[datensicherheit.de, 09.08.2021] „Die Überwachung in der ,Cloud‘ durch US-Anbieter ist längst Normalität. Aber Apple überschreitet eine Rote Linie mit der Überwachung in den Endgeräten. Dadurch werden Hunderte von Millionen ,iPhone‘-Besitzer unter den Generalverdacht der Kinderpornographie gestellt“, sagt der Datenschutzexperte Detlef Schmuck in einer aktuellen Stellungnahme und warnt: „Eine Rasterfahndung durch Apple auf allen Endgeräten ist beinahe wie die Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell.“

Kinderpornographie ist zu ahnden – aber ein klares Nein gegenüber Apple zum Generalverdacht!

„Apple öffnet die Büchse der Pandora“, kritisiert Schmuck energisch die Ankündigung von Apple, künftig die Fotos auf ,iPhones‘ automatisch dahingehend zu untersuchen, ob sie mit dem Gesetz im Einklang stehen. Apple hatte demnach verlauten lassen, mit dem neuen Betriebssystem „iOS 15“ alle Fotos auf „iPhones“ einer Prüfung zu unterziehen, ob es sich um kinderpornographische Aufnahmen handeln könnte.
Schmuck betont indes ganz klar: „Kinderpornographie gehört zu den abscheulichsten Verbrechen überhaupt und es ist richtig und wichtig, dagegen vorzugehen!“ Aber, so Schmuck, sei es dennoch völlig unangebracht, Hunderte von Millionen „iPhone“-Besitzer unter Generalverdacht zu stellen und deshalb deren private Fotoalben zu durchsuchen.

Apple Vorhaben gleicht permanenter Hausdurchsuchung durch privatwirtschaftliche Firma

„Die Überwachung der Kundendaten in den ,Cloud‘-Services der US-Anbieter ist längst Normalität, sicherlich nicht nur bei Apple. Aber Apple geht einen Schritt zu weit, indem die Endgeräte der Kunden einer ständigen Kontrolle unterzogen werden“, erläutert Schmuck und moniert: „Das ist wie eine permanente Hausdurchsuchung durch eine privatwirtschaftliche Firma.“
Man möge bedenken: Die meisten Menschen hätten mehr oder minder ihr gesamtes Leben im Smartphone gespeichert. Es sei nun Aufgabe der Staatsanwaltschaften, der Polizei und der Gerichte, im Verdachtsfall – und nur dann – diese „digitalen Hausdurchsuchungen“ zu genehmigen, durchzuführen und nach dem geltenden Recht zu bewerten. Aber eine Rasterfahndung durch Apple auf allen Endgeräten sei beinahe wie die „Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell“.

Apple hat Algorithmus mutmaßlich auf Druck von US-Behörden entwickelt

Nach Einschätzung von Schmuck hat Apple den Algorithmus zum Auffinden von Kinderpornographie auf Druck von US-Behörden entwickelt. Daher wirft er die Frage auf: „Wer will Apple oder andere US-Konzerne daran hindern, künftig auf Drängen weiterer Staaten wie beispielsweise China mit anderen Suchmustern nach unerwünschten Inhalten zu fahnden? In den USA mag nach Kinderpornographie gesucht werden, in anderen Ländern möglicherweise nach regimekritischen Texten. Wenn es nicht gelingt, Apple zurückzupfeifen, können wir nie mehr sicher sein, welche Spionagesoftware auf unseren Smartphones heimlich läuft und wonach sie Ausschau hält.“
Die Daten der Kunden gehörten diesen selbst und sonst niemandem, stellt er klar. Als Gründer und Geschäftsführer des Hamburger Datendienstes TeamDrive, welcher nach eigenen Angaben eine sogenannte Ende-zu-Ende-Verschlüsselung bietet, versichert er: „Bei TeamDrive sind die Daten derart gut geschützt, dass niemand außer den Kunden selbst diese entschlüsseln können, weder wir als Betreiber des Dienstes noch irgendeine Behörde auf der Welt.“ Der TeamDrive-Chef befürchtet aber, „wie andere Datenschützer auch“, dass Apple diese Funktion zur Überprüfung der Korrektheit von Fotos künftig auf weitere Informationen, die im „iPhone“ oder in der „iCloud“ von Ende-zu-Ende verschlüsselt sein sollten, ausweiten werde.

Wer könnte Apple hindern, weitere moralische Kriterien an mit dem iPhone erstellte Fotos zu stellen?

Eine Technologie zur Rasterfahndung auf Endgeräten sei grundsätzlich abzulehnen, „weil sie Missbrauch und Überwachung geradezu sträflich Vorschub leistet“, so Schmuck. „Wer will Apple daran hindern, in Zukunft weitere moralische Kriterien an die mit dem ,iPhone‘ erstellten Fotos zu stellen?“ – er erläutert seine Befürchtung wie folgt:
„Heute ist es Kinderpornographie und wir alle stimmen der Bekämpfung zu. Morgen sind es möglicherweise Verstöße gegen ,Corona‘-Regeln oder Drogenmissbrauch und es stimmen noch einige zu. Übermorgen ist es Tierquälerei oder wer weiß schon was. Alle gesetzestreuen Bürger begrüßen es, wenn diese Verbrechen geahndet werden. Aber wir wollen dieses Mandat den Staatsanwaltschaften, der Polizei und den Gerichten in Deutschland übertragen, nicht der US-Firma Apple.“

Neben willkürlich erweiterbarer Zensur durch Apple könnte Kontrollprogramm von Hackern missbraucht werden

Zudem warnt der TeamDrive-Chef, dass neben der willkürlich erweiterbaren Zensur durch Apple ein solches Kontrollprogramm von Hackern geentert und dazu genutzt werden könnte, in die „iPhones“ von Hunderten Millionen Menschen einzudringen. „Die Möglichkeit, in die Endgeräte einzudringen, wird Hacker rund um den Globus wie ein Magnet anziehen“, gibt Schmuck zu bedenken.
Er erinnert an den geheimen Entwurf einer geplanten Deklaration des EU-Ministerrats vom Herbst 2020, nach der die Betreiber von Ende-zu-Ende-verschlüsselten Diensten gezwungen werden sollten, den Behörden Generalschlüssel zu allen Kundendaten zu übergeben. Den damaligen Titel des EU-Resolutionsentwurfs „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ bezeichnet Schmuck als „völlig irreführend“.

Egal ob EU oder Apple – düstere Datenschutz-Prognose

Faktisch hätte eine solche Resolution das Sicherheitsniveau in der EU dramatisch verschlechtert – er appelliert an die Öffentlichkeit: „Wenn wir die Zustimmung zur Aufweichung der Ende-zu-Ende-Kommunikation dem EU-Ministerrat verweigern, sollten wie genau dies Apple erst recht nicht erlauben. Nur durch eine lückenlose Verschlüsselung ohne Ausnahmen ist die Privatsphäre bei der digitalen Kommunikation gewährleistet.“ Die EU-Mitgliedsstaaten wären nach der Resolution in der Lage gewesen, sich mit ihren Schlüsseln jederzeit und unerkannt in private Unterhaltungen und andere verschlüsselte Übertragungen einzuklinken. „Genau dieses Privileg scheint sich jetzt Apple selbst einräumen zu wollen“, so Schmucks Befürchtungen.
Für die Zukunft gibt Schmuck einen eher düsteren Ausblick: „Egal ob EU oder Apple, offenbar dürstet es den Staat und die Digitalkonzerne gleichermaßen danach, Zugang zu den privaten Daten der Bürger und Verbraucher zu bekommen. Wir sollten alle Hebel in Bewegung setzen, unsere Privatsphäre auch im Zeitalter der Digitalisierung zu bewahren.“

[datensicherheit.de, 30.08.2019] Nach einer Meldung von Virtual Solution hat Googles Cyber-Security-Abteilung „Project Zero“ den „mutmaßlich größten Hacker-Angriff auf ,iPhones‘ aller Zeiten aufgedeckt“. Mit Hilfe mehrfacher und einzigartiger Exploit-Ketten haben demnach verseuchte Websites offenbar jahrelang massenweise Spionage-Software auf „iPhones“ installiert. Diese haben dann beliebige Apps auslesen und an den Server der Angreifer übermitteln können. Selbst regelmäßige Updates auf die neuesten Versionen von „iOS“ hätten die Betroffenen nicht davor schützen können.

Foto: Virtual Solution

Günter Junk: Fast alle Mitarbeiter nutzen inzwischen Smartphones auch am Arbeitsplatz

Hochsensible Betriebsgeheimnisse und personenbezogene Daten gefährdet

„Für Privatnutzer kann das eine Katastrophe sein – für Unternehmen aber der Super-GAU“, kommentiert Günter Junk, „CEO“ bei Virtual Solution, den Vorfall und erläutert: Fast alle Mitarbeiter nutzten inzwischen Smartphones auch am Arbeitsplatz, seien es Privatgeräte oder Firmenhandys. Damit seien auch hochsensible Betriebsgeheimnisse, aber auch personenbezogene Daten von Mitarbeitern, Kunden oder Partnern gefährdet.

Abgeschotteter Datenraum empfohlen

Junk rät: „Den besten Schutz gegen derartige Attacken bietet die Containerisierung. Container-Apps wie ,SecurePIM‘ bilden einen geschützten, von den übrigen Anwendungen eines Smartphones komplett abgeschotteten Datenraum, der zudem durchgängig verschlüsselt ist.“ Angriffe, wie die von Google aufgedeckten Exploits, bekämen es deshalb gleich mit drei massiven Hürden zu tun.

3 massive Hürden gegen Angriffe

• Sie müssten erstens ganz gezielt auf die geschützte App ausgelegt sein, denn allgemeine Exploits sind nicht in der Lage, an sie anzudocken.
• Selbst wenn das gelänge, hätten sie zweitens immer noch eine möglichst lange PIN vor sich, die zu knacken wäre.
• „Und sollte tatsächlich der unwahrscheinliche Fall eintreten, dass auch diese Hürde überwunden wird, würden die Angreifer vor hochsicher verschlüsselten Informationen stehen“, so Junk.

Weitere Informationen zum Thema:

datensicherheit.de, 15.10.2018
Hygiene: Datenschutz ist wie Händewaschen

[datensicherheit.de, 18.04.2016] Laut aktueller Medienberichte ist es dem FBI gelungen, ohne die Hilfe von Apple die Sicherheitsmechanismen des „iPhones“ zu umgehen.

Angreifbarkeit lockt auch Cyber-Kriminelle

Bastian Klein, „Sales Manager Mobile Security“ bei Check Point Software Technologies Ltd., weist in seiner Stellungnahme zu diesem Vorfall darauf hin, dass dieser die Angreifbarkeit von Apple-Produkten demonstriert, und er warnt, dass auch Cyber-Kriminelle früher oder später Mittel und Wege finden werden, es dem FBI gleichzutun. Vielleicht seien ihnen diese sogar schon bekannt.
Demnach können Organisationen und Anwender aus diesem Vorfall lernen, dass alle Mobilgeräte angreifbar sind, ganz egal, welches Betriebssystem, welcher Hersteller und welche Philosophie dahinter steht. Der scheinbare Schutz durch MDM- oder EMM-Lösungen könne trügen – da die Betriebssystemebene ebenfalls angreifbar sei, könnten Schutzmechanismen leicht ausgehebelt werden, so Klein.

Foto: Check Point Software Technologies

Bastian Klein: Alle Mobilgeräte angreifbar!

Mobile Geräte grundsätzlich Einfallstore für Cyber-Angriffe

Viele Organisationen unterschätzten die Gefahr im Bereich Mobile. Es gehe nicht nur darum, einzelne Geräte zu verwalten, sondern alle Unternehmensdaten im Netzwerk zu schützen und Betriebsabläufe zu sichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spreche in diesem Zusammenhang vom Paradigma „Assume the Breach“ – „Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzustellen und darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist. Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem anzunehmendem Vorfall umzugehen ist”.
Mobile Geräte seien „grundsätzlich Einfallstore für erfolgreiche Cyber-Angriffe“, betont Klein. Daher müssten für „BYOD“ und „IoT“ die Reaktionsfähigkeit und die Durchsetzung von Richtlinien jederzeit gewährleistet werden. Die Nutzung von privaten Geräten für Business-Zwecke werde weiter zunehmen, was die Anzahl der Angriffsvektoren zusätzlich erhöhe. Laut aktuellen Untersuchungen sei die Anzahl mobiler Geräte in 91 Prozent aller Unternehmen weltweit gestiegen. Schockierend dabei sei, dass trotz der vielen Schwachstellen nur 44 Prozent der Unternehmen Firmendaten auf Privatgeräten schützten.

„Threat Intelligence“ gefordert

„Advanced Mobile Threats“ müssten durch eine entsprechende „Threat Intelligence“ erkannt und diese Information dann an die EMM-Lösungen weiterleitetet werden, erläutert Klein.
Moderne Sicherheitskonzepte automatisierten diesen Prozess und ermöglichten intelligente Echtzeit-Reaktionen auf Bedrohungen. Dadurch könne auch unbekannte Malware erkannt werden und zeitgleich Compliance zu jedem Zeitpunkt gesichert werden. „Der Zugriff auf Firmendaten wird rechtzeitig blockiert, bevor es zu einer illegalen Kopie kommen kann“, so Klein.
Durch die frühzeitige Erkennung werde die Gefahr von Angriffen minimiert und Unternehmensprozesse würden zusätzlich gesichert. Kompromittierte mobile Geräte ermöglichten nicht nur den Diebstahl von Informationen, sondern bedrohten auch Betriebsabläufe durch die Verbindung zum Firmennetzwerk. Unternehmen sollten dies bei der Umsetzung ihrer Sicherheitsstrategie bedenken, unterstreicht Klein.

[datensicherheit.de, 11.07.2012] Eine aktuelle Studie des Bitdefender-Forschungslabors zeigt wie iOS-Apps in die Privatsphäre von iPhone-Usern eindringen. Die Experten untersuchten dazu 65.000 Applikationen. Rund ein Fünftel griffen unerlaubt auf die Adressbücher der Benutzer zu. 41 Prozent der Anwendungen konnten zudem den Standort des Nutzers ohne dessen Wissen lokalisieren. Darüber hinaus speicherte eine von drei Apps private Dateien des Handy- oder iPad-Besitzers ab, ohne sie zu verschlüsseln.
Das Bitdefender-Forschungsteam deckte im Rahmen der Studie unangenehme Hintergrundaktivitäten einiger iOS-Apps auf. Unter anderem greifen 18,59 Prozent aller getesteten Anwendungen auf die Adressen sowie sämtliche Kontaktdetails der iPhone- und iPad-Besitzer zu, ohne vorher deren Einwilligung einzuholen. Die ausgelesenen Informationen könnten Dritte für ihre Zwecke nutzen und an Unternehmen verkaufen. Der Handel mit Adressen und Telefonnummern bietet ihnen ein lukratives Geschäft. In der Regel greifen Apps nur auf Smartphone-Adressbücher zu, um Kontakte zu übertragen oder Social-Media-Kontakte hinzuzufügen.

Apps orten User unerlaubt

Neben dem Eingriff von Apps in Adressbücher stellt das „Location-Tracking“ eine weitere Verletzung der Privatsphäre dar. Mit dieser Technologie orten Apps das Smartphone und finden gleichbedeutend die Geo-Position des Besitzers heraus. Im Normalfall wird das „Location-Tracking“ für Services genutzt, die der Benutzer erlauben muss. Jedoch lokalisierten 41,41 Prozent der Anwendungen auch ohne Zustimmung den genauen Standort. Diese Informationen können Dritte an Unternehmen für deren Marketing-Kampagnen verkaufen. Beispielsweise werden Daten über häufige Besuche von Fast-Food-Restaurants oder Sportgeschäften an Firmen übermittelt. So werben sie effektiver bei ihren Zielgruppen.

Daten nicht ausreichend geschützt

iPhone- und iPad-Besitzer nutzen Apps darüber hinaus zum Transferieren von Daten. Gerade sensible Dateien sollten hier im Sinne des Anwenders durch einen Code verschlüsselt werden (Encrypting). Dies reduziert das Risiko eines unerwünschten Zugriffs durch Dritte. Doch nach Bitdefender-Recherchen schützten lediglich 57,54 Prozent der Apps aus dem Analyse-Pool die Nutzer-Daten durch Verschlüsselung.

Weitere Informationen unter:

www.bitdefender.de

[datensicherheit.de, 06.07.2011] Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem „iPhone“, „iPad“ und „iPod touch“ eingesetzt wird, enthält in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek kritische Schwachstellen:
Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Website reichten laut BSI aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren. Die Schwachstellen ermöglichten es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang stehe noch kein Patch für diese Sicherheitslücken zur Verfügung.
Von den Schwachstellen betroffen seien die Betriebssysteme „Apple iOS für iPhone 3GS“ und „iPhone 4“ bis einschließlich Version 4.3.3, „Apple iOS für iPad“ und „iPad 2“ bis einschließlich Version 4.3.3 sowie „Apple iOS für iPod touch“ bis einschließlich Version 4.3.3. Derzeit sei nicht auszuschließen, dass auch weitere Versionen des Betriebssystems iOS von der Schwachstelle betroffen sind.
Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist verfügbar. Zwar wurden noch BSI-Erkenntnissen keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden. Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen wie Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten, sowie der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen oder die GPS-Lokalisierung des Nutzers.
Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere „iPhone“ und „iPad“ auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.
Bis zur Veröffentlichung eines Software-Updates des Herstellers empfiehlt das BSI, PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die auf Websites bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen. Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Websites beschränkt werden. Hyperlinks in E-Mails oder auf Websites sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen. Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.
Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue Sicherheitsinformationen berichten. Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal davon auszugehen, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 06.07.2011
Neue Schwachstellen im Apple Betriebssystem iOS / Ausführung von Schadprogrammen auf iPhone, iPad und iPod touch möglich