© Apple/Screenshot

Digital Life
04/04/2012

Apple hat Zugriff auf iCloud-Daten

Über einen Master-Key können Mitarbeiter auf iCloud-Daten zugreifen, um die Daten auf illegales Material zu sichten. Apple verweist dabei allerdings auf die strengen Mitarbeiterrichtlinien, die vor einem Missbrauch schützen sollen.

Der Clouddienst von Apple, iCloud, hat mittlerweile mehr als 100 Millionen Nutzer. Grund genug für den Blog Ars Technica, den Sicherheitsmechanismen des Diestes auf den Grund zu gehen. Dabei entdeckte man nun, dass Apple - trotz Verschlüsselung - Zugriff auf alle Daten hat, die auf den iCloud-Servern gespeichert werden, darunter Kontakte, Notizen, E-Mails, Termine und Lesezeichen. Jonathan Zdziarski, Experte für forensische Datenanalyse, sagte gegenüber Ars Technica, dass dies bereits die Nutzungsbedingungen vermuten lassen. Darin heißt es, dass Apple "in seinem alleinigen Ermessen Inhalte jederzeit vorab sichten, verschieben, ablehnen, modifizieren und/oder entfernen [kann], wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind." Außerdem sichert man Apple im Verdachtsfall auch die Weitergabe der Daten an Strafverfolgungsbehörden zu.

Der Master-Key
"Apple mag die Daten der iCloud zwar auf ihren Laufwerken verschlüsseln - doch sie behalten den Key", meint Rich Mogull, CEO der Sicherheitsfirma Securosis gegenüber Ars Technica. Allerdings sagt Mogull auch:"Jeder Dienst, der den Zugriff auf seine Daten per Webseite ermöglicht, muss den Key zum Entschlüsseln an den Webserver weitergeben. Das gilt auch für Dienste wie Dropbox, box.net und nahezu jeden anderen." Dropbox sorgte vergangenes Jahr

für Aufsehen. Darin sicherten sie sich die Erlaubnis, ähnlich wie Apple, Daten ohne Einverständnis an Strafverfolgungsbehörden weiterzugeben. Auch Dropbox sichtet Dateien auf verbotene Inhalte,verweist dabeiaber auf strenge Mitarbeiterrichtlinien.

Verschlüsselung selbst übernehmen
Doch trotz des "Master-Keys" würde  Apple laut Robby Gulri, Vice President für Produkte der Cloudsicherheitsfirma Echoworx, die "richtigen Schritte zum Schutz der Nutzerdaten" setzen. Die Datenübertragung per SSL, die anschließende Verschlüsselung mit einem 128 Bit langen Key sowie das Verbot von UDIDs seien gute Maßnahmen, aber noch nicht gut genug. Gulri empfiehlt die Einführung eines asymmetrischen Verschlüsselungsverfahrens wie PKI. Dienste wie Mozy oder JungleDisk geben bereits jetzt ihren Benutzern die Kontrolle über die verwendeten Keys und ermöglichen so ihren Mitarbeitern keinen Einblick in die Daten. Eine andere Möglichkeit zum Schutz der Daten bietet die Verschlüsselung der Daten mit Hilfe des Tools TrueCrypt.

Mehr zum Thema

  • Apple schaltet Push bei MobileMe und iCloud ab
  • Gerücht: Googles GDrive startet Anfang April
  • Dropbox legt Daten für US-Behörden offen