Ob diese neue Datenschutzoffensive seitens Apple eine simple Imagekampagne ist oder Apple wirklich der Schutz der Benutzerdaten wichtig ist, sei dahingestellt.
Interessant in diesem Zusammenhang ist aber die Behauptung, dass Apple auch Behördenanfragen über Benutzerdaten auf Apple Geräten mit iOS 8 nicht mehr erfüllen kann. Apple ist dazu technisch nicht mehr in der Lage, vorausgesetzt das Gerät ist mit einem Passwort geschützt. Auch wird zum wiederholten male auf die zur Verfügung stehenden Sicherheitsfunktionen verwiesen, die die Privatsphäre und die Daten des Benutzers zusätzlich schützen sollen. Insbesondere von der Zwei-Faktor-Authentifizeriung für den Zugriff auf Apple Dienste wie die iCloud oder den AppStore verspricht man sich einen Zugewinn an Sicherheit.
Spannend ist auch die Tatsache, dass Google in die gleiche Kerbe schlägt. In der nächsten Android Version, Codename "L", soll die Geräteverschlüsselung standardmäßig aktiviert sein, und somit ein Zugriff auf die Daten ohne das Gerätepassworts des Benutzers ebenfalls nicht mehr möglich sein.
Dieser Vorstoß von Apple und Google scheint bei FBI-Chef James Comey auf wenig Gegenliebe zu stoßen. So wird er mit den Worten zitiert: "Was mich beunruhigt, ist, dass die Unternehmen mit einer Funktion werben, die es Menschen erlaubt, sich jenseits des Gesetzes zu bewegen." Und weiter "Es muss eine breite Diskussion darüber geben, ob wir gewisse Dinge machen, die keinen Sinn mehr ergeben, die nicht mehr damit vereinbar sind, dass wir ein Land mit Gesetzen sind und dass niemand über diesen Gesetzen stehen darf". Dass Behörden Probleme mit diversen Apple Diensten haben, hat sich in der Vergangenheit bereits gezeigt. Unter anderem die bei iMessage verwendete Ende-zu-Ende Verschlüsselung bereitet den Ermittlungsbehörden Kopfzerbrechen. Auch ob die Verschlüsselung von Geräten Ermittlungen gegen Straftäter behindert, wird kontrovers diskutiert, und inwieweit Firmen wie Apple oder Google gesetzlich nicht verpflichtet sein müssen die Strafverfolgung zu unterstützen.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Natürlich gibt es für Behörden oder Dritte nach wie vor andere Wege an die persönlichen Informationen von zum Beispiel iOS 8 Benutzern zu gelangen. Neben der Anwendung eines (eventuell noch unveröffentlichten) Jailbreaks oder anderen Schwachstellen die den Zugriff auf die Geräte erlauben, ist wohl das Einfachste ein Backup des Gerätes mithilfe von Bruteforce Angriffen zu entschlüsseln. Die Herausforderung dabei besteht lediglich darin, ein solches Backup in die Hände zu bekommen. Bis vor kurzem war dies über die iCloud keine besondere Schwierigkeit. Auch sind diverse Konstellationen denkbar, in denen die Daten von dem mit dem Gerät verbundenen PC ausgelesen werden, ein Aufbrechen der Geräteverschlüsselung wird somit umgangen. Der Charm an dem Besitz eines Backups ist auch, dass anders als bei Angriffen auf das Gerät selbst, das Backup geduldig ist und alle Zugriffsversuche zulässt.
Bei all den aktuellen Datenschutzdiskussionen - auch im Schatten von PRISM und anderen Snowden Enthüllungen - geht Apple hier sicher einen richtigen Weg, und reagiert sensibel auf die Bedenken der Benutzer. Ob es sich dabei bei Apple nur um geschicktes Marketing oder ein tatsächliches Bemühen um die Sicherheit der Informationen der Kunden handelt bleibt abzuwarten. Google kämpft hingegen einen schwierigeren Kampf um den Datenschutz, ist doch das Kerngeschäft von Google das vermarkten von Daten jeglicher Art.
Für Unternehmen gilt nach wie vor, Daten brauchen eine Klassifizierung und eine Risikoeinstufung. Nur so kann geregelt werden, welche Daten auf Smartphones - egal welchen Herstellers - abgelegt werden können. Sensible Informationen dürfen die Hoheit des Unternehmensnetzwerkes nicht verlassen. (bw)