die eigenen Datenschutz-Richtlinien eingeht (via 9to5Mac). Besonders interessant ist zudem eine enthaltene Aufstellung darüber, wie viele Anfragen auf Herausgabe von Daten von Nutzern innerhalb des Europäischen Wirtschaftsraumes Apple von verschiedenen Regierungen und Behörden zwischen Januar und Juni dieses Jahres erhalten hat. Man beachte die unterste Zeile...
