Noch schockierender ist, dass der Schritt von Apple nicht weit genug gehen könnte: In der an Apple gerichteten Anfrage basierend auf dem Investigatory Powers Act wird gefordert, dass Apple den Zugriff auf die Cloud-Daten aller Nutzer weltweit ermöglicht. Die aktuelle Änderung betrifft nur neue Nutzer aus dem Vereinigten Königreich. Bestehende Nutzer im Vereinigten Königreich werden irgendwann eine Warnung erhalten, dass sie die Ende-zu-Ende-Verschlüsselung deaktivieren müssen, da sie sonst den Zugang zu ihren Konten verlieren werden. Da Apple keinen Backdoor-Schlüssel hat, muss der Nutzer die Ende-zu-Ende-Verschlüsselung selbst deaktivieren.

Während Apple also weiterhin behauptet, es handele sich nicht um eine Hintertür, müssen sich die britischen Nutzer sehr betrogen fühlen. Ihre Daten in der Apple-Cloud können nicht mehr Ende-zu-Ende verschlüsselt werden, wodurch sie einem erhöhten Risiko für Datenschutzverletzungen, böswillige Angriffe und staatlichen Zugriff ausgesetzt sind.

Allerdings - und das muss zu Gunsten von Apple gesagt werden - hat das Big-Tech-Unternehmen seinen Dienst nicht heimlich mit einer Hintertür versehen, die dem britischen Innenministerium vollen Zugriff gewährt hätte, ohne dass jemand davon weiß. Da der Quellcode von Apple nicht als Open Source veröffentlicht wird, wäre es für das Unternehmen möglich gewesen, den Code heimlich zu ändern und niemandem davon zu erzählen. Die Tatsache, dass Apple der Forderung des Vereinigten Königreichs nach einer Hintertür nur teilweise und noch dazu öffentlich nachgekommen ist, lässt uns ein wenig Hoffnung schöpfen. Das britische Innenministerium hat nicht bekommen, was es wollte: Die Möglichkeit, jeden im Geheimen zu überwachen.

Während sich Apple vor zehn Jahren erfolgreich gegen eine ähnliche Forderung der US-Regierung gewehrt hat, musste das Unternehmen nun dem politischen Druck nachgeben und hat damit einen schrecklichen Präzedenzfall geschaffen. Die Ende-zu-Ende-Verschlüsselung ist das einzige Instrument, das wir haben, um unsere Daten zu schützen. Wir alle wissen, dass eine Hintertür nur für die Guten nicht möglich ist.

Wir bei Tuta werden uns weiterhin für Ihr Recht auf Privatsphäre einsetzen. Schließen wir uns zusammen und zeigen wir den Politikern, dass es nicht in Ordnung ist, in unsere privaten Daten einzudringen!

Was geschah - eine Analyse

Die britische Regierung hatte wieder einmal auf Massenüberwachung gedrängt, indem sie heimlich von Apple verlangte, eine Hintertür in seine Ende-zu-Ende-verschlüsselten Cloud-Backups einzubauen. Diese Forderung, die durch ein Leck an die Washington Post bekannt wurde, hat verheerende Folgen für die digitale Privatsphäre weltweit. Die Forderung erfolgte über eine Technical Capability Notice im Rahmen des umstrittenen Investigatory Powers Act 2016, auch bekannt als Snoopers’ Charter. Wäre Apple der Aufforderung in vollem Umfang nachgekommen, hätte dies den Verschlüsselungsschutz und den Schutz der Privatsphäre für alle Apple-Nutzer untergraben, nicht nur für die in Großbritannien.

Five Eyes: Wer kommt zuerst an die Daten heran?

Dies ist nicht das erste Mal, dass eine Regierung versucht, die Verschlüsselung unter dem Deckmantel der nationalen Sicherheit zu schwächen. Tatsächlich ist die Five-Eyes-Allianz, bestehend aus den USA, dem Vereinigten Königreich, Kanada, Australien und Neuseeland, dafür bekannt, dass sie die Verschlüsselung mit Hilfe von Hintertüren aushebeln will.

In den anhaltenden Kryptokriegen - die in dem Moment begannen, als PGP in den frühen 90er Jahren für jedermann verfügbar wurde - haben Regierungen auf der ganzen Welt versucht, Technologieunternehmen zu zwingen, weniger sichere Kommunikationsdienste zu entwickeln, damit die Strafverfolgungsbehörden die Unternehmen zu ihren kleinen (oder großen) Helfern bei der Verfolgung von Kriminellen machen können. Das Problem dabei ist, dass eine Kommunikationsmethode, sobald sie unsicher ist, für alle unsicherer wird - nicht nur für Kriminelle. Unabhängig davon versuchen die “Five Eyes” beinahe abwechselnd, Unternehmen zu zwingen, die Ende-zu-Ende-Verschlüsselung zu untergraben. Es sieht so aus, als ob derjenige, der die Daten zuerst in die Hände bekommt, den anderen Ländern helfen wird, das Gleiche zu erreichen.

Der Comic zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere anstehen, um an die entschlüsselten Daten zu gelangen. In einer aktualisierten Version dieses Comics sollte sich das Vereinigte Königreich zwischen Apple und das FBI stellen.

Öffentlicher Aufschrei stoppt flächendeckende Überwachung

Auch die EU hat mehrfach versucht, das clientseitige Scannen einzuführen, hat sich aber bisher nicht durchgesetzt, vor allem wegen des Widerstands, auch aus Deutschland, das sagte: “Es gibt keine Strafverfolgung um jeden Preis”, und die EU dürfe kein clientseitiges Scannen einführen.

In Bezug auf Apple haben die USA 2015/2016 ebenfalls versucht, Apple zu zwingen, seine Verschlüsselung aufzuweichen. Damals weigerte sich Apple aufgrund des öffentlichen Aufschreis, das clientseitige Scannen einzuführen.

Wir müssen bedenken, dass, sobald die Verschlüsselung untergraben wird, eine flächendeckende Überwachung - die Überwachung jedes Bürgers - möglich wird. Jede Hintertür für die Strafverfolgung würde unweigerlich zu einer Hintertür für böswillige Akteure und autoritäre Regime werden.

Kann das Vereinigte Königreich über Ihre Sicherheit entscheiden?

Als Apple zum ersten Mal mit der Nachricht konfrontiert wurde, dass das Vereinigte Königreich plant, eine Hintertür anzufordern, sagte Apple laut der Washington Post:

“Es gibt keinen Grund, warum die britische [Regierung] die Befugnis haben sollte, für die Bürger der Welt zu entscheiden, ob sie die erwiesenen Sicherheitsvorteile der Ende-zu-Ende-Verschlüsselung nutzen können.

Aber hat das Vereinigte Königreich die Macht dazu?

Eine unbekannte Quelle hat der Washington Post mitgeteilt, dass die britische Regierung von Apple verlangt, den britischen Strafverfolgungsbehörden Zugang zu verschlüsselten Cloud-Backups von Nutzern weltweit zu gewähren - unabhängig davon, ob sie britische Bürger sind oder nicht. Dies geschah durch eine Mitteilung, wozu die britische Regierung aufgrund des Investigatory Powers Acts von 2016 ermächtigt ist. Dieser wird daher auch als Snoopers’ Charter bezeichnet - das extremste Überwachungsgesetz in einer Demokratie. Dieser Rechtsmechanismus zwingt Unternehmen dazu, Strafverfolgungsbehörden zu unterstützen, indem sie Zugang zu verschlüsselter Kommunikation gewähren, und macht es ihnen außerdem illegal, solche Anfragen an die Öffentlichkeit weiterzugeben.

Die Anordnung des Vereinigten Königreichs geht über das Anvisieren bestimmter Konten hinaus. Sie verlangt eine pauschale Möglichkeit, den Code von Apple so zu ändern, dass nicht mehr nur der Nutzer seine Daten entschlüsseln kann, sondern dass Apple die Befugnis hat, alle Nutzerdaten zu entschlüsseln und diese auf Anfrage an die Behörden weiterleiten kann, was einen gefährlichen Präzedenzfall für die weltweite digitale Privatsphäre darstellt.

Die Macht des Vereinigten Königreichs scheint grenzenlos zu sein. Die WaPo berichtet, dass

”Eine der Personen, die mit der Situation vertraut ist, ein Berater, der die Vereinigten Staaten in Verschlüsselungsfragen berät, sagte, dass Apple daran gehindert werden würde, seine Nutzer zu warnen, dass seine fortschrittlichste Verschlüsselung keine vollständige Sicherheit mehr bietet. Die Person bezeichnete es als schockierend, dass die britische Regierung Apples Hilfe in Anspruch nimmt, um nicht-britische Nutzer ohne das Wissen ihrer Regierungen auszuspionieren.”

Dies ist umso problematischer, als der Code von Apple proprietär ist und nicht als Open Source veröffentlicht wird. Das bedeutet, dass eine Änderung in der Art und Weise, wie die Verschlüsselung auf den Apple-Clients durchgeführt wird, für die Öffentlichkeit sehr lange unbemerkt bleiben kann.

Präzedenzfall für Massenüberwachung

Dass Apple dem britischen Ersuchen um eine Hintertür für seine Verschlüsselung teilweise nachgekommen ist, hat einen gefährlichen Präzedenzfall für Technologieunternehmen weltweit geschaffen. Das Vereinigte Königreich war vielleicht das erste Land, das eine derart weitreichende Anordnung erteilt hat, aber es wird sicher nicht das letzte sein. Sobald eine Hintertür existiert, werden andere Regierungen Schlange stehen, um den gleichen Zugang zu verlangen. China, Russland und andere Regime mit einer fragwürdigen Menschenrechtsbilanz werden zweifelsohne nachziehen.

Außerdem gibt es im Rahmen der so genannten “Five Eyes”-Geheimdienstallianz seit langem Vereinbarungen über den Informationsaustausch. Das bedeutet, dass das Vereinigte Königreich alle Daten, die es von Apple erhält, an die anderen Länder der Five Eyes weitergeben kann, aber es bedeutet auch, dass die anderen Mitglieder dieser Allianz höchstwahrscheinlich die gleichen Überwachungsmöglichkeiten verlangen werden. Infolgedessen könnte dies die digitale Privatsphäre überall aushöhlen.

Opposition macht mobil

In dem Moment, in dem die Nachricht über die britische Forderung nach einer Hintertür für Apples Verschlüsselung bekannt wurde, schlug die Opposition Alarm, sogar in den USA: Senator Ron Wyden (Oregon), ein Demokrat im Geheimdienstausschuss des Senats, sagte der Washington Post:

“Wenn Trump und amerikanische Technologieunternehmen zulassen, dass ausländische Regierungen Amerikaner heimlich ausspionieren, wäre das skrupellos und eine absolute Katastrophe für die Privatsphäre der Amerikaner und unsere nationale Sicherheit.”

Seine Bedenken sind berechtigt, da die Five-Eyes-Länder häufig bei Überwachungsprogrammen zusammengearbeitet haben, wie die Enthüllungen von Edward Snowden zeigen. Eine von Großbritannien in Auftrag gegebene Hintertür wird nicht auf britische Behörden beschränkt sein - sie wird bald von Geheimdiensten in allen verbündeten Ländern genutzt werden.

Meredith Whittaker von Signal, einer der besten WhatsApp-Alternativen, sagte gegenüber WaPo:

“Die Verwendung von Technical Capability Notices zur Schwächung der Verschlüsselung rund um den Globus ist ein schockierender Schritt, der das Vereinigte Königreich eher als Paria denn als Technologieführer positionieren wird. Wenn die Richtlinie umgesetzt wird, wird sie eine gefährliche Schwachstelle in der Cybersicherheit im Nervensystem unserer globalen Wirtschaft schaffen.”

Matthias Pfau, CEO von Tuta Mail, fügt hinzu:

“Wir haben immer wieder Forderungen nach verschlüsselten Daten gesehen. Wir haben auch gesehen, wie diese Forderungen immer wieder abgelehnt wurden. Gemeinsam mit der Datenschutz-Community setzen wir uns für unser Recht auf Privatsphäre ein. Regierungen dürfen Tech-Unternehmen nicht dazu zwingen, die Sicherheit, auf die wir alle angewiesen sind, zu schwächen - gerade jetzt, wo die Cyberbedrohungen ständig zunehmen. Wir kämpfen für das Recht unserer Nutzer auf Privatsphäre mit Ende-zu-Ende-Verschlüsselung, und das werden wir auch weiterhin tun, egal was die Regierungen verlangen.”

Interessanterweise hat sich die US-Behörde CISA gerade erst lautstark für Verschlüsselung stark gemacht, weil die Chinesen amerikanische Telekommunikationsanbieter gehackt haben und China damit die unverschlüsselten Anrufe und Nachrichten vieler US-Bürger, darunter auch Politiker, überwachen kann. Dieser Angriff auf die USA zeigt, warum eine Ende-zu-Ende-Verschlüsselung in der heutigen Online-Welt mehr denn je erforderlich ist.

Nur eine Ende-zu-Ende-Verschlüsselung kann uns vor Datendiebstahl und bösartigen Angriffen schützen.

Interessanter Zeitpunkt

Der Zeitpunkt der Forderung des Vereinigten Königreichs ist auch vor dem Hintergrund allgemeiner geopolitischer Entwicklungen interessant zu analysieren. Bemerkenswert ist, dass Apple bereits während der ersten Amtszeit von Präsident Donald Trump versucht hat, die Ende-zu-Ende-Verschlüsselung für seinen Cloud-Speicher einzuführen - aber aufgrund von Beschwerden, dass das Unternehmen dann die Strafverfolgungsbehörden nicht bei der Verfolgung von Kriminellen wie Mördern oder Drogenhändlern unterstützen könne, einen Rückzieher gemacht. Die optionale Cloud-Verschlüsselung wurde dann 2022 von Apple eingeführt - und gerät nun wieder unter Druck, kurz nachdem Trump wieder Präsident der USA geworden ist.

Könnte es sich dabei um eine koordinierte Anstrengung zwischen dem Vereinigten Königreich und der US-Regierung handeln? Es ist möglich, dass die USA diesen Schritt stillschweigend unterstützen und das Vereinigte Königreich als Testgebiet nutzen, um zu sehen, ob die Tech-Giganten weitreichenden Überwachungsanordnungen nachkommen werden. Angesichts der Tatsache, dass die US-Geheimdienste, insbesondere das FBI, seit langem versuchen, durch die Hintertür auf verschlüsselte Kommunikation zuzugreifen, wäre es nicht verwunderlich, wenn Washington diesen Schritt hinter den Kulissen stillschweigend unterstützen würde. Beamte der Trump-Regierung lehnten auf Anfrage der Washington Post eine Stellungnahme ab.

Krypto-Kriege gehen weiter - aber der Datenschutz muss gewinnen

Dies ist nur die jüngste Schlacht in den laufenden Kryptokriegen, dem jahrzehntelangen Kampf zwischen Regierungen und Verfechtern des Datenschutzes um die Zukunft der Verschlüsselung. Seit den 1990er Jahren drängen die Strafverfolgungsbehörden auf Hintertüren in der verschlüsselten Kommunikation und begründen dies mit Terrorismusbekämpfung und dem Schutz von Kindern vor sexueller Ausbeutung. Sicherheitsexperten haben jedoch immer wieder bewiesen, dass eine Schwächung der Verschlüsselung für einen Zweck sie für alle Zwecke schwächt. Eine für Regierungszwecke geschaffene Schwachstelle wird unweigerlich von böswilligen Akteuren, einschließlich Cyberkriminellen und feindlichen ausländischen Regimen, ausgenutzt werden.

Bei Tuta haben wir immer wieder vor diesen Gefahren gewarnt. Unsere früheren Diskussionen über staatliche Überwachung, z. B. wie Regierungen Überwachungsgesetze ausnutzen und warum Verschlüsselung wichtig ist, zeigen, wie wichtig eine starke Verschlüsselung für den Schutz sensibler Daten von Bürgern und Unternehmen ist. Wenn wir einer Regierung erlauben, eine Hintertür in die sichere Kommunikation zu öffnen, ist es nur eine Frage der Zeit, bis andere nachziehen.

Die Privatsphäre von Milliarden von Nutzern steht auf dem Spiel.

Der Kampf um die Verschlüsselung ist noch lange nicht vorbei. Die Regierungen werden weiterhin auf mehr Überwachungsbefugnisse drängen, aber die Öffentlichkeit muss sich wehren. Die Privatsphäre ist ein grundlegendes Menschenrecht, und die Verschlüsselung ist das stärkste Instrument, das wir haben, um sie zu schützen. Verschlüsselung ist unerlässlich, wenn wir unser Recht auf Privatsphäre und unser Recht auf freie Meinungsäußerung schützen wollen.

Bei Tuta kämpfen wir weiterhin für Ihr Recht auf Privatsphäre mit quantensicheren Ende-zu-Ende-Verschlüsselung - ohne Hintertür, das ist eine Garantie.