Die britische Regierung hat Apple im September erneut per Technical Capability Notice (TCN) aufgefordert, Zugriff auf verschlüsselte iCloud-Backups zu ermöglichen. Anders als bei der ersten Anordnung im Januar, die weltweiten Zugriff verlangte, beschränkt sich die neue Forderung auf Daten britischer Staatsbürger. Dies berichtet die Financial Times unter Berufung auf informierte Kreise.

Die ursprüngliche Aufforderung vom Januar hatte einen diplomatischen Konflikt zwischen Großbritannien und den USA ausgelöst und drohte, die Handelsbeziehungen zu belasten. Apple hatte daraufhin im Februar seinen erweiterten Datenschutz für iCloud, die Advanced Data Protection (ADP), in Großbritannien deaktiviert.

Die neue Anordnung könnte jedoch nach Einschätzung von Datenschützern ebenso gefährlich sein wie die erste. Caroline Wilson Palow von Privacy International warnt: „Wenn Apple die Ende-zu-Ende-Verschlüsselung für Großbritannien bricht, bricht es sie für alle.“ Die entstehende Sicherheitslücke könne von feindlichen Staaten, Kriminellen und anderen Akteuren weltweit ausgenutzt werden.

Apple hatte gegen die ursprüngliche Anordnung beim Investigatory Powers Tribunal Beschwerde eingelegt. Die Anordnungen basieren auf dem britischen Investigatory Powers Act, den die Regierung als notwendig zur Bekämpfung von Terrorismus und Kindesmissbrauch bezeichnet.

Diplomatischer Druck aus Washington

Hochrangige Vertreter der Trump-Administration, darunter Vizepräsident JD Vance und Geheimdienstdirektorin Tulsi Gabbard, hatten Großbritannien zuvor gedrängt, die Januar-Anordnung zurückzuziehen. US-Präsident Donald Trump verglich die britische Forderung mit chinesischer Staatsüberwachung. Im August erklärte Gabbard, Großbritannien habe zugestimmt, seine Forderung nach Zugriff auf geschützte verschlüsselte Daten amerikanischer Bürger fallen zu lassen.

Eine der Trump-Administration nahestehende Person betonte damals, dass jede Hintertür auch den Schutz für US-Bürger schwächen würde. Die Forderung müsse vollständig zurückgezogen werden, um der Vereinbarung zwischen beiden Ländern gerecht zu werden. Während Trumps Staatsbesuch im vergangenen Monat, bei dem US-Technologieunternehmen Milliarden-Investitionen in britische KI-Infrastruktur ankündigten, wurde das Thema erneut von Mitgliedern der US-Delegation angesprochen.

Zwei hochrangige britische Regierungsvertreter erklärten jedoch, die US-Administration übe mittlerweile keinen Druck mehr auf die britische Regierung aus, die Anordnung zurückzunehmen. Dies deutet darauf hin, dass Washington die geografisch begrenzte neue Forderung möglicherweise als akzeptablen Kompromiss betrachtet – obwohl Sicherheitsexperten warnen, dass technisch keine echte Trennung möglich sei.

Rechtliche Geheimhaltung erschwert Debatte

Sowohl Apple als auch das britische Innenministerium reagierten nicht unmittelbar auf Anfragen. Beiden ist gesetzlich untersagt, TCNs öffentlich zu diskutieren. Apple hatte erst durch einen juristischen Teilerfolg im April erreichen können, dass die bloße Existenz der Klage und die Identität der Parteien öffentlich gemacht werden durften – das Gericht stellte fest, dass dies die nationale Sicherheit nicht gefährde.

WhatsApp hatte im Juni angekündigt, Apple in seinem rechtlichen Kampf zu unterstützen. Meta-Manager Will Cathcart warnte vor einem „gefährlichen Präzedenzfall“, der andere Staaten ermutigen könne, Verschlüsselung zu untersagen oder Hintertüren einzufordern

(mki)

Wer nicht gerade einen aktuellen Aston Martin fährt (und dort zunächst nur die US-Variante), kann CarPlay Ultra bislang nicht ausprobieren. Autohersteller setzen Apples tiefere iPhone-Integration nur schleppend um. Technische Gründe hat das selten, es geht eher um wirtschaftliche Aspekte und Markenbildung. Und wenn man dem Chef von Ford glaubt, dürfte sich das auch nicht so schnell ändern – selbst wenn kostengünstigere Marken wie Hyundai demnächst mit dem CarPlay-Nachfolger herauskommen wollen.

Angst vor Apple-„Übernahme“

Jim Farley, aktueller CEO des US-Autobauers, sagte in einer Episode des The-Verge-Podcasts „Decoder“, ihn störten Teile der aktuellen Implementierung der Apple-Software. Man fühle sich Apple zwar sehr zugeneigt, doch „wir sind mit der Umsetzung in der ersten Runde von Ultra nicht zufrieden“. Er habe deshalb schon „oft“ mit Apple-CEO Tim Cook gesprochen. Ford fürchtet offenbar, dass Apple mit Ultra „die Kontrolle über die gesamte Erfahrung innerhalb des Autos“ bekomme. Das klingt ähnlich wie Ansagen anderer Autohersteller.

Da es bei CarPlay Ultra aber genau darum geht – etwa der Möglichkeit, Fahrzeugsysteme direkt(er) zu steuern und auch das Armaturenbrett breit zu beschicken –, dürfte eine Einigung eher schwierig werden. Apple bietet den Fahrzeugfirmen allerdings an, dass sie ihr eigenes Instrumentencluster integrieren, was etwa Aston Martin ausgiebig gemacht hat. Doch das scheint Ford und anderen Autounternehmen nicht auszureichen.

Immer wieder Branding

Ein weiteres Problem, das Ford laut Farley sieht, ist die notwendige Integration zwischen Assistenzsystemen (Advanced Driver Assistance System, ADAS) und Unterhaltungstechnik, die CarPlay Ultra angeblich unterbinden würde. „Wir sind einfach davon überzeugt, dass die Integration von ADAS in das Unterhaltungssystem von entscheidender Bedeutung ist, wenn Sie mit dem Blick von der Straße abgelenkt über die Autobahn rasen.“ Allerdings plant Ford die Ausweitung dieser Technik erst in drei oder vier Jahren.

Doch hauptsächlich geht es Farley ebenfalls ums Branding. „Wie weit soll die Marke Apple gehen?“, fragte er im Podcast. „Soll die Marke Apple Ihr Auto starten? Sich um Geschwindigkeitsbeschränkungen kümmern? Oder die Zugangskontrolle des Autos managen?“ Interessant wird nun, wie es mit CarPlay Ultra weitergeht. Apple selbst scheint sich wenig Sorgen zu machen: Die Firma hat mit der Einführung von CarPlay bereits viel Erfahrung. Auch der ursprüngliche CarPlay-Dienst gelangte anfangs nur in ausgewählte Fahrzeuge – doch mittlerweile sind Autos ohne CarPlay in der Minderzahl.

(bsc)

Beim Bonitäts-Auskunftsdienst Bonify, hinter dem die Schufa-Tochter Forteil steckt, haben unbekannte Täter bei einem Angriff persönliche Daten von Nutzern erbeutet. In einer Mitteilung an betroffene Kunden vom Mittwoch erklärte Forteil, dass Unbefugte offenbar Zugriff auf Identifikationsdaten erhalten haben. Das Unternehmen bestätigte den Vorfall gegenüber c’t.

Der Dienst Bonify soll Verbrauchern kostenlos Zugang zu ihrem sogenannten Schufa-Basisscore verschaffen. Er informiert auch über Daten, die bei der Schufa hinterlegt sind, und meldet negative Schufa-Einträge auf Wunsch per Push-Nachricht. Bonify bietet außerdem zusätzliche Finanzdienstleistungen wie Kreditvermittlung oder Bonitätsauskünfte für Mietinteressenten, worin Verbraucher- und Datenschützer einen Interessenkonflikt sehen.

Videoindent-Daten erbeutet

Bei dem Angriff sollen die Täter Dokumente und Daten erbeutet haben, die beim Videoident-Verfahren verarbeitet worden sind. Abgeflossen sind dem Dienst zufolge Informationen, die neue Nutzer im Identifikationsverfahren angeben müssen sowie solche, die im Prozess aufgenommen werden. Dazu zählen Ausweisdaten, Adressdaten sowie Fotos oder Videos, die Forteil bei der Identifikation über Videoident abfragt respektive durch einen Dienstleister abfragen lässt und anschließend speichert.

Forteil betont, dass keine Passwortdaten, Informationen zu Girokonten einschließlich hinterlegter Zugangsdaten oder Bonitätsdaten kompromittiert worden seien. Wie viele Bonify-Nutzer tatsächlich betroffen sind, hat Forteil allerdings noch nicht bekanntgegeben. Auch zu dem Zeitraum, in dem sich die betroffenen Kunden neu registriert haben, macht der Dienst bisher keine Angaben.

„Kriminelle Tat „

Nach Informationen von c’t soll eine erpresserische Forderung der Täter im Raum stehen. Forteil machte dazu keine näheren Angaben, da das Verfahren noch nicht abgeschlossen sei. „Wir sind Opfer einer kriminellen Tat geworden“, sagte ein Unternehmenssprecher lediglich, „und arbeiten mit höchster Priorität und in enger Zusammenarbeit mit den zuständigen Behörden sowie unabhängigen Experten daran, den Angriff vollständig aufzuklären.“

Der Sprecher betonte, dass Forteil sämtliche Kunden, die nach aktuellem Kenntnisstand tatsächlich betroffen sind, per Mail informiert habe. Auch der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie Strafverfolgungsbehörden seien eingeschaltet.

Schwerwiegendes Sicherheitsproblem

Unklar bleibt, wie genau der oder die Täter vorgegangen sind. Da Forteil explizit von Face-to-Face-Identifikationsdaten im Videoformat spricht, betrifft der Vorfall offenbar ausschließlich den Videoidentprozess. Den wickelt das Unternehmen über den Dienstleister ID Now ab. Nicht betroffen wären demnach Nutzer, die sich mithilfe des elektronischen Personalausweises (eID) oder über ein Girokonto registriert haben.

Nach Informationen von c’t spricht derzeit aber wenig dafür, dass das Leck bei ID Now aufgetreten ist. Bonify ist wie andere Banken und Finanzdienstleister auch über eine Schnittstelle mit dem Identitätsdienstleister verbunden. Schon deshalb lässt sich nur spekulieren, wo genau sich die undichte Stelle befand und ob es sich um die Tat eines Insiders handelt oder externe Angreifer eine Sicherheitslücke ausgenutzt haben.

Neben dem möglichen finanziellen Schäden könnte auch das Vertrauen in Bonify/Forteil leiden. Zudem ist es nicht der erste Vorfall, mit dem der Dienst zu kämpfen hat. Bereits beim Start der Schufa-Auskunft innerhalb von Bonify hatte eine Aktivistin ein potenzielles Sicherheitsproblem entdeckt, das der Dienst damals schnell behoben hatte. Seither war es allerdings ruhig geblieben.

Der Vorfall kommt aber auch für die Mutter Schufa zu einem schlechten Zeitpunkt. Die Auskunftei versucht im Zuge ihrer seit 2022 propagierten „Transparenzoffensive“ nicht nur, das Vertrauen von Verbrauchern zu erhöhen. Sie ist auch gerade im Begriff, ein neues Scoresystem einzuführen und steht ohnehin durch verschiedene Gerichtsurteile unter besonderer Beobachtung.

Was Betroffene tun sollten

Für die betroffenen Bonify-Nutzer könnte der Vorfall im Nachhinein eine Menge Ungemach bedeuten. Mithilfe der Ausweisdaten können Cyberkriminelle beispielsweise online Verträge im Namen der Ausweisinhaber abschließen. Zwar benötigen sie für Dienstleistungen wie die Eröffnung eines Bankkontos oder den Abschluss von Kredit- oder Versicherungsverträgen in Deutschland den Originalausweis, entweder für das eID-Verfahren oder bewegte Bilder im Videoident.

Bei anderen Dienstleistungen wie einem Handy- oder Internetvertrag reicht aber häufig ein Bild des Ausweisdokuments. Die Betroffenen müssen dann mühsam die Verhältnisse klären. Dazu gehört insbesondere, Anzeige zu erstatten und der Polizei den Identitätsdiebstahl zu melden.

Ob und wie Cyberkriminelle die Ausweisdaten tatsächlich nutzen, ist derzeit aber noch nicht klar. Verbraucher, die sich bei Bonify registriert haben, sollten dennoch auf verdächtige Mails, Text- und Messengernachrichten oder Anrufe achten. Es empfielt sich auch, mit ungewöhnlichen Vorgängen bei Konten oder Verträgen zu rechnen.

Bei Hinweisen auf einen Datenmissbrauch sollte man zügig Anzeige bei der Polizei erstatten und einen Identitätsbetrug bei der Schufa melden, um den eigenen Score zu schützen. Nutzern, die auf Nummer sicher gehen wollen und deren Ausweisdokumente Teil des Leaks sind, bleibt nichts anderes, als einen neuen Ausweis zu beantragen und das alte Dokument sperren zu lassen.

Angesichts der Kosten ist es ein schwacher Trost, dass die Betroffenen für sechs Monate den Identitätsschutz von Bonify kostenlos nutzen können sollen. Das Tool soll persönliche Daten im Netz überwachen und bei möglichem Identitätsmissbrauch Hinweise geben.

(mon)