Apples neue Maßnahmen gegen die Nutzerverfolgung über den Browser, das sogenannte "Cross-Site Tracking" ist offenbar ein herber Schlag für die Werbeindustrie, der hierdurch "hundreds of millions of dollars" wie der Guardian berichtet. Einer der größten Anbieter in diesem Bereich, Criteo, meldet, dass die Intelligent Tracking Prevention (ITP) von Apple einen negativen Einfluss von 22% auf den Umsatz im Jahr 2018 haben könnte. Für andere Anbieter dürften sich die Auswirkungen ähnlich darstellen. Für die Zukunft wird zudem erwartet, dass Apple sein ITP in Zukunft noch verfeinern und weiterenteickeln wird.

Apple hatte die Intelligent Tracking Prevention mit iOS 11 und in Safari 11 in macOS High Sierra 10.13 eingeführt, um hiermit für einen besseren Datenschutz bei den Nutzern zu sorgen. Dabei werden keine Werbeeinblendungen blockiert, jedoch das Nachverfolgen des Nutzerverhaltens und der Nutzergewohnheiten verhindert. Neben dem Lob von Nutzerseite gab es hierzu von Beginn an auch Kritik von Seiten der Werbeindustrie, die Apple vorwirft, auf diese Weise das ökonomische Modell des Internets zu sabotieren.

Unter iOS 11 und macOS High Sierra können Nutzer frei entscheiden, ob ITP aktiviert sein soll oder nicht. In iOS 11 findet man den entsprechenden Schalter unter "Einstellungen > Safari > Cross-Site Tracking verhindern". Unter macOS High Sierra geschieht selbiges in den Safari-Einstellungen im Bereich Datenschutz.

Apple stellt sich nicht nur gerne als Beschützer der Privatsphäre seiner Nutzer dar, sondern gilt im Silicon Valley auch durchaus als Vorzeigeunternehmen in diesem Bereich. Unter anderem hatte man hierzu die sogenannte "Differential Privacy" eingeführt, über die man anonymisiert Benutzerdaten erhebt, um die eigenen Produkte, wie beispielsweise Siri weiterzuentwickeln und zu verbessern. Die Technologie dahinter sieht vor, dass die Benutzerdaten mit so viel "Grundrauschen" angereichert werden, dass diese hinterher nicht mehr eindeutig einem Benutzer zuzuordnen und somit komplett anonymisiert sind.

Nun haben sich Wissenschaftler von drei Universitäten diese Implementierung einmal genauer angesehen und erheben dabei teils schwere Vorwürfe gegenüber Apple. Bereits im vergangenen Jahr hatte ein Kryptographie-Professor der John Hopkins University Apple vorgeworfen, den eigenen Ansatz nicht genügend zu testen und Außenstehenden keinen Einblick in das Verfahren zu gewähten. Nun berichtet Wired von neuen Vorwürfen, die Wissenschaftler der University of Southern California, Indiana University, und der Tsinghua University in China erheben. Sie haben Teile des von Apple verwendeten Codes entschlüsselt und dabei entdeckt, dass der Datenschutz dabei mehr als unsicher umgesetzt wurde.

Die Effektivität des angesprochenen "Grundrauschens" wird in der Wissenschaft mit einem Wert definiert, der auf den Namen "Epsilon Value" hört. Dabei gilt, dass je geringer dieser Wert ist, desto besser ist der Datenschutz. Die meisten Wissenschaftler sehen daher einen Wert von 1 als ideal an. Die Wissenschaftler der drei Universitäten beziffern den "Epsilon Value" von Apples Implementierung unter macOS nun mit einem Wert von 6, den von iOS 10 mit 14 und sehen damit eine hohe Gefährdung in der Sicherheit der von den Nutzern bereitgestellten Daten. Einer der Erfinder der Differential Privacy, Frank McSherry, erklärt hierzu gegenüber Wired, dass ein Wert von 14 das gesamte Verfahren relativ nutzlos macht.

Apple widerspricht den Vorwürfen erwartungsgemäß und wirft den Wissenschaftlern eine fundamentale Fehlinterpretation hinsichtlich der Berechnung des Epsilon Values vor. Zudem würde man keine Profile über die gesammelten Daten erstellen oder Daten wie IP-Adressen erheben. Letzten Endes wird man sich aber wie so oft auf die Aussagen und Versprechungen des Unternehmens verlassen müssen, wie mit den gesammelten Daten verfahren wird. Immerhin handelt es sich bei Apples Ansatz um ein sogenanntes Opt-In-Verfahren, bei der Nutzer dies aktiv gestatten muss. Ob man dem bei der Einrichtung seines Geräts zugestimmt hat, kann man unter "Einstellungen > Datenschutz > Analyse" überprüfen. Hier kann man die Übertragung der Analysedaten an Apple dann entsprechend auch wieder deaktivieren.

Das Thema Datenschutz und der Umgang mit selbigem ist aktuell mal wieder ziemlich heiß. Nachdem ich heute Morgen bereits über die unsäglichen Praktiken des US-amerikanischen Fahrdienstleisters Uber berichtet hatte, kommt nun der nächste Skandal ans Licht. Aber der Reihe nach, inzwischen hat sich nämlich Uber selber gegenüber TechCrunch zu den Vorwürfen geäußert und wiegelt ab, dass das sogenannte "Fingerprinting" eine gängige Praxis auch bei anderen Anbietern sei und man auch weiterhin auf eine solche Technologie in seiner App setze, die in Einklang mit Apples AppStore-Richtlinien sei. Frei nach dem Motto: Wenn alle das machen, dürfen wir das auch! Für mich wie gesagt ein Grund, Uber nicht zu nutzen und auch dringend von der Nutzung abzuraten. Tolle Idee, tolle Funktionalität und Bequemlichkeit hin oder her, das kann es nicht sein.

Auch an dem nächsten Skandal ist Uber ein Stück weit beteiligt, wenngleich auch nicht als Hauptschuldiger. Der ist eher in dem Dienst Unroll.me zu suchen, auf dessen Verlinkung ich hier bewusst verzichte. Auch dieser kann mit einer tollen Funktionalität punkten und verspricht das automatisierte und unkomplizierte Abmelden von Newslettern und allem, was sich sonst noch so in der eigenen Mailbox befindet. Hierzu wird der Posteingang des Nutzers gescannt, wobei entsprechende Mails erkannt und die Abmeldung ausgelöst wird. Anscheinend war dies aber nicht das einzige, was dabei ausgelesen wurde. Wie jetzt bekannt wurde und die Macher auch unumwunden in einem Blogeintrag zugeben, wurden auch die restlichen Mails des Nutzers ausgewertet und der Inhalt an andere Unternehmen, unter anderem auch Uber verkauft. Auf diese Weise gelangte man an Daten und Informationen der Nutzer des Konkurrenten Lyft, wodurch man in der Lage war, die eigenen Angebote an die Vorlieben der Konkurrenz-Kunden anzupassen.

Wirklich widerlich wird es, wenn der Unroll.me CEO in seinem Statement schreibt: "Our users are the heart of our company and service. So it was heartbreaking to see that some of our users were upset to learn about how we monetize our free service." Ganz ehrlich, da scannt ein Unternehmen die Mailbox seiner Nutzer und verkauft die dabei abgegriffenen Daten an Dritte weiter. Nicht nur das solche Leute für mich enigesperrt gehören, der Gipfel der Geschmacklosigkeit ist dann auch noch zu behaupten, es sei "herzzerreißend" zu sehen, dass diese Nutzer nun enttäuscht seien. Da halte ich es voll und ganz mit dem Kollegen John Gruber wenn er schreibt:

Give me a fucking break. They’re not “heartbroken” because their users are upset. They’re in damage-control mode because they were operating under the radar and now they’ve been revealed, very publicly, as the shitbags that they are.

Die (eigentlich schon nicht mehr ganz so) neue US-Regierung arbeitet weiter daran, die einst vom Vorgängerkabinett umgesetzten Gesetze wieder rückgängig zu machen. Dabei traf es zuletzt auch ein Datenschutzgesetz, welches es den Internetprovidern (ISPs) bislang untersagte, Benutzerdaten ohne die Zustimmung der Nutzer an Dritte, wie beispielsweise Werbeanbietern weiterzugeben (via The Washington Post). Die entsprechende Gesetzesvorlage wurde im vergangenen Jahr kurz vor den Präsidentschaftswahlen in den USA verabschiedet, betrifft US-amerikanische Provider wie Verizon, AT&T und Comcast und umfasst sensible Daten, wie unter anderem die Aufenthaltsorte, Surfhistorie oder sogar auch die in den USA extrem wichtige Sozialversicherungsnummer. Das Gesetz ging sogar soweit, die Provider dazu zu verpflichten, ihre Maßnahmen gegen Datendiebstahl durch Hacker und andere Angreifer zu verstärken, um hierdurch auch die Daten der Nutzer besser zu schützen. In Kraft getreten wäre das Gesetz Ende dieses Jahres.

Nun kommt es allerdings anders, denn der US-Senat hat in einer Abstimmung mit 215 zu 205 Stimmen für eine Aufhebung des Gesetzesentwurfs gestimmt. Im Klartext bedeutet dies nun, dass die US-Provider Daten ihrer Nutzer ohne deren Zustimmung an dritte Parteien weitergeben oder auch weiterverkaufen dürfen. Die mehrheitlichen Republikaner erhoffen sich hierdurch eine Stärkung der Marktposition der Provider gegenüber anderen Anbietern wie Google und Facebook und hieraus resultierend einen stärkeren Wettbewerb.

Die Washington Post geht in ihrem Bericht über die Absitmmung davon aus, dass dies nur ein erster Schritt bei der Überarbeitung von aktuell geltenden Regelungen zur Cybersicherheit und Privatsphäre unter der Trump-Präsidentschaft sei. Dies sei unter anderem auch bereits daran zu erkennen, dass die Aufhebung soweit geht, der maßgeblich am ersten Gesetzentwurf beteiligten Federal Communications Commission (FCC) zu verbieten, in der Zukunft ähnliche Schutzmaßnahmen zu erlassen.

Die einzige Möglichkeit, wie sich ein Nutzer künfitg gegen das Sammeln und die Weitergabe seiner Daten schützen kann, ist die Verwendung von Virtual Privat Networks (VPN). Hierbei wird die Datenkommunikation komplett verschlüsselt und ist dadurch auch nicht mehr durch die Provider einseh- und verwertbar. Wie Reuters berichtet, hat der Beschluss in den USA auch bereits zu einem Anstieg des Interesses an VPN-Diensten geführt. Generell ist die Verwendung eines VPN in verschiedenen Szenarien, wie beispielsweise dem Surfen in ungeschützten, öffentlichen WLANs dringend empfohlen! Entsprechende Dienste lassen sich bereits für eine kleine Gebühr beispielsweise über die folgenden Anbieter buchen:

• Tiger VPN (lebenslanges Nutzung für $29,-)
• VPN Unlimited (lebenslanges Nutzung für $39,-)
• VPN Unlimited (3 Jahre Nutzungsrecht für $19,-)
• Infinity VPN (lebenslange Nutzung für $45,-)

Verglichen mit beispielsweise Android ist iOS nach wie vor eine unglaublich sichere Plattform, was nicht zuletzt auch an Apples rigorosem Zulassungsprozess zum AppStore liegt. Während Apple hier entsprechend eingreifen kann, ehe die Apps in den AppStore gelangen, ist es aber auch Aufgabe der Entwickler dafür zu sorgen, dass Daten, die zwischen ihren Apps und einer eventuell dahinterliegenden Serverstruktur gesichert übertragen werden. Als aktuell sicherster Weg gilt dabei die Verschlüsselung mit dem TLS-Protokoll. Ursprünglich hatte Apple angekündigt, die Verwendung dieses Protokolls ab Anfang des Jahres für alle Apps, die Daten über das Internet versenden, verpflichtend zu machen. Allerdings hat man die Einführung dieser Pflicht inzwischen aufgeschoben.

Wie der CEO der Sudo Security Group, Will Strafach in einem Medium-Post nun belegt, sollte dies allerdings kurzfristig nachgeholt werden. Durch Verwendung des Codescanning-Dienstes verify.ly haben die Sicherheitsforscher nämlich festgestellt, dass mindestens 76 beliebte iOS-Apps die Verschlüsselung nach wie vor nicht nutzen, so dass es theoretisch möglich ist, die übertragenen Daten abzufangen und auszulesen, solange man sich im selben WLAN befindet, wie der Nutzer dieser Apps.

Unter den betroffenen Anwendungen befinden sich verschiedene Snapchat-Apps von Drittanbietern, die offizielle App von Vice News und verschiedene Banking-Apps für Banken in Puerto Rico und Libyen. Laut Strafach habe man die Apps in Gefahrenstufen eingeteilt und die betroffenen Entwickler kontaktiert um das Problem zu beheben ehe man die Apps aus der höchsten Sicherheitsstufe bekannt gibt. Insgesamt sollen 18 Millionen Kopien der betroffenen Apps im Umlauf sein.

Ob sich die ewigen Verschwörungstheoretiker hiervon beeindrucken lassen, wage ich mal stark zu bezweifeln, für den normalen Nutzer ist Apples überarbeitete Webseite zum Thema Datenschutz jedoch eine beruhigende und positive Geschichte. Unter dem Leitsatz "Die persönlichste Technologie muss absolut privat bleiben." geht Apple dabei auf das eigene Selbstverständnis zum Thema Datenschutz ein und legt dies in rund 3.000 Wörtern, zum Teil augesplittet nach Technologien und Apps, wie iCloud, Facetime, iMessage, Safari und Health ausführlich dar. Vor allem das Thema Verschlüsselung spielt dabei eine wichtige Rolle, weswegen Apple hervorhebt, dass auf den Produkten aus Cupertino sämtliche Daten verschlüsselt sind, ebenso in die Cloud übertragen werden und keine Hintertüren in den Produkten existieren:

Täglich werden über eine Billion Transaktionen auf der ganzen Welt verschlüsselt. Ob du etwas kaufst oder eine Rechnung bezahlst, Verschlüsselung macht aus deinen Daten einen nicht entzifferbaren Text, der nur mit dem richtigen Schlüssel gelesen werden kann. Schon seit mehr als zehn Jahren schützen wir Daten mit SSL und TLS in Safari, mit FileVault auf dem Mac und einer Verschlüsselung, die in iOS integriert ist. Wir lehnen es für alle unsere Produkte ab, sogenannte Hintertüren einzubauen, weil das den Schutz, den wir integriert haben, schwächt. Deswegen können wir dein Gerät auch für niemanden entsperren. Das kannst nur du mit deinem einzigartigen Passwort. Wir verpflichten uns zu dieser leistungsstarken Verschlüsselung, damit du sicher sein kannst, dass die Daten auf deinem Gerät und die Informationen, die du teilst, immer geschützt sind.

Ob man Apple nun glaubt oder nicht, die Webseite als reines PR- und Marketinginstrument sieht oder sonst welche Vorbehalte hat, mit der alleinigen Tatsache, die eigene Philosophie derart offen zu kommunizieren geht eine Verpflichtung seitens Apple einher, die einem Respekt abnötigen sollte. Denn Apple stellt sich hierdurch nicht nur in ein sonniges Licht, man erlegt sich auch eine große Verpflichtung und Verantwortung auf. Die Gefahr das man erwischt wird, wenn man hier die Unwahrheit sagt, würde einen Imageschaden nach sich ziehen, dem sich Apple ganz sicher nicht unbedacht aussetzen würde.

Gerade als man meinte, dass das Thema Datenschutz wieder ein wenig in den Hintergrund getreten ist, tritt, passend zum gestrigen "Safer Internet Day", das soziale Netzwerk Path auf die Agenda. Dieses hatte in den vergangenen Wochen vor allem mit seiner durchaus hübsch gestalteten iOS-App gepunktet. Genau diese App macht aktuell jedoch negative Schlagzeilen, lädt sie doch gleich zu Beginn das komplette auf dem iOS-Gerät hinterlegte Adressbuch auf die Betreiber-Server, wie der Blogger Arun Thampi herausgefunden hat. Und das ohne jegliche Information oder Einwilligung des Benutzers. Das dies ein absolutes No-Go ist, erschließt sich auf den ersten Blick. Sicher, soziale Netzwerke leben letzten Endes von den Daten ihrer User. Dies sollte aber in keinem Fall auf die Kontakte der User außerhalb des Netzwerkes umfassen. Da hilft auch die Aussage des Path-Chefs nicht weiter, dass man die Daten lediglich dafür nutze, den Usern beim Finden von Freunden zu helfen. Abhilfe in Form einer Opt-Out-Funktion mit dem kommenden Update der App wurde bereits in Aussicht gestellt, von Reue ist bei den Machern jedoch nichts zu erkennen. Stattdessen spielt man das Problem herunter. Kein Wunder, hat man sich doch in der Vergangenheit immer als positive Ausnahmeerscheinung unter den sozialen Netzwerken positioniert, die einen ursprünglich lediglich mit seinen 50 engsten Freunden verknüpfte. Daraus wurden dann später 150. Weiterlesen...