Das Thema Datenschutz hat Apple auch bei iOS 13 und iPadOS 13 wieder einmal groß geschrieben. Neben verschiedenen kleineren Einstellmöglichkeiten und einer besseren Übersicht für den Nutzer, welcher Apps mit welchen Daten was machen, hat Apple dabei auch eine neue Kartenansicht in seine mobilen Betriebssysteme verbaut, auf der man sich anzeigen lassen kann wo bestimmte Apps im Hintegrund auf die Standortdaten des Nutzers zugegriffen haben. So erscheint ion iOS 13 ein Popup, welches den Nutzer darauf hinweist, dass eine App dies gerade tut und zeigt dazu auch gleich noch an, wo dies überall stattgefunden hat. Der Nutzer hat bei dieser Gelegenheit dann auch gleich die Möglichkeit, den Hintergrundzugriff zu unterbinden. Zudem wird eingeblendet, warum die jeweilige App gerne Zugriff auf die Positionsdaten des Nutzers hätte. Die beiden folgenden Screenshots der Kollegen von 9to5Mac zeigen die neue Funktion am Beispiel der Tesla-App und der Apple Store App.

Auch auf der heute zu Ende gehenden WWDC hat Apple sein Profil als Nutzeranwalt für den Datenschutz weiter geschärft. Neben verschiedenen neuen Maßnahmen in iOS, iPadOS, macOS und HomeKit hat Apple auch eine oftmals eher weniger beachtete Neuerung in Bezug auf lästige Telefonanrufe eingeführt. So kann man in den iPhone-Einstellungen unter iOS 13 festlegen, dass eingehende Telefonate von unbekannten Anrufern automatisch auf die Mailbox umgeleitet werden. Ist die Option aktiviert, sind hiervon sämtliche Anrufer betroffen, deren Nummer sich nicht in den Kontakten des Angerufenen befindet. Vor allem Spam- und Werbeanrufen kann man auf diese Weise einen effektiven Riegel vorschieben. Allerdings muss man festhalten, dass diese Art von Anrufen in den USA deutlich häufiger vorkommen als hierzulande.

Allerdings gibt es natürlich auch Nachteile durch die Aktivierung der Option. So unterscheidet sie naturgemäß nicht zwischen ungewollten und gewollten Anrufen. Erwartet man also einen Anruf von jemandem, dessen Nummer man nicht gespeichert hat, wird auch dieser unweigerlich auf die Mailbox umgeleitet, ohne dass das Telefon zuvor jemals geklingelt hätte.

Zuletzt sorgte der deutsche Bundesinnenminister Horst Seehofer für Aufsehen, als sein Ministerium den Wunsch äußerte, eine Hintertür in Messenger-Apps wie WhatsApp, iMessage und Threema für die Strafverfolgungsbehörden einbauen lassen zu wollen. Diese soll es den Behörden ermöglichen, im Rahmen einer richterlichen Anordnung auf über die Messenger versendete Nachrichten und Telefonate zugreifen zu können. Das Problem dabei: Würden solche Hintertüren existieren, wäre es nur eine Frage der Zeit, ehe sie auch von Hackern gefunden und ausgenutzt würden. Eine Entscheidung hierüber könnte bereits auf der nächsten Innenministerkonferenz fallen.

Wie die Welt nun berichtet (mit Dank an Quax!), könnte dies aber nicht die einzige besorniserregende Beschlussvorlage auf der Konferent bleiben. So wollen die Innenminister von Union und SPD offenbar auch auf weitere digitale Inhalte zum Zwecke der Strafverfolgung zugreifen und haben dabei unter anderem Sprachaufzeichnungen von digitalen Assistenten wie Siri, Alexa, Google Assistant und Co. im Auge. Diese Inhalte sollen nach Wunsch unter anderem des schleswig-holsteinischen Innenministers und IMK-Vorsitzenden Hans-Joachim Grote (CDU) künftig gesichtet und ausgewertet werden dürfen. Weitere Innenstaatssekretäre von Union und SPD sollen sich zudem dazu bekannt haben, den Antrag auf der Innenministerkonferenz unterstützen zu wollen.

Ähnlich wie bei den Messenger-Diensten, die inzwischen so gut wie alle eine auf für die Anbieter nicht zu knackende Ende-zu-Ende Verschlüsselung nutzen, ist aber auch in diesem Falle unklar, ob eine Umsetzung überhaupt machbar ist. Zwar kann Amazon die Sprachbefehle, die über Alexa getätigt werden einem Nutzerkonto zuordnen, Apple hingegen bearbeitet Anfragen und Befehle über Siri hingegen anonym, wie man auch auf seinen Webseiten zum Thema Datenschutz betont:

Um deine Aussprache besser erkennen und dir noch passendere Antworten geben zu können, werden bestimmte Benutzerdaten – wie dein Name, deine Kontakte, die Musik, die du hörst, und Suchaktivitäten – über verschlüsselte Protokolle an Server von Apple gesendet. Siri und die Diktierfunktion verknüpfen diese Daten aber nicht mit deiner Apple ID, sondern über eine zufällig generierte Kennung mit deinem Gerät. Die Apple Watch verwendet die Siri Kennung deines iPhone. Du kannst diese Kennung jederzeit zurücksetzen, indem du Siri und die Diktierfunktion deaktivierst und wieder aktivierst und damit praktisch deine Beziehung zu Siri und zur Diktierfunktion neu beginnst. Wenn du Siri und die Diktierfunktion deaktivierst, löscht Apple die mit deiner Siri Kennung verknüpften Daten und der Lernprozess fängt neu an.

Erst kürzlich gab es einen einigermaßen beunruhigenden Bericht über Tracking-Funktionen innerhalb von Apps, die teilweise die Hintergrundaktualisierung von iOS nutzen, um ihre Daten an externe Server zu senden. Offenbar wird Apple bereits mit dem nächsten iOS-Update Schritte unternehmen, um dies zu unterbinden. Dies gilt zumindest für Kinder-Apps, wie das Wall Street Journal berichtet. Auf diese Weise soll unterbunden werden, dass diese Apps Daten, beispielsweise an Unternehmen wie Facebook oder Google senden. Offiziell wurde die kommende Neuerung noch nicht gemacht. Auf Anfrage zu diesem Thema teilte eine Apple-Sprecherin jedoch mit:

"For privacy and security reasons, Apple does not see what data users choose to share with developers and we can't see what developers do on their servers."

Als Beispiel wird in dem Bericht die Kinder-App Curious World genannt, die vom Sohn der Autorin genutzt wird und bei der festgestellt wurde, dass sie Daten wie das Alter, den Namen oder auch Bücher, die er in der App ausgewählt hat an Facebook überträgt. Daraufhin wurden 80 weitere Apps für Kinder überprüft, bei denen ein ähnliches  Verhalten festgestellt wurde.

Das Thema Datenschutz hat in den vergangenen Wochen wieder spürbar an Fahrt aufgenommen. Immer wieder kamen Probleme im Zusammenhang mit Amazon, Facebook Instagram oder auch Drittanbieter-SDKs in Apps ans Tageslicht. Aktuell berichtet nun die Washington Post, dass einige Apps die Hintergrundaktualisierungsfunktion in iOS dazu nutzen, um Tracking-Daten an externe Server zu versenden. Gemeinsam mit dem Datenschutzunternehmen Disconnect führte die Zeitung ein Experiment durch, bei dem vor allem überraschende Ergebnisse in Sachen Art der Daten und der Frequenz in der diese über die Hintergrundaktualisierung versendet werden.

So fand man unter anderem heraus, dass die Apps Daten wie die Telefonnummer, E-Mail Adressen, Ortsdaten, IP-Adressen und vieles mehr an mehr als ein Dutzend Server von Marketingunternehmen versendeten. Unter den betroffenen Apps befinden sich dabei so namhafte Anwendungen wie Microsoft OneDrive, Mint, Nike, Spotify, The Weather Channel, DoorDash, Yelp, Citizen und auch die App der Washington Post selbst. Die Yelp-App zeigte sich dabei besonders gesprächig und verschickte Daten alle fünf Minuten. Die Betreiber erklärten dies gegenüber der Washington Post mit einem angeblichen Bug. Ingsesamt wurden auf diese Weise in dem durchgeführten Experiment ca. 1,5 GB (!) an Daten in einem einzigen Monat versendet.

Tracker in Apps erfüllen verschiedene Aufgaben, von denen nicht alle immer gleich ziwelichtig sein müssen, sondern auch einfach der Verbesserung der nutzenden App dienen. Die herausgefundene Frequenz des Datenversands, wie auch die Menge und die Art der Daten sind allerdings besorgniserregend. Für Apple selbst ist es schlicht unmöglich, gegen all diese Tracker vorzugehen. Allerdings könnte das Unternehmen dem Nutzer Tools zur Verfügung stellen, über die diese sehen könnten, welche Apps welche Daten in welcher Häufigkeit und wohin versenden. Von der Washington Post auf das Thema angesprochen, gab Apple lediglich das folgende Standard-Statement aus:

"At Apple we do a great deal to help users keep their data private. Apple hardware and software are designed to provide advanced security and privacy at every level of the system. [...] For the data and services that apps create on their own, our App Store Guidelines require developers to have clearly posted privacy policies and to ask users for permission to collect data before doing so. When we learn that apps have not followed our Guidelines in these areas, we either make apps change their practice or keep those apps from being on the store."

Zum aktuellen Zeitpunkt besteht die einzige Chance, den unbemerkten Versand der Daten zu verhindern, indem man die Hintergrundaktualisierung in den iOS-Einstellungen unter "Allgemein > Hintergrundaktualisierung "deaktiviert.

Die Frage nach der Verschlüsselung von Daten und dem damit immer schwieriger werdenden Zugriff auf diese durch Strafverfolgungsbehörden beschäftigt uns nun schon seit geraumer Zeit. Dabei stellt sich immer die Frage nach der Gratwanderung zwischen Datenschutz und Sicherheit. Wenn ich ganz ehrlich bin, kann ich da durchaus beide Seiten verstehen. Dennoch dürfte sich Bundesinnenminister Horst Seehofer mit seinem Vorstoß, eine Hintertür in Messenger-Apps wie WhatsApp, iMessage und Threema eine Hintertür für die Strafverfolgungsbehörden einbauen lassen zu wollen, nicht wirklich viele Freunde machen. Hiervon berichtet aktuell die Süddeutsche Zeitung und mit Blick auf die gerade erst ausgezählte Europawahl samt herber Verluste für die Union vor allem bei jungen Wählern, könnte der Zeitpunkt der Forderung kaum schlechter gewählt sein.

Die geforderte Hintertür soll es den Behörden ermöglichen, im Rahmen einer richterlichen Anordnung auf über die Messenger versendete Nachrichten und Telefonate zugreifen zu können. Selbstverständlich werden dabei Erinnerungen an die öffentliche Auseinandersetzung zwischen Apple und dem FBI wach, welches von Apple die Entsperrung eines von Terroristen genutzten iPhone verlangte. Apple hat sich seither dem Kampf gegen derlei Anordnungen verschrieben. Würden solche Hintertüren existieren, wäre es nur eine Frage der Zeit, ehe sie auch von Hackern gefunden und ausgenutzt würden.

Ebenfalls aus der Kategorie "vielleicht hätten sie jemanden fragen sollen, der sich damit auskennt" fällt auch die Tatsache, dass die meisten Messenger inzwischen auf eine Ende-zu-Ende-Verschlüsselung setzen, also für die Betreiber überhaupt keine Möglichkeit besteht, die Nachrichten auf ihren Servern zu entschlüsseln. Sollte dies rückgänig gemacht werden, wäre dies vermutlich der größte Rückschritt in Sachen Datenschutz aller Zeiten.

Ebenfalls in diesem Zusammenhang interessant ist ein Artikel, auf den mich mein Leser Boris am Wochenende aufmerksam gemacht hat (danke dafür nochmal!). So wird auch der neue Mobilfunkstandard 5G die Arbeit der Strafverfolgungsbehörden, wie der schweizerische Tagesanzeiger berichtet. So wird mit dem neuen Standard die sogenannte International Mobile Subscriber Identitiy (IMSI) künftig verschlüsselt. Hierbei handelt es sich um eine Identitätsnummer, eines Handys oder einer SIM-Karte, die es bislang ermöglichten, das Gerät über einen sogenannten IMSI-Catcher aufzuspüren. Durch die Verschlüsselung würde dieses Verfahren künftig jedoch nicht mehr möglich sein, weswegen in der EU bereits Pläne geschmiedet werden, diese Maßnahme bis zur flächendeckenden Einführung von 5G-Netzwerken abzuschwächen.

Während die ganze Welt über mögliche Spionage-Chips oder -Software in Huawei-Technologie spricht, gehen die Datenschutzprobleme bei den US-amerikanischen Technologiekonzernen munter weiter. Nachdem zuletzt verschiedene Probleme bei Facebook und seiner Tochter Instagram bekannt wurden und Amazon-Mitarbeiter offenbar die Sprachmitschnitte von Alexa-Nutzern mithören und auswerten, gerät nun Snap, das Unternehmen hinter Snapchat in die Kritik. Wie Motherboard berichtet, haben dort einige Mitarbeiter interne Tools verwendet, um auf private Daten zuzugreifen und die Nutzer auszuspionieren. Die Kollegen zitieren dabei verschiedene aktuelle und ehemalige Mitatbeiter von Snap, die davon berichteten, wie manche Kollegen die angesprochenen Tools nutzen, um an Positionsdaten, gespeicherte Snaps, Telefonnummern und E-Mail Adressen von Nutzern zu gelangen.

Eines dieser Tools mit Namen SnapLion ist eigentlich dafür gedacht, Informationen über Nutzer zu sammekn, sollte einmal eine Regierungsanfrage hierzu vorliegen. Manche Mitarbeiter nutzen ihren Zugang zu dem Tool allerdings aus, um verschiedene Nutzer auszuspionieren. Ein Sprecher gab hierzu auf Anfrage zu Protokoll, dass die Privatsphäre der Nutzer das höchste Gut bei Snap sei. Die gespeicherten Daten seien durch strikte Regeln geschützt und der Zugriff nur auf die nötigste Anzahl an Mitarbeitern beschränkt. Verstöße gegen diese Regeln werden demnach bei Snap hart bestraft.

"Unauthorized access of any kind is a clear violation of the company's standards of business conduct and, if detected, results in immediate termination."

Angeblich überwachen verschiedene Tools den Zugriff auf die Nutzerdaten, was den Quellen des Berichts zufolge jedoch alles andere als perfekt funktioniert. Derzeit ist unklar. ob die Datenzugriffe andauern, sie sollen aber auf jeden Fall in der Vergangenheit stattgefunden haben. Die meisten Inhalte, die auf und mit Snapchat geteilt werden, sind bekanntermaßen flüchtig. Allerdings werden bestimmte Daten auch auf den Snap-Servern gespeichert. Hierzu gehören unter anderem die Telefonnummer, Positionsdaten, bestimmte Snapchat-Inhalte, wie Memories oder auch Informationen darüber, wann und mit wem man über Snapchat Kontakt hatte. Das Ausmaß der Datenspionage ist unklar, allerdings lässt sich sowas mutmaßlich nie ganz verhindern, solange Menschen an der Bearbeitung beteiligt sind. Das sollte man stets im Hinterkopf behalten, wenn man private Dinge über soziale Medien oder per Technologie teilt.

Erneut wird ein Unternehmen der Facebook-Gruppe von einem schweren Datenleak erschüttert. Wie TechCrunch berichtet, war offenbar eine Datenbank von einem Server der Amazon Web Services, in der sich die Kontaktinformationen von mehr als 49 Millionen von Instagram Influencern, Prominenten und Unternehmens-Accounts befinden ohne die Eingabe von Zugangsdaten frei zugänglich. Die Datenbank stammte offenbar von dem in Mumbai ansässigen Unternehmen Chtrbox, welches Instagram-Influencer dafür bezahlt, bezahlte Inhalte zu teilen. Allerdings sollen sich in der Datenbank auch Daten von Nutzern befinden, die nie mit dem Unternehmen zusammengearbeitet haben. Inzwischen wurde die besagte Datenbank durch Chtrbox entfernt, allerdings wollte sich das Unternehmen auf Nachfrage nicht dazu äußern, wie es an die Daten gelangt sei.

Facebook hat gegenüber TechCrunch angekündigt, den Vorfall zu untersuchen und dabei auch zu klären, ob die Daten von Instagram oder aus anderen Quellen stammen.