Erst kürzlich hatte ich berichtet, dass Apples mit iOS 14.5 eingeführte "App Tracking Transparency" (ATT) erste Erfolge zu verzeichnen hat. So haben bislang offenbar weniger als ein Drittel der iOS-Nutzer dem Tracking durch Apps zugestimmt. Die restlichen 67% lehnen das Tracking demnach ab. Hieraufhin haben die Werbetreibenden die Ausgaben für Einblendungen unter iOS um mehr als ein Drittel gekürzt, während die Ausgaben für Android-Werbung im Juni um 10% gestiegen sind. Bereits im Vorfeld war Facebook einer der lautesten Gegner der ATT und hat dies auch an verschiedenen Stellen öffentlich kundgetan. Die eingangs erwähnten Zahlen dürften die Sorgenfalten bei Mark Zuckerberg nicht gerade geglättet haben. Ganz im Gegenteil.

So berichtet Bloomberg nun, dass die Auswirkungen der ATT bei Facebook und seinen Werbepartnern deutlich zu spüren sind. Durch das fehlende Tracking ist Facebook über seine iOS-App nicht mehr in der Lage, Informationen über die Wirksamkeit der Werbeeinblendungen an seine Werbepartner weiterzureichen, was dort langsam aber sicher zu Panik führen soll. Zwar gibt man bei Facebook zu Protokoll, dass man bereits an Veränderungen an seinen Werbemaßnahmen arbeitet, die dann wieder eine bessere Messung der Wirksamkeit ermöglichen sollen, dabei ist aber unklar, ob Apple diese dulden wird. Wohl auch aus diesem Grunde schießt man als Reaktion auf den Bloomberg-Bericht auch bereits wieder gegen Apple und unterstellt dem Unternehmen vor allem die eigenen Angebote mit der ATT bevorteilen zu wollen:

"Apple’s policy is hurting the ability of businesses to use their advertising budgets efficiently and effectively, and the limitations being created are driven by Apple’s restrictions for their own benefit. We believe that personalized ads and user privacy can coexist."

Apples mit iOS 14.5 eingeführte "App Tracking Transparency" (ATT) war bereits ein herber Schlag für die Werbeindustrie auf dem iPhone und dem iPad. Mit iOS 15 dürften die Zügel noch ein ganzes Stück mehr angezogen werden. So führt Apple mit dem nächsten großen Update seines Betriebssystems das sogenannte "iCloud Private Relay" ein, welches die Möglichkeiten, die ATT zu umgehen noch einmal deutlich erschwert. Viele Werbetreibende versuchen derzeit, eine Tracking-Ablehnung durch den Nutzer mit einem sogenannten "Device Fingerprinting" zu umgehen. Durch iCloud Private Relay wird dies ab dem Herbst aber ebenfalls so gut wie unmöglich. Unter anderem verschleiert die neue Funktion die IP-Adresse des Nutzers, so dass diese Information für die Werbeanbieter künftig ebenfalls wegfällt, wie Digiday mit Verweis auf Gespräche mit der Werbeindustrie berichtet. Darin äußern deren Vertreter allerdings auch bereits erste Andeutungen, wonach Apple sich auch mit diesem Schritt ein Stück weiter in Richtung Monopolbildung und wettbewerbswidrigen Verhaltens bewege. Es dürfte also auch hier wieder auf verschiedene rechtliche Auseinandersetzungen hinauslaufen.

Bei iCloud Private Relay wird die aufgerufene URL zunächst in einer auf dem Gerät vorgenommenen verschlüsselten Form an die Apple-Server gesendet, so dass man auch in Cupertino keine Informationen zu den Webseiten erhält, die der Nutzer aufruft. Anschließend wird die IP-Adresse der aufzurufenden Seite anonymisiert und an ein von Apple zertifiziertes Unternehmen weitergeleitet, welches die aufgerufene URL dann wieder entschlüsselt und die Webseite an die Apple-Server zurückschickt, von wo aus sie dann wieder an den Nutzer gesendet und diesem angezeigt wird. Voraussetzung ist hierzu, dass der Nutzer mit seinem iCloud-Account auf dem jeweiligen Gerät angemeldet ist und er über eine iCloud+ Mitgliedschaft verfügt. Darüber hinaus funktioniert iCloud Private Relay ausschließlich beim Webseitenaufruf über Safari, nicht jedoch über andere Browser. Außerdem kann Apple den Dienst in Ländern wie beispielsweise China, Südafrika, Weißrussland und Saudi-Arabien aus rechtlichen Gründen nicht anbieten.

Die mit iOS/iPadOS 14.5 eingeführte "App Tracking Transparency" (ATT) hat natürlich auch dazu geführt, dass verschiedene Entwickler und Organisationen nach Wegen gesucht haben, sie zu umgehen. Vor allem bei chinesischen Apps soll dies der Fall sein. Da man aufgrund der ATT ohne das Einverständnis der Nutzer nicht mehr dessen IDFA (Identifier for Advertisers) nutzen kann um sie zu tracken, haben die staatlich unterstützte China Advertising Association (CAA) und verschiedene Technologiekonzerne wie Baidu, Tencent und ByteDance die sogenannte CAID entwickelt, die dieselbe Aufgabe wie die IDFA übernehmen sollte, ohne das Apple hier eingreifen könnte. Allerdings basiert die CAID-Technologie auf dem sogenannten "Device Fingerprinting", welches Apple in seinen AppStore-Richtlinien ebenfalls strikt untersagt:

[...] As a reminder, collecting device and usage data with the intent of deriving a unique representation of a user, or fingerprinting, continues to be a violation of the Apple Developer Program License Agreement. [...]

Der Versuch die ATT mit der CAID-Technologie zu umgehen bleib von Apple jedoch nicht unentdeckt, was zur Ablehnung verschiedener Updates für Apps durch die AppStore-Zugangskontrolle geführt hat, die CAID nutzen wollen. Der Financial Times zufolge hat dies inzwischen bei den betroffenen Entwicklern und Unternehmen dazu geführt, den Ansatz noch einmal zu überdenken, so dass das CAID-Projekt zusehends an Unterstützung in China verliert. Die abschreckende Wirkung der Ablehnungen scheint somit ihr Ziel nicht verfehlt zu haben.

Dies wird auch durch einen Bericht des Wall Street Journal gestützt, demzufolge Werbeunternehmen ihre Aufwendungen von iOS inzwischen deutlich mehr in Richtung Android verschoben haben. Aktuellen Zahlen der Analysten von Branch Metrics Inc. zufolge haben bislang weniger als 33% der iOS-Nutzer dem Tracking durch Apps zugestimmt. Die restlichen 67% lehnen das Tracking demnach ab. Hieraufhin haben die Werbetreibenden die Ausgaben für Einblendungen unter iOS um mehr als ein Drittel gekürzt, während die Ausgaben für Android-Werbung im Juni um 10% gestiegen sind, wie die Werbe-Analysten von Tenjin Inc. vermelden.

Durch die ATT ist Werbung unter iOS zwar auch dann noch vorhanden, wenn die Nutzer dem Tracking nicht zustimmen, allerdings ist diese dann deutlich weniger personalisiert, da die Werbeanbieter keine aggregierten Informationen mehr über die Vorlieben des individuellen Nutzers erhalten. Genau diese fehlenden Informationen führen dazu, dass die Werbung weniger effektiv ist und somit nicht mehr die bisherigen Preise rechtfertigt.

Nachdem das Berufsnetzwerk LinkedIn bereits Anfang April von einem größeren Datenleck betroffen war, gibt es nun offenbar den nächsten Vorfall. Wie die Kollegen von PrivacyShark als erste berichteten, sind nun erneut Daten von 700 Millionen Nutzern abgegriffen worden und werden aktuell im Internet zum Kauf angeboten. Die Zahl der betroffenen Nutzer entspricht 92% aller 756 Millionen LinkedIn-Nutzer. Während in der zum Kauf angebotenen Datenbank zwar keine Passwörter enthalten sind, findet man darin dennoch Telefonnummern, Adressen, Geodaten, E-Mail Adressen, das Geschlecht und weitere persönliche Informationen. 

Offenbar wurde zum Abgreifen der Daten erneut die offizielle LinkedIn API genutzt, wie dies auch schon beim ersten Datenleck Anfang April der Fall war. LinkedIn hat sich inzwischen mit den folgenden Worten zu dem Thema zu Wort gemeldet:

While we’re still investigating this issue, our initial analysis indicates that the dataset includes information scraped from LinkedIn as well as information obtained from other sources. This was not a LinkedIn data breach and our investigation has determined that no private LinkedIn member data was exposed. Scraping data from LinkedIn is a violation of our Terms of Service and we are constantly working to ensure our members’ privacy is protected.

So oder so, die beiden Vorfälle um Facebook und LinkedIn zeigen einmal mehr ein grundsätzliches Problem der schönen modernen Welt auf. Daten sind die neue Währung und jeder Nutzer sollte sich genau darüber im Klaren sein, wenn er seine Daten auf irgendwelchen Plattformen angibt. Andererseits geht es heutzutage eben auch nicht mehr ohne. Insofern werden wir wohl auch weiterhin ein Stück weit mit derartigen Vorfällen leben müssen.

Eigentlich sollten nach wie vor die auf der WWDC präsentierten Neuerungen im Fokus der Apple-Berichterstattung stehen. Stattdessen haben die Monopol-Ermittlungen gegen den iPhone-Hersteller diesen aber inzwischen den Rang abgelaufen. Bereits heute Morgen hatte ich über Gespräche zwischen Apple CEO Tim Cook und verschiedenen Politikern berichtet, in denen Cook darauf drängte, die losgetretenen Vorwürfe fallen zu lassen oder sie zumindest eingängig und unter Berücksichtigung der von Apple hervorgebrachten Einwände zu prüfen. Passend hierzu hat das Unternehmen nun auch diese Einwände im Rahmen eines offenen Briefs an das House Judiciary Committee veröffentlicht und pocht dabei abermals vor allem auf die Themen Sicherheit und Datenschutz. So würden die fünf Punkte der Untersuchung die Möglichkeit der Nutzer zunichte machen, Produkte zu erwerben, bei denen Datenschutz und Sicherheit im Vordergrund stehen. Das iPhone stünde hiermit quasi als sicherer Gegenpol zur Android-Plattform, auf der das sogenannte "Sideloading" von Apps bereits zu zahlreichen Sicherheitsproblemen geführt habe.

Apple bietet an, dass man eng mit dem House Judiciary Committee, welches die Vorwürfe untersucht und verhandelt, zusammenarbeiten würde, die Vorwürfe in ihrer aktuellen Form jedoch so nicht akzeptiert werden können. Neben alternativen (und vor allem nicht regulierten und überwachten) App-Handelsplätzen soll auch Apples Möglichkeit beschnitten werden, Apps auf seinem iPhone vorzuinstallieren.

Auch an anderer Front macht Apple gegen die aktuellen Untersuchungen mobil und hat ein neues Dokument auf seinen Datenschutz-Webseiten veröffentlicht, in denen vor allem dem Nutzer auch noch einmal vor Augen geführt werden soll, inwieweit der AppStore zu ihrer Sicherheit und zum Datenschutz beiträgt und wie das "Sideloading" diese beiden Punkte unterwandern würde. Unter anderem wird darin auch noch einmal der 2020er Threat Intelligence Report von Nokia ins Feld geführt, welcher zu dem Schluss kommt, dass Android-Geräte deutlich mehr von Malware und ähnlichen Problemen betroffen seien, als beispielsweise das iPhone. Als Grund hierfür wird unter anderem die Möglichkeit des Sideloadings von Apps außerhalb des Google Play Store angeführt. Der iOS AppStore hingegen sei aufgrund der händischen Prüfung die sicherste Variante, Apps auf seinem Smartphone zu installieren.

Zu ebendiesem Thema äußerte sich auch noch einmal Apples Head of User Privacy, Erik Neuenschwander, in einem Interview mit den Kollegen von Fast Company. Er spricht dann auch ganz deutlich aus, dass Apple das iPhone nicht als Plattform sehe, auf der Nutzer unterwegs sein sollten, die Apps aus potenziell unsicheren Quellen installieren wollen und schlägt diesen Nutzern damit indirekt vor, lieber auf Android zu setzen:

"Sideloading in this case is actually eliminating choice,. Users who want that direct access to applications without any kind of review have sideloading today on other platforms. The iOS platform is the one where users understand that they can't be tricked or duped into some dark alley or side road where they're going to end up with a sideloaded app, even if they didn't intend to."

Apple hat auf seinem YouTube-Kanal ein neues Video veröffentlicht, in dem man sich vor allem an die europäischen Länder richtet und auf das Theme Datenschutz, vor allem die diesbezüglichen Neuerungen in iOS und iPadOS 15 eingeht. Der Titel des Videos lautet einfach "Privacy" und zeigt zunächst Apple CEO Tim Cook, der in die Kamera spricht und noch einmal Apples Standpunkt zum Thema Datenschutz verdeutlicht. Dabei wiederholt er das schon beinahe ausgelutschte Mantra, dass man bei Apple den Datenschutz als fundamentales Menschenrecht ansieht und ihn tief in alle seine Produkte integrieren werden. Anschließend werden verschiedene Ausschnitte aus der zurückliegenden WWDC-Keynote gezeigt, in denen die Apple-Manager unter anderem die neue Mail Privacy Protection, den App Privacy Report, die neuen Offline-Funktionen von Siri und weitere Themen vorstellen.

YouTube Direktlink

Okay, bevor durch die Überschrift zu viel Begeisterung entsteht. Vermutlich handelt es sich an dieser Stelle nur um einen Strategiewechsel bei der Facebook-Tochter WhatsApp, um die seit langer Zeit geplanten neuen Datenschutzrichtlinien nun doch endlich durchzudrücken. Wir erinnern uns kurz zurück: Erst wurde die Umsetzung der neuen Datenschutzrichtlinien, die es dem Messenger gestattet, große Teile seiner Nutzerdaten an die Konzernmutter Facebook weiterzureichen, von Februar auf Mai verschoben. Dann hieß es, vielleicht werde sie doch nicht umgesetzt, bis man sich schließlich dann doch dazu entschloss. Kurz darauf gab es die nächste Rolle rückwärts. Zwar stellte WhatsApp von Anfang an klar, dass man keine Konten von Nutzern löschen würde, die sich gegen das Annehmen der neuen Richtlinie entscheiden. Diese sollten aber stark in ihrer Funktionalität beschnitten werden, so dass eine sinnvolle Nutzung der App nicht mehr möglich wäre. Doch auch dieser Plan wurde schließlich Ende Mai gekippt. Stattdessen entschied man sich, bis auf weiteres keine Funktionalitäten einschränken zu wollen, auch nicht bei solchen Nutzern, die den neuen, seit 15. Mai geltenden Datenschutzrichtlinien nicht zugestimmt hätten.

Da es mit Drohungen offenbar nicht geklappt hat, die meisten Nutzer zu überzeugen, versucht man es nun mit einer Werbeoffensive, in dessen Zentrum man ausgerechnet das Thema (Daten-)Sicherheit stellt. Unter dem Motto "Message Privately" wirbt WhatsApp ab sofort hierzulande vor allem damit, dass WhatsApp-Nachrichten Ende-zu-Ende verschlüsselt seien, so dass nur der Sender und der Empfänger Zugriff auf die Inhalte haben. Dies ist so auch erstmal vollkommen korrekt und stand auch in dem oben genannten Hin und Her nie zur Debatte.

Allerdings steht inzwischen im Raum, dass kommende neue Funktionen wie selbstlöschende Nachrichten, die sich generell für sämtliche Chats aktivieren lassen oder auch die Möglichkeit einzustellen, dass sich versendete Bilder und Videos nur einmal ansehen lassen und dann sofort gelöscht werden nur im Zusammenhang mit der Zustimmung zu den neuen Datenschutzrichtlinien werden nutzen lassen. Irgendwie durchschaubar...

YouTube Direktlink

Mit der App Tracking Transparency (ATT) hat Apple mit dem Update auf iOS/iPadOS 14.5 den Druck auf die Werbeindustrie kräftig erhöht. Da war es eigentlich nur eine Frage der Zeit, wann man sich dort Mittel und Wege überlegt, um Apples Hürden zu umgehen und durch die Hintertür doch noch ein Tracking zu realisieren, selbst wenn die Nutzer diesem nicht zustimmen. Wie die Financial Times mit Berufung auf Markteing-Experten berichtet, haben viele Apps inzwischen Workarounds implementiert, durch die das Sammeln von Daten über einen Nutzer trotz ATT nahezu uneingeschränkt fortgeführt werden kann. So liegt den Kollegen eine E-Mail vor, in der ein App-Anbieter gegenüber seinen Kunden angibt, auch weiterhin mehr als 95% der bisherigen Daten von seinen Nutzern abgreifen zu können. Hierzu kommen verschiedene Informationen, wie beispielsweise über WLAN-Namen, IP-Adressen oder oft besuchte Orte zum Einsatz, um einen Nutzer zu identifizieren.

Eigentlich sind derlei Workarounds von Apple strikt verboten und man hat in Cupertino auch recht deutlich damit gedroht, Apps aus dem Store zu entfernen, die versuchen, die App Tracking Transparency zu umgehen. Hieran wird man sich künftig wohl messen lassen müssen, auch wenn man sicherlich nicht sämtliche schwarzen Schafe entdecken wird. Apple erklärt dazu gegenüber der FT:

"We believe strongly that users should be asked for their permission before being tracked. Apps that are found to disregard the user's choice will be rejected."

Inzwischen regen sich auch schon Stimmen, wonach die App Tracking Transparency eher eine Marketing-Inititative von Apple gewesen ist, als dass sich die Anti-Tracking Maßnahmen in allen Bereichen tatsächlich durchsetzen ließen. Grundsätzlich handelt es sich beim Thema Werbung und Datenschutz um ein Katz-und-Maus Spiel, wie auch Apples Software-Chef Craig Federighi in einem aktuellen Interview mit Fast Company zu Protokoll gibt. Darin erwartet er zudem, dass sich dieses Spiel noch über mehrere Jahre hinziehen wird. Bei Apple sei man aber fest entschlossen, hier nicht locker zu lassen und die Daten seiner Nutzer bestmöglich zu schützen.