Die iCloud von Apple im Datenschutz-Check

Cloud-Dienste machen standortunabhängiges Arbeiten möglich – überall Zugriff auf alle Daten. Apple bietet seinen Nutzern unter dem Namen „iCloud“ und „iCloud+“ verschiedene Services an, insbesondere zum Backup der auf Apple-Geräten gespeicherten Daten. Wie es dabei um den Datenschutz steht, erfährt man im folgenden Beitrag.

Nutzung von Cloud-Diensten nimmt bei Unternehmen weiter zu

Cloud-Computing und Cloud-Dienste werden stetig beliebter – über 10% Zuwachs wurden allein zwischen 2018 und 2020 gemessen. Der Trend ist weiter anhaltend. Ca. 2/3 der großen Unternehmen mit über 250 Mitarbeitern in Deutschland nutzen Cloud-Dienste an irgendeiner Stelle ihres Unternehmens (siehe DEStatis), und auch die Kleineren entscheiden sich immer häufiger für die komfortablen Cloud-Lösungen unzähliger Software- und Server-Anbieter.

Datenschutz und Datensicherheit bei Apples iCloud

Apple betont im Marketing für die eigenen Produkte immer wieder, dass ein hohes Datenschutz-Niveau und hohe Sicherheitsstandards gegeben wären. In der Realität ist das nicht immer für bare Münze zu nehmen. Insbesondere die iCloud hatte schon mit einigen hässlicheren Vorfällen zu kämpfen – ein großer Datenleak voller privater, teilweise intimer Fotos von Prominenten im Jahr 2014 stammte aus der iCloud. Die Daten in der iCloud werden nur teilweise verschlüsselt versendet und hinterlegt. Insbesondere die meist automatisch aktivierten Backups von iPad und iPhone wurden lange Zeit standardmäßig immer unverschlüsselt in die iCloud übermittelt.

Wieso sind unverschlüsselte Backups ein Problem?

In der iCloud können unverschlüsselte Daten unter Umständen durch verschiedene Schwachstellen abgegriffen werden. Durch die hohe Verbreitung von Apple Produkten ist die iCloud ein beliebtes Ziel für Angreifer. Entsprechend konnten verschiedene IT-Security-Forscher über die Jahre einige Schwachstellen nachweisen. Seit dem großen Leak 2014 wurde zwar eine 2-Faktor-Authentifizierung umfassend implementiert, aber auch diese konnte teilweise durch Brute-Force-Attacken ausgehebelt werden. In größer angelegten Bounty-Aktionen, bei denen Apple Geldpreise für entdeckte Sicherheitslücken ausgelobt hatte, werden immer wieder weitere Schwachstellen entdeckt. Eine davon ermöglichte es in der Vergangenheit z.B., dass über eine mit einem AppleID-Account verknüpfte E-Mail-Adresse die in der iCloud gespeicherten Daten an eine andere E-Mail-Adresse weitergeleitet wurden. Diese Schwachstelle erlaubte gleichzeitig eine wurmartige Ausbreitung, da die Adressbuchkontakte des Opfers ebenfalls die Schadsoftware bekommen konnten.

Neben den Sicherheitslücken kommen leider auch Datenabflüsse in andere Richtungen in Betracht – Apple gibt auf entsprechende Weisung auch Datensätze an staatliche Behörden heraus. Dabei prüft Apple natürlich nicht, welche ggf. intimen oder privaten Inhalte betroffen sind. Auch Daten von Dritten können übermittelt werden, zum Beispiel aus Adressbüchern. Gerade ob der Tatsache, dass automatische Backups von Mobilgeräten unverschlüsselt gespeichert werden, erhalten staatliche Stellen somit schnell einen kompletten Überblick über das Leben der Betroffenen. Alle Fotos, Anrufprotokolle, Textnachrichten usw. landen bei Ermittlern. Die unverschlüsselte Übermittlung ist auch in anderer Hinsicht nicht zu unterschätzen. Seit den Enthüllungen von Edward Snowden ist weltweit bekannt, dass fast jede Datenübertragung in die USA ohne jede Rücksicht von der NSA und ggf. weiteren staatlichen Stellen gescannt wird. Wenn also ein Backup zu einem amerikanischen Serverstandort übermittelt wird, hat auch die NSA ihre Nase in den unverschlüsselten Adressbüchern und intimen Fotos diverser iPhone-Nutzer.

Änderungen mit iOS 16.3: Standardmäßiger und erweiterter Datenschutz

Mit iOS 16.3 führt Apple bei der iCloud-Verschlüsselung entscheidende Änderungen ein. Das Unternehmen bietet hier nun zwei Intensitätsstufen des Datenschutzes an: „Standardmäßiger Datenschutz“ und „Erweiterter Datenschutz“. Sollte sich der Nutzer für die erste Option entscheiden, werden die iCloud-Daten zwar verschlüsselt, der Schlüssel wird allerdings bei Apple gespeichert. Somit hat das Unternehmen und staatlichen Stellen theoretisch weiterhin Zugriff auf die gespeicherten Daten. Nur wenige Daten werden Ende-zu-Ende-verschlüsselt. Diese Sicherheitseinstellung ist auf den Geräten vorausgewählt.

Daneben führte Apple den sogenannten erweiterten Datenschutz ein. Neben einer erforderlichen Zwei-Faktor-Authentifizierung werden damit – bis auf einige Metadaten – nunmehr die Daten auf Apples Servern Ende-zu-Ende-verschlüsselt (E2E-Verschlüsselung). Das Unternehmen verfügt dabei nicht über den für die Entschlüsselung erforderlichen Schlüssel. Damit sind inzwischen auch Backup-Dateien seinem und damit auch dem behördlichen Zugriff dem Grundsatz nach entzogen. Der erweiterte Datenschutz muss vom Nutzer aktiviert werden und funktioniert nur ab der iOS-Version 16.2.

Ausgenommen von dem erweiterten Datenschutz sind ausdrücklich iCloud Mails, Kontakte, Kalender sowie diverse Metadaten. Die Update-Übersicht enthält eine Auflistung und Gegenüberstellung der Datenkategorien und Datenverschlüsselung in den beiden Sicherheitseinstellungen.

iCloud Mails, Kontakte und Kalender

Insbesondere werden die iCloud Mail, die Kontakte sowie der Kalender lediglich standardmäßig verschlüsselt. Begründet wird die Ausnahme dieser Datenkategorien damit, dass zum einen iCloud Mail mit dem globalen E-Mail-System zusammenarbeiten müsse, die Kontakte und Kalender wiederum auf Industriestandards basierten (CalDAV und CardAV), welche keine Unterstützung für eine Ende-zu-Ende-Verschlüsselung böten.

iCloud-Backup

Zu den nicht vom erweiterten Datenschutz erfassten Metadaten gehören beispielsweise beim iCloud-Backup der Name, Modell, Farbe und Seriennummer des Geräts, das mit den einzelnen Backups verknüpft ist, die Liste der Apps und Dateiformate, die im Backup enthalten sind, das Datum, Uhrzeit und Größe der einzelnen Backup-Schnappschüsse.

iCloud Drive

Hier werden wiederum die unformatierten Byte-Prüfsummen des Dateiinhalts und des Dateinamens, Dateityp, Zeitpunkt der Erstellung, der letzten Änderung und der letzten Öffnung lediglich standardverschlüsselt. Ob die Datei als Favorit markiert wurde, die Dateigröße, die Signatur von App-Installationsprogrammen (.pkg-Signatur) und Bundle-Signatur sowie, ob es sich bei einer synchronisierten Datei um eine ausführbare Datei handelt, wird ebenfalls nicht Ende-zu-Ende-verschlüsselt.

Fotos

Im Hinblick auf Fotos und Videos werden in der Cloud wiederum beispielsweise die Byte-Prüfsummen, die Markierung als Favorit, die Ausblendung und Löschung und Erstellungszeitpunkt, Anzahl der Wiedergaben weiterhin nur standardmäßig verschlüsselt.

Warum benötigt Apple Zugriff auf die Metadaten?

Nach eigenen Angaben werden Angaben zum Änderungszeitpunkt zur Sortierung der Daten verwendet. Prüfsummen wiederum sollen Apple helfen, Duplikate zu entfernen und den Speicher zu optimieren. Die Begründung für die Ausnahme der aufgelisteten Metadaten aus der Ende-zu-Ende-Verschlüsselung beschränkt sich allerdings auf diese sehr knappe Mitteilung. Bei vielen Metadatenkategorien erschließt sich nicht, aus welchem Grund, eine fortbestehende Zugriffsmöglichkeit auf diese benötigt wird. Problematisch ist dabei der große Umfang der nur lokal verschlüsselten Metadaten sowie die sehr spärlichen Angaben zu den Gründen der Schutzbegrenzung. In Zeiten der umfassenden digitalen Vernetzung sowie hoher Effizienz von Auswertungsalgorithmen bestehen Möglichkeiten, vollautomatisiert, anhand weniger Eckdaten eine Zuordnung zu konkreten Personen herzustellen sowie weitere Erkenntnisse in diesem Zusammenhang zu gewinnen. Oft werden zu diesem Zweck einige wenige Metadaten ausreichen. Es steht zu befürchten, dass Behörden bereits anhand dieser weitreichende Rückschlüsse ziehen können und es somit unter Umständen zu einer Rechtsgutverletzung von Nutzern kommt. Apple stellt aber immerhin in Aussicht, die E2E-Verschlüsselung künftig auf weitere Metadaten auszuweiten.

Kann die iCloud DSGVO-konform im Unternehmen genutzt werden?

Problematisch ist bei allen Cloud-Diensten, nicht nur der iCloud, auch die rechtliche Beurteilung nach der DSGVO. Nominell wird meist eine Auftragsverarbeitung angenommen. Doch diese verlangt eigentlich, dass der Auftragsverarbeiter (also der Cloud-Dienstleister) nur auf Weisung des Auftraggebers Daten verarbeitet. Wie viel Weisungsrecht – und Kontrolle – ein Kunde gegenüber den komplexen Cloud-Service-Providern hat, darf in der Realität getrost angezweifelt werden. Und auch der Auftragsverarbeiter unterliegt umfassenden rechtlichen Pflichten, insbesondere die Gewährleistung von Datensicherheit mittels TOMs. Er ist außerdem verpflichtet, einen Datenschutzbeauftragten zu benennen und ein Verarbeitungsverzeichnis zu führen.

Eine ehrliche Auseinandersetzung mit dem Cloud-Dienstleister kann aber auch zur Einschätzung führen, dass hier eine eigene Verantwortlichkeit beider Beteiligter vorliegt, keine Auftragsverarbeitung. Dann sind ggf. auch weitere rechtliche und technische Vorkehrungen zu treffen.

Das Problem mit dem Auftragsverarbeitungsvertrag

Die iCloud wurde ursprünglich nicht für Unternehmenskunden entwickelt, sondern für private Endnutzer. Die standardmäßigen Vertragsbedingungen enthalten daher auch einen Passus, der die rein private Nutzung vorsieht. Dies ist nur durch Nutzung des Business Manager-Vertrags zu umgehen, der auch Passagen zu Auftragsverarbeitung enthält. Damit ist leider aber nach bisherigem Stand keine volle Absicherung der unternehmerischen iCloud-Nutzung verbunden. Denn in der Vereinbarung sind mehrere Punkte enthalten, die der Konzeption der Auftragsverarbeitung widersprechen. Apple lässt sich Nutzungsrechte an den Daten einräumen und behält sich vor, nach Vertragsende Daten zu löschen, die zuvor nicht herausgegeben werden müssen. Dies widerspricht rechtlichen Vorgaben aus der DSGVO für Auftragsverarbeiter. Und dies sind nicht die einzigen Punkte, in denen die Vereinbarung rechtliche Standards der DSGVO unterschreitet. Gerade im Hinblick auf Kontrollrechte und die Unterstützung bei Betroffenen- oder Behördenanfragen sieht der Business-Manager-Vertrag kaum Pflichten für Apple vor.

Die Auftragsverarbeitung durch Apple in der iCloud ist damit unzureichend rechtlich abgesichert, geschweige denn adäquat kontrollierbar. Als Unternehmenslösung ist sie damit aufgrund der rechtlichen Gefahr im Fall einer Prüfung durch Aufsichtsbehörden nicht zu empfehlen. Hinzu treten außerdem umfassende und mit dem deutschen Recht kaum zu vereinbarende Haftungsausschlüsse.

Datenübertragung in ein Drittland

Cloud-Systeme werben oftmals mit ihrer permanenten Erreichbarkeit. Diese ist natürlich nur durch Redundanz der Systeme und quasi kontinuierliches gegenseitiges Backup möglich. Dabei verteilen viele Anbieter die Daten nur nach rein technischen Gesichtspunkten. Die Apple iCloud hat Serverstandorte in den USA, Asien und EU. Die EU-Server stehen in Dänemark. Die iCloud bietet aber keinerlei konkrete Auswahl oder gar Zusicherung an, dass die Daten von EU-Bürgern nur auf einem EU-Server gespeichert wird. Damit ist Datenübertragung in die USA bei Nutzung der iCloud immer möglich und kann weder rechtlich ausgeschlossen noch technisch verhindert werden. Die Daten gelangen damit schnell in den Zugriffsbereich der amerikanischen Behörden.

Damit sind wir mit der Datenübermittlung in das Drittland USA im gefährlichen Fahrwasser. Im Rahmen der offensiven Überwachungspolitik der USA wurden seit den Anschlägen im September 2001 diverse Rechtsgrundlagen geschaffen, um Daten von nicht-US-Bürgern innerhalb und außerhalb der USA einfach einsehen und beschlagnahmen zu können. Dieser Umstand hat den europäischen Gerichtshof dazu veranlasst, zwei Abkommen über Datentransfers in die USA (Safe-Harbor und Privacy Shield) aufgrund ihrer Grundrechtswidrigkeit für unzulässig zu erklären. Zwar besteht aktuell mit dem Data Privacy Framework wieder ein Angemessenheitsbeschluss für zertifizierte US-Unternehmen, Apple hat sich aber noch nicht unter diesem Regelwerk zertifizieren lassen (dies können Sie hier prüfen).

Ausweg: Containerverschlüsselung für die Daten in der iCloud?

Früher war der Notnagel – wenn es die iCloud sein muss – eine geräteseitige Container-Verschlüsselung. Damit werden die Daten lokal verschlüsselt, bevor sie in die Cloud übermittelt werden. Dabei behielt der Nutzer auch die Hoheit über den Schlüssel für die Verschlüsselung, sodass dieser von den US-Behörden nicht vom Cloud-Betreiber zusammen mit dem Backup herausverlangt werden kann.

Dazu erstellt eine Container-Verschlüsselung einen verschlüsselten Datenspeicher auf dem Gerät, den Container. Man kann darin „arbeiten“, aber alles, was daraus abgerufen und dort hineingespeichert wird, wird verschlüsselt. Der verschlüsselte Container kann mit der Cloud synchronisiert werden, ohne dass bei einem Zugriff die (einfache) Möglichkeit besteht, die Daten zu entschlüsseln. Bei der Auswahl und Benutzung des Containers muss darauf geachtet werden, dass die gewählte Verschlüsselung allen aktuellen Standards entspricht und Passwörter etc. ebenfalls nicht einfach geknackt oder entwendet werden können.

Heute kann man statt auf einen Container seit iOS 16.3 auch auf den erweiterten Datenschutz der iCloud setzen. Insbesondere wenn man die weiterhin nicht Ende-zu-Ende-verschlüsselten Dienste wie iCloud Mail oder iCloud Kalender nicht nutzt. Das löst tatsächlich viele Probleme beim Punkt Datensicherheit, die sonst mit der iCloud verbunden wären. Es gibt Unternehmen aber auch nicht die volle rechtliche Sicherheit, die es braucht, wenn es seinen Dokumentationspflichten gegenüber der Aufsichtsbehörden vollständig nachkommen will.

Backups in der iCloud können ohne Warnung gelöscht werden

Zuletzt ist es auch um die dauerhafte Speicherung der iCloud-Backup-Daten nicht gut bestellt. Im Kleingedruckten versteckt, sonst aber ohne weitere Warnung, läuft hier nämlich ein 180-tägiger Countdown. Wird nicht mindestens alle 180 Tage ein weiteres Backup übermittelt, werden die Daten automatisch gelöscht. Eine andere Möglichkeit, die Speicherfrist zu verlängern, gibt es nicht. Wer länger nicht zugreift – weil ein verlorenes Gerät nicht zeitnah ersetzt werden kann oder aus andere Gründen – verliert so nach einem halben Jahr alle Daten unwiederbringlich. Und: ohne Warnung. Eine Vorwarnung per E-Mail o.ä. existiert nicht.

Auch hier geben sich für Unternehmen rechtliche Probleme, da ein derartiger Datenverlust ggf. ein meldepflichtiger Datenschutzvorfall ist.

Mehr Datenschutz mit iCloud+?

Apple bietet seinen Kunden ein Premium-Abonnement mit dem Namen iCloud+ an, welches auch mehr Privatsphäre verspricht. Hauptsächlich besteht die Funktionserweiterung aber darin, dass nun 2 TB Speicherkapazität vorhanden und die Anbindung von Video-Überwachungskameras in die iCloud+ möglich sind. Zudem wird eine verschlüsselte Verbindung für alle Internet-Verbindungen, vergleichbar mit einem VPN, bereitgestellt. Außerdem werden Möglichkeiten für eigene iCloud E-Mail-Domains bereitgestellt und austauschbare E-Mail-Adressen ermöglicht, die nur zur Weiterleitung auf die dahinter verborgene tatsächliche E-Mail-Adresse dienen. Die hier vorgestellten Kritikpunkte und die rechtlichen Probleme der Auftragsverarbeitungsvereinbarung beseitigt ein Upgrade auf iCloud+ hingegen nicht.

Eher no Cloud als iCloud

Die gesamte Konzeption der Apple iCloud ist als Unternehmenslösung eher wenig geeignet. Die rechtlichen Probleme sind über den Business-Manager-Vertrag nur oberflächlich gelöst. Sollte es zu einer Überprüfung durch die Aufsichtsbehörden kommen, ist eine große offene Flanke gegeben. Dazu sind Datenübertragungen in das Drittland USA immer mit einem gewissen Risiko und Aufwand verbunden. Denn im Zweifel müssen Unternehmen den Aufsichtsbehörden nachweisen können, dass bei der Datenübertragung in die USA und der dortigen Speicherung die Einhaltung des EU-Datenschutzniveaus sichergestellt ist. Vom Datenschutz-Standpunkt her kann bei der iCloud gesagt werden: Die Gesamtsituation ist aktuell noch unbefriedigend. Die Cloud-Konkurrenz ist zwar auch nicht fehlerfrei, aber zumindest einige Probleme sind anderswo besser gelöst. Welches Risiko ein Unternehmen bei der Auswahl seines Cloud-Dienstleisters eingehen kann und will, muss gut abgewogen werden. Und wenn es nicht wirklich erforderlich ist, ist eine Lösung, die die Daten auf dem eigenen Gerät belässt und ohne Cloud arbeitet, vielleicht doch nicht die schlechteste Wahl.