Wie sicher ist iCloud? Datenschutz und Verschlüsselung bei iCloud

Beim Thema Sicherheit hat iCloud durch die Einführung einer optionalen Zwei-Faktor-Authentifizierung nachgebessert. Dadurch dass das Unternehmen allerdings seine Rechenzentren in den USA hat, unterliegt iCloud vergleichsweise schwachen Datenschutzgesetzen.

Zu einem der größten Cloud-Anbieter auf dem Markt gehört iCloud. Der Onlinedienst von Apple ermöglicht die Synchronisierung von bis zu zehn Geräten und fungiert als Backup für iOS-Geräte. Aber wie sicher ist iCloud?

Um diese Frage hinreichend zu beantworten, muss man sich dem Thema iCloud-Sicherheit von mehreren Seiten nähern. Zum einen geht es dabei um die Verschlüsselung, die iCloud verwendet, um die Daten seiner Nutzerinnen und Nutzer vor unerlaubten Zugriffen zu schützen. Auch die Lage der Rechenzentren und ihre Schutzmaßnahmen spielen im Gesamtkontext eine große Rolle. Damit einhergehend lohnt sich immer ein Blick auf das Thema Datenschutz. iCloud speichert teils sensible Daten seiner Kundschaft, sodass besonders tiefgreifende und verlässliche Datenschutzbestimmungen von großer Wichtigkeit sind. Wir beantworten die drängendsten Fragen und klären somit, wie sicher iCloud ist.

Das Thema Verschlüsselung ist bei iCloud zweigeteilt. Grundsätzlich erfolgt die Sicherung Ihrer Daten mit einer 128-Bit-AES-Verschlüsselung. Dies gilt z. B. für die Backups, Fotos, Kontakte, Kalender oder Sprachmemos. Diese Verschlüsselung bietet iCloud auf dem Server selbst und während der Übertragung. Passwörter werden mit einer 256-Bit-Verschlüsselung gesichert. Das ist zwar grundsätzlich ein guter Anfang, bedeutet aber auch, dass die Daten nicht durchgängig verschlüsselt sind. Abhilfe schafft hier eine optionale Ende-zu-Ende-Verschlüsselung für iCloud, die mit einer Zwei-Faktor-Authentifizierung abgesichert wird. Mit dieser Methode wird sichergestellt, dass nur Sie Zugriff auf Ihre Daten haben. Selbst Apple oder Drittanbietern bleibt der Zugriff verwehrt.

Das bedeutet im Umkehrschluss allerdings auch, dass Ihre Daten ohne die Ende-zu-Ende-Verschlüsselung in iCloud grundsätzlich auch für Apple einsehbar und nutzbar sind. Das Unternehmen selbst gibt in den AGB zwar an, dass keine Analysedaten zu einzelnen Nutzerinnen und Nutzern generiert werden, die sich im Nachhinein eindeutig zuordnen lassen. Verschiedene Netzaktivisten und -aktivistinnen beschuldigen Apple jedoch, hierbei die Unwahrheit zu sagen. So seien die Analysedaten zwar auf den ersten Blick anonymisiert, das Unternehmen könne sie durch eine spezielle ID allerdings dennoch zweifelsfrei zuordnen.

In der Vergangenheit gab es häufiger negative Zwischenfälle, die die Frage aufwarfen, wie sicher iCloud wirklich ist. Bereits 2014 kam es zu einem großen Datenleck, da eine Sicherheitslücke in der Funktion „Find My iPhone“ ausgenutzt wurde und iCloud für Unbefugte einsehbar war. Dieses Einfallstor wurde in der Folge geschlossen.

2017 sperrten Hacker bzw. Hackerinnen über dieselbe Funktion allerdings zahlreiche iPhones und drohten damit, Daten von iCloud zu löschen. Das Unternehmen reagierte deshalb auch mit der oben angesprochenen Zwei-Faktor-Authentifizierung, die derlei Angriffsversuche deutlich schwieriger macht. Dieser zusätzliche Sicherheitsmechanismus für iCloud ist allerdings optional und wird nicht von allen Usern und Userinnen verwendet.

Auch andere Zwischenfälle rund um die Sicherheit von iCloud wurden immer wieder medial begleitet. Dabei handelte es sich allerdings häufig um Phishing, bei dem Nutzerinnen und Nutzer ihre Kontaktdaten freiwillig weitergaben oder Hackerinnen und Hacker aufgrund der Mehrfachnutzung eines Passworts den Zugang zur Cloud freilegen konnten. Durch die Mischung aus Passwort und Bestätigungscode, die die Zwei-Faktor-Authentifizierung bietet, sind allerdings auch solche Angriffe deutlich schwieriger durchzuführen. Die Frage, wie sicher iCloud ist, hängt in diesem Punkt also maßgeblich von zusätzlichen Schutzmaßnahmen und dem Verhalten der einzelnen Nutzerinnen und Nutzer ab.

Während Apple auf Verstöße in der Vergangenheit zumindest reagierte und durch neue Methoden und Tools Daten besser schützt, spricht ein anderer Faktor in Bezug auf die Sicherheit klar gegen iCloud. Da Apple ein US-amerikanisches Unternehmen ist, nutzt die Firma Server, die in US-amerikanischen Rechenzentren stehen. Dadurch gilt auch das Datenschutzrecht der Vereinigten Staaten, das deutlich schwächer als die meisten europäischen Vereinbarungen ist und so mehr Freiheiten lässt. In einigen Fällen werden Daten auch bei Drittanbietern gespeichert, was nach US-amerikanischem Recht zulässig ist. Für viele Nutzerinnen und Nutzer bietet ein solches Vorgehen allerdings Grund zur Sorge.

US-amerikanische Behörden haben spätestens seit dem Cloud-Act von 2018 weitreichende Befugnisse, die auch dann greifen, wenn aus dem Ausland Backups auf amerikanische Server hochgeladen werden. Dazu arbeiten die Unternehmen teils eng mit staatlichen Institutionen zusammen und sind verpflichtet, Datensätze auf entsprechende Anträge hin weiterzuleiten. Insbesondere aus diesen Gründen schneiden deutsche Cloud-Anbieter im Vergleich der sichersten Clouds deutlich besser ab als US-amerikanische Lösungen wie iCloud, die das Thema Datenschutz großzügiger angehen.

Die DSGVO (Datenschutz-Grundverordnung) regelt in Europa den Schutz personenbezogener Daten und stellt den freien (freiwilligen) Austausch dieser Daten sicher. Einer der Kernpunkte dieser Verordnung ist die Regelung, dass Daten von einem Dienstleister (in diesem Fall dem Cloud-Dienst) nur dann verarbeitet werden dürfen, wenn es einen klaren Auftrag zur Verarbeitung gibt. Ob Apples Dienst diesen Ansprüchen gerecht wird und wie sehr der Faktor Datenschutz bei iCloud Berücksichtigung findet, ist fraglich. Experten und Expertinnen zweifeln grundsätzlich an, dass die DSGVO und der Cloud Act kompatibel sind. Folgt man der Logik dieser Einschätzung, hat das auch massive Auswirkungen auf die Frage, wie sicher iCloud ist.

Während der Faktor Sicherheit bei iCloud für private Nutzerinnen und Nutzer eben auch eine private Frage ist, die sie nach eigenem Ermessen beantworten und gewichten können, sieht die Sache für Unternehmen, die auf Cloud-Lösungen setzen, naturgemäß anders aus. Diese wollen ihren Kundinnen und Kunden praktische Cloud-Lösungen anbieten und profitieren auch selbst von der erhöhten Flexibilität. Gleichzeitig tragen sie aber auch die Verantwortung für Kundendaten und müssen die Diskrepanz zwischen DSGVO und Cloud Act berücksichtigen. iCloud war ursprünglich nur für Privatuser vorgesehen. Der Business-Manager-Vertrag bietet da nur bedingt Abhilfe, weshalb sich Unternehmen im Bereich Datenschutz bei iCloud in einer Grauzone befinden.

Ist iCloud also sicher genug für professionelle Ansprüche? Die Antwort muss hier eher nein lauten. Zwar hat Apple in den letzten Jahren deutlich nachgebessert und die Verschlüsselung von iCloud verstärkt, die Problematik der Rechenzentren im Ausland bleibt aber dennoch bestehen. Während private Nutzerinnen und Nutzer dieses Risiko selbst bewerten und tragen müssen, ist das Risiko für Unternehmen ungleich größer. Bei einem ehrlichen Cloud-Speicher-Vergleich spricht der Faktor Sicherheit daher gegen iCloud und für einen der vielen einheimischen Anbieter.