Das iPhone und die Sicherheit

Welche Daten gebe ich nach außen und wie kann ich mich vor ungewollter Datenweitergabe schützen? Solche Fragen nach der Sicherheit stellen sich immer mehr Menschen, aber es gibt leider keine allgemeingültige Antwort darauf. In diesem Artikel gebe ich dir zumindest einige Hinweise und Ratschläge zum Schutz deiner Privatsphäre im digitalen Raum.

iphone-sicherheit

 

Für meine Großeltern war Fortschritt wahrscheinlich der Anschluss an die städtische Kanalisation oder das Telefonnetz. Er war sichtbar an der wachsenden Zahl der Steckdosen, Leitungen und Geräte, die das Leben einfacher machen sollen, vom Dosenöffner bis zur Heizungssteuerung. Wenn ich an sichtbare technische Veränderungen denke, die im Laufe meines Lebens passiert sind, muss ich zuerst an die explosionsartige Verbreitung von Mobiltelefonen denken und erst vor ein paar Tagen habe ich mich gewundert wie viele IP-Adressen ich eigentlich inzwischen bei mir zuhause vergebe.

All dies hat eine tiefere Verknüpfung mit der Außenwelt gemeinsam, was meine Großeltern sicher nicht als Gefahr wahrgenommen haben. Obwohl mit jeder dieser Errungenschaften mehr Informationen öffentlich zumindest zugänglich wurden und dies durch staatliche Institutionen schon immer ausgenutzt wurde. Bereits in den frühen 50er Jahren waren amerikanische Geheimdienste dazu in der Lage, elektrische Schreibmaschinen alleine durch Messung des elektrischen Feldes mitzulesen und so mancher Terrarium-Besitzer hat sich über einen Besuch der Polizei gewundert, weil der Stromverbrauch irgendwie auffällig war.

Wohin gehen meine Daten und warum?

Inzwischen hat das Unbehagen sehr vieler Menschen, bezüglich dem was all unsere Geräte über uns wissen und was sie damit anstellen, einen diffusen Zustand erreicht, der viele dazu veranlasst, möglichst wenig an die Außenwelt abstrahlen zu wollen. Doch wie entscheiden was man tut und was nicht? Zumal es auf diese Frage keine allgemein gültige Antwort geben kann und eine umfassende individuelle Antwort tiefes technisches Verständnis voraussetzt. Ich persönlich stelle gerne die Frage nach dem Motiv mir etwas kostenlos anzubieten. Facebook muss sich finanzieren, Google muss sich finanzieren, ich zahle nichts dafür, zumindest nicht direkt monetär. Wir zahlen mit unseren Daten, mit der Erlaubnis unsere Emails lesen zu lassen, mit jedem Zustimmen zur Verwendung von Cookies, mit jedem Schritt den wir mit Pokémon Go in der Hand machen.

Dabei geht es diesen Firmen nicht um uns, nicht um das Individuum, sondern darum, auch in Zukunft noch Geld verdienen zu können. Doch lassen sich diese Daten natürlich noch anders nutzen, sollten sie in falsche Hände kommen. Wir tragen kleine Peilsender mit uns, die sich auf die vielfältigsten Arten identifizieren lassen, online wie offline und dank Vorratsdatenspeicherung Monate im Nachhinein. Wie praktisch wäre es für staatliche Behörden, einfach nachsehen zu können, wer wann an welchem Ort war und damit schnell einen Täter dingfest zu machen? Oder man automatisiert die Identifizierung gleich, um durch Algorithmen feststellen zu können wer wahrscheinlich eine Tat begehen wird. Oder noch besser, Geschwindigkeitsüberschreitungen mit dem Auto werden automatisch geahndet und die Fahrer bestätigen die Abbuchung der Strafe einfach per SMS…nur um eine weitere Strafe zu bekommen, weil man während der Fahrt sein Handy in die Hand genommen hat, aus lauter Neugier wer da wohl geschrieben hat. An welchem Punkt fängt es dich an zu gruseln?

Warum ich iPhone Nutzer bin

Die Frage nach dem Motiv der Datensammler veranlasst mich, für Apple Produkte viel Geld auszugeben. Ich zahle lieber mehr, als mich durchgehend überwachen zulassen. Denn entgegen der weitläufigen Meinung Apple sei die Datenkrake schlechthin, und damit schlimmer als Facebook und Co zusammen, muss man doch zugestehen, dass Apple eine der wenigen Firmen ist, die ihre Userdaten nicht Dritten zur Verfügung stellt. Es wird sogar Aufwand betrieben um die Überwachung in Apps minimal und jedenfalls ausschaltbar zu machen.

Damit besitzt Apple das bei weitem beste Datenschutzkonzept aller mobilen Plattformen und schreckt auch nicht davor zurück, eigene Werbedienste einzustampfen, weil man mit diesem restriktiven Ansatz in der Welt der bunten Bilder leider keine Chance hat. Apple’s Verwendung des „differential privacy“-Konzepts, das maschinelles Lernen ermöglicht ohne dabei Daten zu erheben, die sich einem einzelnen Benutzer zuordnen lassen, ist nur ein weiteres Indiz für diesen Eindruck. Und was Porsche über Apple Car vs. Google Car  zu sagen hat, verfestigt ihn nur weiter. Ich möchte nun im folgenden auf einige iOS-Einstellungen eingehen, die aus meiner Sicht jedem Benutzer bekannt sein sollten.

Touch ID & Code

Öffnet man die Einstellungen des Gerätes, findet man in der Liste als ersten relevanten Eintrag „Touch ID & Code“. Generell ist zu empfehlen, einen 6-stelligen Code zu verwenden, da dieser im Vergleich zu einem nur 4-stelligen Code 990.000 mehr Kombinationsmöglichkeiten bietet. Am besten ist es jedoch, ein alpha-numerisches Passwort, also ein Passwort aus Buchstaben, Zahlen und Sonderzeichen zu verwenden, da hier die Möglichkeiten quasi unendlich sind. Dank der Einführung des Fingerabdrucklesers ist die Verwendung eines richtigen Passworts inzwischen deutlich bequemer geworden.

Richtet man diese Feature ein, werden die Fingerabdrücke auf einem eigenen, zusätzlich in das Device integrieren Computer gespeichert. Jedes neuere iOS-Gerät besitzt also quasi zwei integrierte Computer, wobei einer für die allgemeine Nutzung und der andere, die sogenante Security Enclave, nur für die Speicherung des Abdrucks zuständig ist. Auch wenn es bereits Techniken gibt, um Fingerabdrücke zu replizieren und das System damit auszutricksen, kann man davon ausgehen, dass das Risiko bei der Eingabe des Pins beobachtet zu werden deutlich höher ist, als die im Vergleich doch wesentlich komplexere Möglichkeit einen Fingerabdruck künstlich herzustellen.

Da es in der Vergangenheit immer wieder Sicherheitsprobleme gegeben hat, die es Dritten erlaubten, über Tricks das Passwort zu umgehen, sollte darüber nachgedacht werden, den Zugriff auf Systemdienste im Sperrzustand zu verbieten oder zumindest einzuschränken. Jeder muss selbst abwägen, ob es jedem der das eigene Telefon in die Hand nehmen kann zum Beispiel erlaubt sein sollte, (durch die Verwendung von Siri) Anrufe zu tätigen oder Kurznachrichten senden zu können. Empfehlenswert ist es ebenso, die Option „Daten löschen“ zu aktivieren, welche nach 10 falschen Passwortangaben die Daten vom Gerät löscht.

Datenschutz

Unter dem Eintrag „Datenschutz“ auf der Hauptseite der Geräteeinstellungen findet man die Möglichkeit, Apps den Zugriff auf Datenquellen wie die eigenen Kontakte und Fotos oder Zugriff auf die Kamera und das Mikrofon zu gestatten oder zu verweigern. Hier kann man auch steuern, ob bestimmte Apps immer oder nur während der Verwendung auf den momentanen Aufenthaltsort, also die GPS-Koordinaten, zugreifen können. Mit diesen Einstellungen ist eine feingliederige Steuerung möglich, welche Apps auf was zugriffen können. Die Entwickler von Apps sind durch Apple dazu angehalten, die Anwendungen so zu gestalten, dass das Verweigern des Zugriffes die Funktionalität der Applikation möglichst wenig einschränkt. Dies ist bei verweigertem Zugriff auf die Kontakte für Messenger-Apps sicher einfacher, als das Verweigern des Zugriffs auf die Kamera für eine Foto-App.

Meine Erfahrung sagt mir jedoch, dass die meisten Apps wenig Probleme haben, wenn man ihnen nicht gestattet, auf bestimmte Datenquellen zuzugreifen. Apps die Probleme machen, sind jedenfalls verdächtig und sollten im Zweifel nicht benutzt werden. Ich persönlich gestatte wenigen Programmen Zugriff auf meine Kontakte, da oft schon, z.B. durch Facebook das ganze Adressbuch ohne Rückfrage auf deren Server geladen wurde und dritte Personen auf einmal ihre Telefonnummer in ihrem Facebook Profil fanden, ohne diese jemals dort eingetragen zu haben.

iCloud

Die wohl wichtigsten Einstellungen finden sich jedoch unter „iCloud“. Es ist jedem Nutzer empfohlen, einen iCloud-Account einzurichten, auf seinen Geräten zu aktivieren und die Option „Mein iPhone suchen“ zu aktivieren. Dies verhindert einerseits, dass Dritte durch eine Neuinstallation des Betriebssystems ein gestohlenes oder verlorenes Telefon wieder nutzbar machen, da hierfür nun das iCloud-Passwort des verknüpften Accounts nötig ist. Und andererseits können abhanden gekommene Telefone, über iCloud.com, aus der Ferne geortet, gesperrt und gelöscht werden. Auch kann eine individuelle Nachricht am Sperrbildschirm angezeigt werden, in der ein Finder/eine Finderin dazu aufgefordert werden kann, eine bestimmte Nummer anzurufen, um das Gerät zurückgeben zu können.

Ein wenig anders verhält es sich mit dem Aktivieren von Backups über die iCloud. Hier ist die eigene Bequemlichkeit gegen die Sicherheit der privaten Daten abzuwägen. In der Vergangenheit hatten Behörden immer wieder Zugriff auf diese Daten, da diese unverschlüsselt auf Apple-Servern gespeichert werden. Sicherer ist es, Backups auf dem privaten Rechner zu speichern und die Option zur Verschlüsselung zu aktivieren. Letzteres hat den zusätzlichen Vorteil, dass auch besonders kritische Daten (wie z.B. die inzwischen immer mehr werdenden Gesundheitsdaten) ebenso im Backup inkludiert sind, was bei einem Backup in der Cloud nicht der Fall ist.

2-Faktor-Authentifizierung

Zuletzt möchte ich noch auf die Möglichkeit der 2-Faktor-Authentifizierung hinweisen. Durch diese ist der Zugriff auf den eigenen iCloud-Account nur durch die Eingabe eines zusätzlichen Pins möglich, ähnlich wie man es inzwischen von seiner Bank gewohnt ist. Man hat dabei immer die Möglichkeit auszuwählen, über welches Gerät man die eigene Identität bestätigen möchte, oder ob dies per SMS geschehen soll. Ersteres hat den Vorteil, dass die Übertragung des Pins in jedem Fall über sichere Verbindungen geschieht. Die Authentifizierung via SMS hat allerdings den Vorteil, dass ein Zugriff auch möglich ist, wenn man sein Gerät verloren hat.

Um diese 2-Faktor-Authentifizierung zu aktivieren, besucht man appleid.apple.com, meldet sich mit dem relevanten iCloud-Account an, wählt beim Menüpunkt „Sicherheit“ die Option ‚bearbeiten‘ aus und folgt dem Einrichtungsassistenten für die „zweistufige Bestätigung“.

Als letztes Jahr einige Prominente sehr private Fotos von sich plötzlich im Internet fanden, hätten sie dies beispielsweise durch das Nutzen dieser Option verhindern können. Alles Mühen um die Sicherheit der eigenen Daten kann dennoch umsonst sein. Man ist einfach zu abhängig von zu vielen kleinen Dingen, die oft kleine Fehler enthalten, welche enorme Ausmaße zur Folge haben können.

Wie viel Paranoia ist zu viel Paranoia?

Für mich persönlich ist die Maxime, nicht die am niedrigsten hängende Frucht zu sein – also nicht derjenige zu sein, bei dem es am einfachsten ist, an irgendwas dranzukommen. Achtet man auf einige dieser Hinweise, sind die eigenen Daten zwar nicht CIA-Sicher, aber zumindest sicher genug. Mehr als darauf zu achten, dass man möglichst sparsam mit den Daten umgeht, die man in die Welt hinaus schreit, kann man leider nicht. Meine persönlich letzte Bemühung in dieser Hinsicht, war das Einrichten eines zweiten Bankkontos. Nun weiß eine Bank wie viel ich verdiene, und die andere wofür ich mein Geld ausgebe. Wirklich wertvoll sind diese Daten jedoch nur in Kombination.

Abschließend bleibt zu sagen, dass es keinen Grund gibt in Panik zu verfallen und sich einen Hut aus Alufolie zu basteln. Ich halte mich da eher an den Fortschrittsglauben meines Opas, der mir als Kind schon beibrachte: “Strom kommt sowieso ins Haus, drum nutz ihn aus!“

Weiterführende Info
Ein sicheres Reise-iPhone aufsetzen