Erweiterter Datenschutz für iCloud
Der erweiterte Datenschutz für iCloud ist eine optionale Einstellung, die die höchste Sicherheitsstufe für Cloud-Daten von Apple bietet. Wenn ein Benutzer den erweiterten Datenschutz aktiviert, erhalten seine vertrauenswürdigen Geräte den alleinigen Zugriff auf die Verschlüsselungsschlüssel für die Mehrzahl der iCloud-Daten, wobei diese mit Ende-zu-Ende-Verschlüsselung geschützt werden. Wenn Benutzer den erweiterten Datenschutz aktivieren, steigt die Anzahl der Datenkategorien, die mittels Ende-zu-Ende-Verschlüsselung geschützt werden, von 14 auf 23 an und umfasst das iCloud-Backup, Fotos, Notizen und mehr.
Hinweis: Diese Funktion ist möglicherweise nicht in allen Ländern oder Regionen verfügbar.
Das Konzept des erweiterten Datenschutzes ist einfach: Alle CloudKit-Dienstschlüssel, die auf dem Gerät generiert und später in die Nach-Authentifizierung-verfügbaren iCloud-Hardwaresicherheitsmodule (Hardware Security Modules, HSMs) in den Apple-Rechenzentren hochgeladen wurden, werden von diesen HSMs gelöscht und verbleiben stattdessen vollständig innerhalb der iCloud-Schlüsselbund-Sicherheitsdomain des Accounts. Sie werden wie die vorhandenen Ende-zu-Ende-verschlüsselten Dienstschlüssel behandelt. Dies bedeutet, dass Apple diese Schlüssel nicht länger lesen und auch nicht mehr darauf zugreifen kann.
Mit dem erweiterten Datenschutz werden auch automatisch CloudKit-Felder geschützt, die Entwickler anderer Anbieter als verschlüsselt markieren, und alle anderen CloudKit-Daten.
Erweiterten Datenschutz aktivieren
Wenn ein Benutzer den erweiterten Datenschutz aktiviert, führt sein vertrauenswürdiges Gerät zwei Aktionen aus: Zuerst teilt es die Absicht des Benutzers, den erweiterten Datenschutz zu aktivieren, seinen anderen Geräten mit, die an der Ende-zu-Ende-Verschlüsselung beteiligt sind. Dazu wird ein neuer Wert, der von lokalen Schlüsseln auf dem Gerät signiert wird, in die Metadaten des iCloud-Schlüsselbund-Geräts geschrieben. Die Apple-Server können diesen Nachweis nicht entfernen oder ändern, während er mit den anderen Geräten des Benutzers synchronisiert wird.
Im zweiten Schritt initiiert das Gerät die Beseitigung der Nach-Authentifizierung-verfügbaren Dienstschlüssel aus den Rechenzentren von Apple. Da diese Schlüssel durch iCloud HSMs geschützt sind, ist dieser Löschvorgang unmittelbar, dauerhaft und unwiderruflich. Nach dem Löschen der Schlüssel hat Apple keinen Zugriff mehr auf jegliche der Daten, die von den Dienstschlüssel des Benutzers geschützt werden. Zu diesem Zeitpunkt beginnt das Gerät mit einem asynchronen Schlüsselrotationsvorgang, bei dem für jeden Dienst, dessen Schlüssel zuvor für Apple-Server verfügbar war, ein neuer Dienstschlüssel erstellt wird. Wenn die Schlüsselrotation aufgrund einer Netzwerkstörung oder eines anderen Fehlers fehlschlägt, wiederholt das Gerät die Schlüsselrotation, bis sie erfolgreich ist.
Nach erfolgreicher Dienstschlüsselrotation können neue Daten, die in den Dienst geschrieben wurden, nicht mit dem alten Dienstschlüssel entschlüsselt werden. Sie werden mit dem neuen Schlüssel geschützt, der ausschließlich von den vertrauenswürdigen Geräten des Benutzers gesteuert wird und nie für Apple verfügbar war.
Erweiterter Datenschutz und Webzugriff auf iCloud.com
Wenn ein Benutzer den erweiterten Datenschutz erstmals aktiviert, wird der Webzugriff auf seine Daten auf iCloud.com automatisch deaktiviert. Der Grund dafür ist, dass die iCloud-Webserver keinen Zugriff mehr auf die Schlüssel haben, die zum Entschlüsseln und Anzeigen der Daten des Benutzers erforderlich sind. Der Benutzer kann dann den Webzugriff wieder aktivieren und die Teilnahme seines vertrauenswürdigen Geräts nutzen, um auf seine verschlüsselten iCloud-Daten im Web zuzugreifen.
Nach Aktivieren des Webzugriffs muss der Benutzer jedes Mal, wenn er iCloud.com besucht, die Webanmeldung auf einem seiner vertrauenswürdigen Geräte autorisieren. Die Autorisierung bereitet das Gerät für den Webzugriff vor. Für die nächste Stunde akzeptiert dieses Gerät Anfragen von bestimmten Apple-Servern, einzelne Dienstschlüssel hochzuladen, aber nur diejenigen, die einer Positivliste von Diensten entsprechen, die normalerweise auf iCloud.com zugänglich sind. Anders gesagt: Auch nachdem der Benutzer eine Webanmeldung autorisiert hat, kann eine Serveranfrage das Gerät des Benutzers nicht veranlassen, Dienstschlüssel für Daten hochzuladen, die nicht zum Anzeigen auf iCloud.com vorgesehen sind (etwa Gesundheitsdaten oder Passwörter im iCloud-Schlüsselbund). Apple-Server fordern nur die Dienstschlüssel an, die zum Entschlüsseln der spezifischen Daten erforderlich sind, auf die der Benutzer im Web zugreifen möchte. Bei jeden Upload eines Dienstschlüssels wird dieser mit einem temporären Schlüssel verschlüsselt, der an die Websitzung gebunden ist, die der Benutzer autorisiert hat. Dabei wird auf dem Gerät des Benutzers eine Mitteilung angezeigt, die den iCloud-Dienst zeigt, dessen Daten den Apple-Servern vorübergehend bereitgestellt werden.
Benutzerauswahlen erhalten
Die Einstellungen für den erweiterten Datenschutz und den Webzugriff auf iCloud.com können nur vom Benutzer geändert werden. Diese Werte werden in den Metadaten des iCloud-Schlüsselbund-Geräts gespeichert und können nur von einem der vertrauenswürdigen Geräte des Benutzers geändert werden. Die Apple-Server können diese Einstellungen weder im Namen des Benutzers ändern, noch können sie sie auf eine vorherige Konfiguration zurückstufen.
Sicherheitsüberlegungen zu Freigabe und Zusammenarbeit
Wenn Benutzer Inhalte für die Zusammenarbeit miteinander teilen – beispielsweise mit geteilten Notizen, geteilten Erinnerungen und geteilten Ordnern auf iCloud Drive oder in der geteilten iCloud-Fotomediathek – und wenn alle Benutzer den erweiterten Datenschutz aktiviert haben, werden die Apple-Server nur verwendet, um die Freigabe einzurichten, haben aber keinen Zugriff auf die Verschlüsselungsschlüssel für die geteilten Daten. Die Inhalte bleiben Ende-zu-Ende-verschlüsselt und sind nur auf den vertrauenswürdigen Geräten der Teilnehmenden zugänglich. Für jede Freigabeaktion kann ein Titel und eine repräsentative Miniatur von Apple mit dem Standarddatenschutz gespeichert werden, um den Empfängern eine Vorschau anzuzeigen.
Wird beim Aktivieren der Zusammenarbeit die Option „Jeder mit einem Link“ ausgewählt, werden die Inhalte den Apple-Servern unter Standarddatenschutz zur Verfügung gestellt, da die Server in der Lage sein müssen, jedem, der die URL öffnet, Zugriff zu gewähren.
Der erweiterte Datenschutz wird von der iWork-Zusammenarbeit und der Funktion für geteilte Alben in der App „Fotos“ nicht unterstützt. Wenn Benutzer gemeinsam an einem iWork-Dokument arbeiten oder ein iWork-Dokument in einem geteilten Ordner auf iCloud Drive öffnen, werden die Verschlüsselungsschlüssel für das Dokument sicher auf die iWork-Server in den Apple-Rechenzentren hochgeladen. Das liegt daran, dass die Echtzeit-Zusammenarbeit in iWork erfordert, dass Dokumentänderungen durch serverseitige Vermittlung zwischen den Teilnehmenden koordiniert werden. Zu geteilten Alben hinzugefügte Fotos werden mit Standarddatenschutz gespeichert, da die Funktion es erlaubt, dass Alben öffentlich im Web geteilt werden.
Erweiterten Datenschutz deaktivieren
Der Benutzer kann den erweiterten Datenschutz jederzeit deaktivieren. Dabei geschieht Folgendes:
1. Das Gerät des Benutzers zeichnet zuerst die neue Auswahl in den beteiligen Metadaten des iCloud-Schlüsselbunds auf. Diese Einstellung wird dann sicher auf allen Geräten synchronisiert.
2. Das Gerät des Benutzers lädt die Dienstschlüssel für alle Nach-Authentifizierung-verfügbaren Dienste auf die iCloud HSMs in den Rechenzentren von Apple hoch. Dies umfasst niemals Schlüssel für solche Dienste, die unter Standarddatenschutz Ende-zu-Ende-verschlüsselt sind, etwa iCloud-Schlüsselbund und Health.
Das Gerät lädt sowohl die ursprünglichen Dienstschlüssel hoch, die vor der Aktivierung des erweiterten Datenschutzes generiert wurden, als auch die neuen Dienstschlüssel, die generiert wurden, nachdem der Benutzer die Funktion aktiviert hatte. Dadurch werden alle Daten in diesen Diensten nach der Authentifizierung zugänglich gemacht und für den Account gilt wieder der Standarddatenschutz, bei dem Apple dem Benutzer erneut helfen kann, die meisten seiner Daten wiederherzustellen, falls er den Zugriff auf seinen Account verlieren sollte.
Vom erweiterten Datenschutz nicht abgedeckte iCloud-Daten
Aufgrund der Notwendigkeit, mit den globalen E-Mail-, Kontakt- und Kalendersystemen zusammenzuarbeiten, werden iCloud Mail, Kontakte und Kalender nicht Ende-zu-Ende-verschlüsselt.
iCloud speichert einige Daten ohne den Schutz der benutzerspezifischen CloudKit-Dienstschlüssel, selbst wenn der erweiterte Datenschutz aktiviert ist. Felder für CloudKit-Datensätze müssen im zu schützenden Containerschema explizit als „verschlüsselt“ deklariert werden, und das Lesen und Schreiben verschlüsselter Felder erfordert die Verwendung dedizierter APIs. Datum und Uhrzeit, zu der eine Datei oder ein Objekt geändert wurde, werden verwendet, um die Informationen eines Benutzers zu sortieren, und Prüfsummen von Datei- und Fotodaten werden verwendet, um Apple dabei zu unterstützen, den iCloud- und Gerätespeicher des Benutzers zu deduplizieren und zu optimieren – und das alles ohne Zugriff auf die Dateien und Fotos selbst. Details dazu, wie die Verschlüsselung für bestimmte Datenkategorien verwendet wird, enthält der Apple Support-Artikel Sicherheitsüberblick – iCloud-Daten.
Entscheidungen wie die Verwendung von Prüfsummen für die Datendeduplizierung – eine bekannte Technik, die als konvergente Verschlüsselung bezeichnet wird – waren Teil des ursprünglichen Designs von iCloud-Diensten, als sie eingeführt wurden. Diese Metadaten sind immer verschlüsselt, aber die Verschlüsselungsschlüssel werden von Apple mit Standarddatenschutz gespeichert. Um den Sicherheitsschutz für alle Benutzer weiter zu stärken, setzt sich Apple dafür ein, dass mehr Daten, einschließlich dieser Art von Metadaten, Ende-zu-Ende-verschlüsselt werden, wenn der erweiterte Datenschutz aktiviert ist.
Anforderungen an den erweiterten Datenschutz
Für die Aktivierung des erweiterten Datenschutzes für iCloud gelten folgende Anforderungen:
Der Account des Benutzers muss die Ende-zu-Ende-Verschlüsselung unterstützen. Die Ende-zu-Ende-Verschlüsselung erfordert die Zwei-Faktor-Authentifizierung für die Apple-ID und einen Code oder ein Passwort, der bzw. das auf den vertrauenswürdigen Geräten festgelegt ist. Weitere Informationen sind im Apple Support-Artikel Zwei-Faktor-Authentifizierung für die Apple-ID zu finden.
Geräte, bei denen der Benutzer mit seiner Apple-ID angemeldet ist, müssen auf iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 (oder neuere Versionen) und die neueste Version von iCloud für Windows aktualisiert werden. Diese Vorgabe verhindert, dass die neu erstellten Dienstschlüssel von einer vorherigen Version von iOS, iPadOS, macOS, tvOS oder watchOS falsch behandelt werden. Beispielsweise könnten sie sonst in einem fehlgeleiteten Versuch, den Account-Status zu reparieren, diese neuen Dienstschlüssel erneut in die Nach-Authentifizierung-verfügbaren Hardwaresicherheitsmodule (HSMs) hochladen.
Der Benutzer muss mindestens eine alternative Wiederherstellungsmethode einrichten, etwa einen oder mehrere Wiederherstellungskontakte oder einen Wiederherstellungsschlüssel, die er dann zum Wiederherstellen seiner iCloud-Daten verwenden kann, falls er den Zugriff auf seinen Account verlieren sollte.
Falls die Wiederherstellungsmethoden fehlschlagen, beispielsweise wenn die Informationen des Wiederherstellungskontakts veraltet sind oder wenn der Benutzer sie vergisst, kann Apple bei der Wiederherstellung der Ende-zu-Ende-verschlüsselten iCloud-Daten keine Unterstützung leisten.
Der erweiterte Datenschutz für iCloud kann nur für Apple-IDs aktiviert werden. Verwaltete Apple-IDs und Accounts von Kindern (variiert je nach Land oder Region) werden nicht unterstützt.