Zur mobilen Ansicht wechseln »

Datenschutz Apple hat Zugriff auf iCloud-Daten.

Foto: Apple/Screenshot
Über einen Master-Key können Mitarbeiter auf iCloud-Daten zugreifen, um die Daten auf illegales Material zu sichten. Apple verweist dabei allerdings auf die strengen Mitarbeiterrichtlinien, die vor einem Missbrauch schützen sollen.

Der Clouddienst von Apple, iCloud, hat mittlerweile mehr als 100 Millionen Nutzer. Grund genug für den Blog Ars Technica, den Sicherheitsmechanismen des Diestes auf den Grund zu gehen. Dabei entdeckte man nun, dass Apple - trotz Verschlüsselung - Zugriff auf alle Daten hat, die auf den iCloud-Servern gespeichert werden, darunter Kontakte, Notizen, E-Mails, Termine und Lesezeichen. Jonathan Zdziarski, Experte für forensische Datenanalyse, sagte gegenüber Ars Technica, dass dies bereits die Nutzungsbedingungen vermuten lassen. Darin heißt es, dass Apple "in seinem alleinigen Ermessen Inhalte jederzeit vorab sichten, verschieben, ablehnen, modifizieren und/oder entfernen [kann], wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind." Außerdem sichert man Apple im Verdachtsfall auch die Weitergabe der Daten an Strafverfolgungsbehörden zu.

Der Master-Key
"Apple mag die Daten der iCloud zwar auf ihren Laufwerken verschlüsseln - doch sie behalten den Key", meint Rich Mogull, CEO der Sicherheitsfirma Securosis gegenüber Ars Technica. Allerdings sagt Mogull auch:"Jeder Dienst, der den Zugriff auf seine Daten per Webseite ermöglicht, muss den Key zum Entschlüsseln an den Webserver weitergeben. Das gilt auch für Dienste wie Dropbox, box.net und nahezu jeden anderen." Dropbox sorgte vergangenes Jahr durch eine Änderung der Nutzungsbedingungen für Aufsehen. Darin sicherten sie sich die Erlaubnis, ähnlich wie Apple, Daten ohne Einverständnis an Strafverfolgungsbehörden weiterzugeben. Auch Dropbox sichtet Dateien auf verbotene Inhalte, verweist dabei aber auf strenge Mitarbeiterrichtlinien.

Verschlüsselung selbst übernehmen
Doch trotz des "Master-Keys" würde  Apple laut Robby Gulri, Vice President für Produkte der Cloudsicherheitsfirma Echoworx, die "richtigen Schritte zum Schutz der Nutzerdaten" setzen. Die Datenübertragung per SSL, die anschließende Verschlüsselung mit einem 128 Bit langen Key sowie das Verbot von UDIDs seien gute Maßnahmen, aber noch nicht gut genug. Gulri empfiehlt die Einführung eines asymmetrischen Verschlüsselungsverfahrens wie PKI. Dienste wie Mozy oder JungleDisk geben bereits jetzt ihren Benutzern die Kontrolle über die verwendeten Keys und ermöglichen so ihren Mitarbeitern keinen Einblick in die Daten. Eine andere Möglichkeit zum Schutz der Daten bietet die Verschlüsselung der Daten mit Hilfe des Tools TrueCrypt.

Mehr zum Thema

(futurezone) Erstellt am 04.04.2012, 09:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!