Erst vor zwei Wochen stellte Apple neue Computer mit eigenen Chips vor, passend dazu wurde auch das neue Betriebssystem macOS Big Sur veröffentlicht, das seither für Wirbel sorgt. Denn schon am ersten Tag verweigerten nach der Installation viele Mac-Computer ihren Dienst: Programme öffneten sich nicht oder nur langsam – und das auch nur, wenn man mit dem Internet verbunden war.
Schnell stellte sich heraus, dass ein Serverausfall bei Apple Auslöser für das Problem war. Der Konzern wird nämlich vor jedem Programmstart kontaktiert. „Ein Programm wird heutzutage nur mehr gestartet, wenn es digital von einem vertrauenswürdigen Hersteller signiert ist, um Schadsoftware auszuschließen“, erklären Norbert Heger und Christian Starkjohann gegenüber ORF.at. Sie entwickeln in Wien eine der meistverbreiteten Firewalls für den Mac, Little Snitch.
Daten unverschlüsselt übertragen
Auf diesem Weg wird Apple der Hersteller eines Programms und der Startzeitpunkt mitgeteilt – allerdings nicht, welches Programm genau gestartet wurde, außer ein Hersteller bietet nur eine einzige App an. Problematisch ist das trotzdem, denn: „Diese Daten werden derzeit unverschlüsselt übertragen“, so die Entwickler.
Obwohl Apple beteuerte, diese Daten nicht zu verwenden oder zu speichern, könnten durch die Übertragung auch andere mitlesen. Nach scharfer Kritik im Netz kündigte Apple an, diesen Ablauf mittelfristig zu verschlüsseln, und bekräftigte erneut, keine Daten dadurch zu sammeln. Es ist eher die Ausnahme, dass Apple so direkt auf Kritik reagiert.
Apple darf VPNs und Firewalls umgehen
Doch nur wenige Tage später setzte es neue Kritik: Der US-Sicherheitsexperte Patrick Wardle schrieb auf Twitter, dass Apple in das neue Betriebssystem offenbar eine Möglichkeit eingebaut hat, Sicherheitsvorkehrungen wie Firewalls und Virtual Private Networks (VPNs) zu umgehen. Zwar kann Firewall-Software problemlos Programme von anderen Herstellern blockieren, für Apple-Dienste gibt es aber Ausnahmen, so Wardle.
VPNs sind so konzipiert, „dass mein Computer sich nicht direkt zu diversen Dienstanbietern im Internet verbindet, sondern er verbindet sich nur zu einem einzigen Dienst, dem VPN. Der Computer des VPN-Anbieters stellt dann die eigentliche Verbindung zu allen Internetdiensten her“, erklären die österreichischen Firewall-Entwickler. So kann der Dienstanbieter im Netz nicht sehen, vom wem die Verbindung ursprünglich stammt – und auch eine etwaige Überwachung der Internetverbindung kann dann lediglich feststellen, dass man ein VPN verwendet, mehr aber nicht.
„Kommerzmaschine“ für Apple „systemrelevant“
Doch: Dienste, die Apple für „essenziell wichtig“ hält, werden als Ausnahme behandelt. Heger und Starkjohann sagen, dass man damit sicherstellen wolle, dass Softwareupdates und Überprüfungen auf Schadsoftware auf keinen Fall blockiert werden, das sei „bis zu einem gewissen Grad verständlich“.
Die Entwickler verweisen aber darauf, „dass zu den ‚systemrelevanten‘ Diensten auch der App Store, Apple Music und die ganze Kommerzmaschine dazu gehören. Das mag zwar für Apple systemrelevant sein, aber für das Vertrauen der Benutzerinnen und Benutzer ist deren Umgehung der Firewall nicht wirklich förderlich.“
Apple kommentiert Kritik nicht
Die Little-Snitch-Macher haben Apple schon im Juli auf diese Schwachstelle hingewiesen, auch andere Entwickler, darunter der Amerikaner Wardle, sind auf den Konzern zugegangen. Offizielle Antwort gab es bisher keine. Auch auf Anfrage von ORF.at äußerte sich Apple nicht zu der Problematik, sondern verwies lediglich auf die Maßnahmen, die zuvor zum Sicherheitsabgleich mit den Apple-Servern getroffen wurden. Um ein Versehen dürfte es sich wohl nicht handeln – eine Liste mit Ausnahmen lässt sich leicht in den Systemdateien finden.
Auch wenn man damit eventuell nur verhindern will, dass sich Userinnen und User aus ihren Computern „aussperren“ und damit nicht mehr auf Dienste wie den App Store zugreifen können: Ganz vereinbar mit den plakatierten Grundsätzen von Apple scheint es nicht zu sein. Auf der Homepage lässt sich zum Thema Datenschutz folgende Passage finden: „Datenschutz zählt bei Apple zu den Kernwerten. (…) Welche deiner Erlebnisse du teilst und mit wem, solltest du ganz allein entscheiden können.“
Das könnte vor allem in Gebieten, in denen der Netzzugang nicht so frei ist wie etwa in Österreich, zum Problem werden. Daten, die dann nicht über VPNs laufen oder von einer Firewall blockiert werden, könnten theoretisch Rückschlüsse auf Nutzerinnen und Nutzer zulassen – was vor allem dann problematisch ist, wenn man davon ausgeht, dass man sich auf derartige Sicherungsmaßnahmen verlassen kann.
Entwickler kritisieren Änderungen scharf
In der Apple-Community reagierte man verärgert auf das Vorgehen des Konzerns. Der Entwickler David Dudok de Wit schrieb, dass Apple ein „Loch in den Damm gebohrt“ habe – „ohne jemandem davon zu erzählen“. Apple könnte mit diesem „Griff nach Macht (…) alles noch unsicherer machen“, schreibt Ruby-on-Rails-Entwickler David Heinemeier Hansson. Die Little-Snitch-Entwickler gehen unterdessen davon aus, dass Apple nachbessern wird – nachdem man ja auch nach dem Serverausfall zuletzt Änderungen in Aussicht gestellt habe.
Apple verspricht auf seiner Website, Produkte so zu entwickeln, dass man die Kontrolle über die eigenen Daten behält – mit dem Nachsatz: „Das ist nicht immer einfach.“ Das dürfte nicht zuletzt auch daran liegen, dass nicht ein Konzern alleine bestimmt, was guter Datenschutz bedeutet – es bleibt abzuwarten, ob Apple auch in diesem Fall auf seine Basis zugeht.