Mehr Informationssicherheit von Apple und Google

Apple und Google kämpfen für den User

Wolfgang Plank beschäftigt sich seit 2008 mit dem Thema Sicherheit von mobilen Geräten im Unternehmenskontext, und veröffentlicht hierzu unter anderem in dem Blog www.secure-ios.de oder in diversen anderen Medien. Außerdem widmet er sich weiteren Themen der Informationssicherheit wie SIEM, Sicherheit in der Softwareentwicklung oder Kryptographie.

Mit der Veröffentlichung der neuen iPhones und dem neuen Betriebssystem iOS 8 publizierte Apple auch eine neue Seite auf der Homepage, auf der nachzulesen ist, wie wichtig Apple der Schutz der persönlichen Daten der Benutzer ist.
Der Charm an dem Besitz eines Backups ist auch, dass anders als bei Angriffen auf das Gerät selbst, das Backup geduldig ist und alle Zugriffsversuche zulässt.
Der Charm an dem Besitz eines Backups ist auch, dass anders als bei Angriffen auf das Gerät selbst, das Backup geduldig ist und alle Zugriffsversuche zulässt.
Foto: WaveBreakMediaMicro - Fotolia.com

Ob diese neue Datenschutzoffensive seitens Apple eine simple Imagekampagne ist oder Apple wirklich der Schutz der Benutzerdaten wichtig ist, sei dahingestellt.

Interessant in diesem Zusammenhang ist aber die Behauptung, dass Apple auch Behördenanfragen über Benutzerdaten auf Apple Geräten mit iOS 8 nicht mehr erfüllen kann. Apple ist dazu technisch nicht mehr in der Lage, vorausgesetzt das Gerät ist mit einem Passwort geschützt. Auch wird zum wiederholten male auf die zur Verfügung stehenden Sicherheitsfunktionen verwiesen, die die Privatsphäre und die Daten des Benutzers zusätzlich schützen sollen. Insbesondere von der Zwei-Faktor-Authentifizeriung für den Zugriff auf Apple Dienste wie die iCloud oder den AppStore verspricht man sich einen Zugewinn an Sicherheit.

Spannend ist auch die Tatsache, dass Google in die gleiche Kerbe schlägt. In der nächsten Android Version, Codename "L", soll die Geräteverschlüsselung standardmäßig aktiviert sein, und somit ein Zugriff auf die Daten ohne das Gerätepassworts des Benutzers ebenfalls nicht mehr möglich sein.

Dieser Vorstoß von Apple und Google scheint bei FBI-Chef James Comey auf wenig Gegenliebe zu stoßen. So wird er mit den Worten zitiert: "Was mich beunruhigt, ist, dass die Unternehmen mit einer Funktion werben, die es Menschen erlaubt, sich jenseits des Gesetzes zu bewegen." Und weiter "Es muss eine breite Diskussion darüber geben, ob wir gewisse Dinge machen, die keinen Sinn mehr ergeben, die nicht mehr damit vereinbar sind, dass wir ein Land mit Gesetzen sind und dass niemand über diesen Gesetzen stehen darf". Dass Behörden Probleme mit diversen Apple Diensten haben, hat sich in der Vergangenheit bereits gezeigt. Unter anderem die bei iMessage verwendete Ende-zu-Ende Verschlüsselung bereitet den Ermittlungsbehörden Kopfzerbrechen. Auch ob die Verschlüsselung von Geräten Ermittlungen gegen Straftäter behindert, wird kontrovers diskutiert, und inwieweit Firmen wie Apple oder Google gesetzlich nicht verpflichtet sein müssen die Strafverfolgung zu unterstützen.

Natürlich gibt es für Behörden oder Dritte nach wie vor andere Wege an die persönlichen Informationen von zum Beispiel iOS 8 Benutzern zu gelangen. Neben der Anwendung eines (eventuell noch unveröffentlichten) Jailbreaks oder anderen Schwachstellen die den Zugriff auf die Geräte erlauben, ist wohl das Einfachste ein Backup des Gerätes mithilfe von Bruteforce Angriffen zu entschlüsseln. Die Herausforderung dabei besteht lediglich darin, ein solches Backup in die Hände zu bekommen. Bis vor kurzem war dies über die iCloud keine besondere Schwierigkeit. Auch sind diverse Konstellationen denkbar, in denen die Daten von dem mit dem Gerät verbundenen PC ausgelesen werden, ein Aufbrechen der Geräteverschlüsselung wird somit umgangen. Der Charm an dem Besitz eines Backups ist auch, dass anders als bei Angriffen auf das Gerät selbst, das Backup geduldig ist und alle Zugriffsversuche zulässt.

Bei all den aktuellen Datenschutzdiskussionen - auch im Schatten von PRISM und anderen Snowden Enthüllungen - geht Apple hier sicher einen richtigen Weg, und reagiert sensibel auf die Bedenken der Benutzer. Ob es sich dabei bei Apple nur um geschicktes Marketing oder ein tatsächliches Bemühen um die Sicherheit der Informationen der Kunden handelt bleibt abzuwarten. Google kämpft hingegen einen schwierigeren Kampf um den Datenschutz, ist doch das Kerngeschäft von Google das vermarkten von Daten jeglicher Art.

Für Unternehmen gilt nach wie vor, Daten brauchen eine Klassifizierung und eine Risikoeinstufung. Nur so kann geregelt werden, welche Daten auf Smartphones - egal welchen Herstellers - abgelegt werden können. Sensible Informationen dürfen die Hoheit des Unternehmensnetzwerkes nicht verlassen. (bw)