Hinweis: Dieser Beitrag wurde am 20.01.2023 überarbeitet, nachdem Apple weitere Informationen veröffentlicht hat.
Am 07.12.2022 veröffentlichte Apple den Support Artikel iCloud data security overview. In diesem aktuell nur in englischer Sprache verfügbaren Artikel werden Änderungen bezüglich der Sicherheitsverfahren der iCloud beschrieben. Gegen den Widerstand von Regierungen und Ermittlungsbehörden wird Apple die Sicherheit der in iCloud gespeicherten Daten deutlich verbessern. Zwei-Faktor-Authentifizierung (2FA) ist für Apple IDs bereits seit längerem verfügbar, wird nun jedoch für alle neuen Apple IDs verpflichtend. Ob das auch für managed Apple IDs zutrifft oder ob es über das MDM deaktiviert werden kann, wird man sehen.
Bezüglich der Verschlüsselung von Daten in iCloud wird zwischen zwei Verfahren unterschieden, von denen das zweite optional aktiviert werden kann. In der Standard Datenschutzeinstellung werden die Daten in iCloud verschlüsselt, wobei die Schlüssel auf Apple Servern hinterlegt sind. Das ermöglicht es Apple, Nutzern zu helfen, ihre Daten wiederherzustellen, sollten sie dabei Probleme haben. Das Verfahren erlaubt es Apple jedoch auch, Ermittlungsbehörden Daten bei einer Ermittlungsanfrage herauszugeben – und Nutzer müssen davon nicht einmal etwas mitbekommen. In der Regel kooperiert Apple mit Ermittlungsbehörden. Ausgenommen sind von dieser Art der Verschlüsselung bei der Standardeinstellung nur einige wenige Daten. Diese sind dann allerdings sehr sicher Ende-zu-Ende verschlüsselt (E2EE), so dass auch Apple sie nicht entschlüsseln kann. Das ist möglich, da die Schlüssel für E2EE immer beim Nutzer liegen. In der Erweiterten Datenschutzeinstellung (verfügbar ab iOS 16.2, iPadOS 16.2 and macOS 13.1) liegen die Schlüssel ausschließlich beim Endnutzer. Der Zugriff ist nur über vertrauenswürdige Geräte möglich. Gegenüber der Standard Datenschutzeinstellung sind hier weitere Daten mit E2EE gesichert. Dazu gehören u.A. das iCloud Backup, iCloud Drive, Notizen, Fotos, Erinnerungen, Safari Lesezeichen, Siri Shortcuts, Passwörter und Schlüsselbünde, Safari (einschließlich des Verlaufs), Maps und von QuickType Keyboard erlernte Wörter.
Die Sicherheit der E2EE hängt bei Apple maßgeblich von der Sicherheit des Kontozugangs ab. Das ist auch einer der Gründe, weshalb neue Apple IDs 2FA nutzen müssen. Damit Nutzer den Zugang zu ihren mit E2EE gesicherten Daten in iCloud nicht verlieren, etwa wenn sie ihr Apple ID-Passwort oder Gerätepasswort vergessen haben, können sie einen Wiederherstellungskontakt einrichten und/ oder einen Wiederherstellungsschlüssel. Ein Wiederherstellungskontakt ist eine Person, welche die Identität eines Nutzers bestätigen und der Person damit helfen kann, wieder Zugang zu ihrem Konto und all ihren Daten zu erhalten. Hierfür müsste eine vertrauenswürdige Person gewählt werden. Im Kontext Schule könnte dieses ein schulischer Administrator sein. Der Wiederherstellungsschlüssel wird vom Nutzer auf seinem Endgerät erzeugt und wird in schriftlicher Form außerhalb des Gerätes aufbewahrt, etwa in einem Tresor.1Eine andere Möglichkeit wäre ein digitaler Passwortsafe. Es muss dabei jedoch sichergestellt sein, dass der Schlüssel für Dritte nicht als solcher zu erkennen ist – falls es mit dem Passwortsafe ein Sicherheitsproblem gibt. Er wird dann genutzt, um einen verlorenen Zugang zu einem mit 2FA gesicherten Konto wiederherzustellen.
Mit der Erweiterten Datenschutzeinstellung sind einige Funktionen von iOS bzw. iCloud für die Freigabe und das gemeinsame Bearbeiten nicht oder nur eingeschränkt verfügbar oder ihre Nutzung setzt ihre Schutzmechanismen für einige Daten zumindest vorübergehend außer Kraft. Nutzer müssen also wissen, was sie tun oder entsprechende Funktionen, müssen über das MDM deaktiviert werden. Der Zugriff auf iCloud.com ist mit der Erweiterten Datenschutzeinstellung im Standard deaktiviert. Von einem vertrauenswürdigen Gerät aus lässt sich der Zugriff jedoch aktivieren. Dazu werden dann die für die in Frage kommenden Daten Schlüssel vom Endgerät an Apple geschickt, um damit diese Daten über den Browser zugänglich zu machen. Auch Drittanbieter Apps profitieren von der Ende-zu-Ende Verschlüsselung von iCloud Backup in der Erweiterten Datenschutzeinstellung, da die Daten dieser Apps dann im iCloud Backup ebenfalls Ende-zu-Ende verschlüsselt werden. Der Beitrag geht auch auf die Verschlüsselung von Meta Daten ein. Diese unterliegt der Standard Datenschutzeinstellung, selbst wenn die Erweiterte Datenschutzeinstellung aktiviert wurde. In einer Tabelle im Dokument sind diese Metadaten aufgelistet für verschiedene Apps bzw. Datenkategorien (iCloud Backup, iCloud Drive, Photos, Notes, Messages in iCloud, Safari Bookmarks). Sie enthalten nach Angaben Apples keine Daten, die geeignet sind Inhalte zu identifizieren.
Nachtrag (20.01.2023): In dem Beitrag How to turn on Advanced Data Protection for iCloud (veröffentlicht von Apple 19.01.2023) beschreibt Apple die Anforderungen für die Nutzung der Erweiterten Datenschutzeinstellungen. Demnach steht die Funktion nicht für managed Apple IDs und die Konten von Kindern zur Verfügung.
Bewertung
Die neue Sicherheitsfunktion Erweiterte Datenschutzeinstellung bringt deutliche Verbesserungen für den Schutz von personenbezogenen Daten der Nutzer vor unbefugten Zugriffen Dritter. Das ist vor allem mit Blick auf den Cloud-Act, den Patriot-Act und weitere Gesetze, die US Ermittlungsbehörden einen nahezu unbeschränkten Zugriff auf Nutzerdaten geben, wenn diese auf Server in den USA oder auf Servern von US Unternehmen, egal wo in der Welt, gespeichert werden, ein enormer Fortschritt. Doch was bedeutet dieses für Schulen? Bringt es Schulen Vorteile in Bezug auf die Nutzung von Apple Produkten und vor allem von iCloud?
Schulen haben von den neuen Möglichkeiten leider überhaupt nichts, da ihnen mit managed Apple IDs die neuen Verschlüsselungsfunktionen der Erweiterten Datenschutzeinstellungen nicht zur Verfügung stehen. Es bleibt für sie damit alles wie gehabt. Ob Apple plant, die Erweiterten Datenschutzeinstellungen zukünftig auch für managed Apple IDs zur Verfügung zu stellen, ist nicht bekannt und vermutlich auch nicht beabsichtigt. Hier bleibt Schulen nur Abwarten und mit Apple Kontakt aufnehmen und deutlich machen, dass man die Erweiterten Datenschutzeinstellungen auch für managed Apple IDs haben möchte.
Wie sähe es aus wenn, Apple die Erweiterten Datenschutzeinstellungen für managed Apple IDs anbieten würde?
Dieser Teil ist Teil der ursprünglichen Bewertung der Meldung Apples zu den neuen Verschlüsselungsoptionen für iCloud. Er bleibt hier erhalten, damit man eine Idee bekommt, was Schulen die Erweiterten Datenschutzeinstellungen bringen könnten.
Apple verarbeitet die Daten von Nutzern ihrer Plattformen auf Servern, die in vielen Ländern der Welt stehen. Nur Länder wie Russland, China oder Indien und ähnlich sind davon ausgenommen, abgesehen von Nutzern aus den jeweiligen Ländern. Die Daten von EU Nutzern werden nach Angaben Apples überwiegend in der EU verarbeitet. Einige Daten fließen jedoch auch in die USA. Apple bietet Schulen den Apple School Manager Vertrag (ASM) an. Zu diesem gehören auch die Standardvertragsklauseln (SCC), die als PDF, ausgefertigt im März 2022, verfügbar sind. Mit letzterem ist die Übermittlung von personenbezogenen Daten von EU Nutzern in sogenannte Drittstaaten, also Staaten außerhalb der EU und des EWR, geregelt. Es geht dabei um Staaten, für die kein Angemessenheitsbeschluss der EU Kommission vorliegt, mit welchem einem Drittstaat ein der EU vergleichbares Datenschutzniveau attestiert werden kann.
Gesetzt der Fall, dass
- der ASM in Kombination mit den SCC den Kriterien für eine Auftragsverarbeitung gem. Art. 28 DS-GVO entspricht,
- die Nutzung von managed Apple IDs aus datenschutzrechtlicher Sicht als unbedenklich/ vertretbar eingestuft wird,
- die Erweiterten Datenschutzeinstellung aktiviert sind, und
- Lehrkräfte zur Nutzung von 2FA verpflichtet sind,
dann spräche bei Lehrkräften nichts gegen eine Speicherung von personenbezogenen Daten in iCloud und Sicherung des kompletten Dienstgerätes über ein iCloud Backup, da hierdurch der Zugriff von unbefugten Dritten, Apple eingeschlossen, auf jegliche derart gesicherten Daten unmöglich ist. Dabei wäre es unerheblich, ob die Daten in der EU oder in Teilen auch in den USA gespeichert würden. Gleiches würde für die Nutzung der Notizen App und weitere wie oben genannt zutreffen. Unter den beschriebenen Voraussetzungen wäre die Verarbeitung auch von sensiblen personenbezogenen Daten wie Zeugnissen, Gutachten, Beurteilungen, Unterlagen zu AO-SF Verfahren möglich, sofern diese auf Dienst iPads verarbeitet werden. Verschlüsselung ist, das sei angemerkt, eine der Maßnahmen, welche die SCC vorsehen, um Daten in einem Drittland mit einem möglicherweise geringeren Datenschutzniveau zu schützen.
Im Prinzip ließe sich dieses auch auf Schüler übertragen, sofern diese ebenfalls 2FA nutzen. Das könnte bei 1:1 Geräten durchaus Sinn machen, nicht jedoch bei Geräten, auf denen ein kompletter Login mit 2. Faktor erforderlich ist, da dieses im Schulalltag eher zu Problemen führen wird.
Schulen, die iCloud nutzen, sollten – sofern auch die Nutzung von iCloud zugelassen ist – vor allem bei Lehrkräften die Erweiterte Datenschutzeinstellung unbedingt nutzen. Sie könnten damit, vorausgesetzt sie gehen davon aus, dass die oben genannten Bedingungen erfüllt sind, das leidige Backup Problem für Dienstgeräte gut und sicher lösen. Mit der Aktivierung der Erweiterten Datenschutzeinstellung trifft eine Schule eine weitere technische Maßnahme zum Schutz der verarbeiteten personenbezogenen Daten und gewinnt damit ein Argument mehr, warum man die Nutzung von iCloud für vertretbar hält. Man kann so die Risiken unbefugter Zugriffe durch Dritte stark reduzieren.
Hinweis: Kontakte und Kalender profitieren nicht von der Erweiterten Datenschutzeinstellung, da die dafür genutzten Standard Protokolle (CalDAV und CardDAV) keine E2EE unterstützen. iCloud Mail unterstützt den Industrie-Standard S/MIME und lässt keine E2EE zu. Die Verschlüsselung in der Übertragung wie auch bei der Speicherung auf Apple Servern ist mit Schlüsseln abgesichert, auf die Apple Zugriff hat.
Was das genau für die Sicherheit dieser Apps bedeutet, müsste noch ermittelt werden, denn das BSI hat im Oktober 2022 dem Betriebssystem von iPhones und iPads nach einer Prüfung bescheinigt: „Die Prüfung bestätigt die Wirksamkeit der eingebetteten Sicherheitsfunktionen und kommt zu dem Ergebnis, dass die in handelsüblichen iPhones und iPads integrierten Applikationen für E-Mail, Kalender und Kontakte auch bei der Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ eine Ergänzung des bestehenden Portfolios sicherer mobiler Lösungen darstellen.“ Ob diese Aussage auch oder nur für eine Nutzung mit Drittanbieter E-Mail Konten und Kalender wie auch Adressbücher gilt, lässt sich den bisherigen Veröffentlichungen des BSI nicht entnehmen. In der Pressemitteilung, aus welcher oben zitiert wurde, heißt es auch: „Dazu sind Vorgaben des BSI hinsichtlich des Nutzerverhaltens, der sicheren Anbindung an Infrastrukturen durch ein Virtual Private Network (VPN) und der Verwendung eines Mobile Device Management Systems (MDM) einzuhalten.“ Gerade die Anbindung an ein VPN dürfte in Schulen momentan selten zu realisieren sein, falls das die Voraussetzung für die sichere Nutzung von E-Mail, Kalender und Kontakten sein sollte.
Außerdem
Bisher haben sich die Aufsichtsbehörden nicht aktiv mit Apple auseinandergesetzt. Das gilt für die datenschutzrechtlichen Verträge wie auch Datenflüsse bei der Nutzung von Apple Hardware, Apps und Online-Diensten wie iCloud. In Berlin scheint man sich jetzt erstmals mit den Telemetriedaten, die bei der Nutzung von iPads anfallen, beschäftigen zu wollen. Auf die Einschätzungen zur Nutzung von Apple Apps und iCloud dürfte das keine Auswirkungen haben. Inwieweit an Schulen die Nutzung von managed Apple IDs und iCloud möglich ist, hängt oftmals vom Schulträger und dessen Einschätzung bezüglich der DS-GVO Konformität und Sicherheit ab. Man kann aber davon ausgehen, da es auf absehbare Zeit auch hier Bewegung geben wird.