Derzeit passiert eine Menge Clickbaiting rund um Apple’s Differential Privacy. Hierbei werden Themen vermischt, ebenso werden die kritisch zu beachtenden Themen selbst außer Acht gelassen. Mir werden von unterschiedlichen Magazinen Links zugeschoben, die ich teilweise als katastrophal falsch oder sogar bedenklich definieren muss. Es wird die Frage gestellt, was ich davon halte. Mich wundert, dass diese Fragen erst jetzt gestellt werden und nicht bereits im Juni 2016.
Folgende Aussagen wurden getroffen:
a) Apple hat eine Default-Api zur NSA
b) Die Funktion wurde niemals erwähnt bzw. bewusst verschwiegen und ist undokumentiert
c) Apple verschweigt Erfassung von Tastatureingaben
d) Die Privacy Policies von Apple sind fragwürdig
e) Nutzerdaten werden ungefragt übertragen
###
tl;dr:
Die Aussagen, die von einigen “Fachblättern” getroffen wurden, sind falsch.
Differential Privacy ist dennoch kritisch zu sehen.
a) Apple hat eine Default-Api zur NSA
Einem Konzern, der seinen Kernel für die Welt offenlegt, mit Datenschutz dermaßen Werbung macht und besonders darauf Energie verwendet, dass dessen eigene Privacy Policy quasi das komplette Gegenteil eines Mittbewerbers ist, eine default-root-api zur NSA anzudichten, halte ich für – gelinde gesagt – „fragwürdig“. Die Exploits für iOS sind in der Preisliste von Vupen’s Nachfolger die derzeit teuersten (1,5 Millionen US$), da langt’s für den Hotzelschorsch, sofern er mal seine Klappe gehalten hätte (und nicht so ein lieber wäre) wohl gleich für mehrere Einfamilienhäuser. Für einen Marktbegleiter reicht es im übertragenen Sinne im Moment gerade mal für ein Eis mit Schoko und Vanille. Die Fixtime für #Pegasus lag bei unter 12 Stunden seitens Apple (Link).
Exploit payout pricing bei Zerodium, Stand 09/2016
b) Die Funktion wurde niemals erwähnt bzw. bewusst verschwiegen und ist undokumentiert
Die Funktion wurde der Öffentlichkeit in der Keynote von Juni 2016 vorgestellt: Link
Eine technische Erklärung der Funktion, sowie eine vollumfängliche Dokumentation der API befindet sich hier: Link
c) Apple verschweigt die Erfassung von Tastatureingaben
In b) widerlegt
d) Die Privacy Policies von Apple sind fragwürdig
in a) widerlegt, siehe hierzu auch Link. Vergeiche hierzu auch (Link)
e) Nutzerdaten werden ungefragt übertragen
Für die Übertragung von Telemetriedaten, jene diese Daten enthalten, gibt es ein Opt-In und Opt-Out während der Einrichtung von iOS, sprich du wirst persönlich angesprochen und danach gefragt, ob Du der Übertragung der Daten zustimmst. Das gleiche passiert bei iTunes. Es gibt keine Express-Einstellung, jene diese Einstellung per Default für Dich setzt. Diese Einstellung wird bei einem Softwareupdate (bislang) nicht überschrieben. Du hast jederzeit die Möglichkeit, diese Einstellung in den Systemeinstellung zu korrigieren.
Hier ist meine Antwort auf die ungestellte, deutlich wichtigere Frage, was Differential Privacy überhaupt ist:
Es gibt sie nicht. Ich kann Dir nämlich derzeit keine vollumfängliche Antwort geben, weil ich vermutlich Stunden brauchen würde, um Differential Privacy zu definieren, möglicherweise fehlen mir hierzu auch die wissenschaftlichen Ressourcen und Teilaspekte. Du würdest nach fünf Minuten bereits schlafen. Was ich aber tun kann, ist Dir ein paar Ansätze zu liefern, damit Du Dir selbst ein Bild machen kannst.
Wichtig ist bei dieser Debatte immer, was sind die Hintergründe, was bezweckt der Schreiber und was sagen die wichtigen Quellen zu diesem Thema. Meine Quellen möchte ich Dir offen legen. Die wichtigsten waren und sind immer Bruce Schneier – Link und Brian Krebs – Link. Bei beiden habe ich bislang zwar Skepsis gelesen, u.a. auch deutlich, jedoch keinen „#Aufschrei“ im Sinne von don’t use iOS. Sofern letzteres nicht passiert, sehe ich persönlich kein Risiko darin, dieses Betriebssystem einzusetzen, Teilfunktionen davon jedoch mit derselben, gebotenen Skepsis. So halte ich es übrigens auch mit iCloud Keychain. Dort habe ich, wie in vielen anderen Dingen auch, die Möglichkeit, die Funktion zu deaktivieren.
Was sagt also Bruce Schneier zu Differential Privacy (Link):
„We know very little about the details, but it seems to be an anonymization technique designed to collect user data without revealing personal information“
Auf Deutsch:
Wir wissen nur sehr wenig über die Details, aber es sieht so aus, als ob es eine Anonymisierungstechnologie ist, um Nutzerdaten zu sammeln, ohne jedoch persönliche Daten zu „enthüllen“.
Eine massenkompatible Veröffentlichung befindet sich auf Wired, Link. Diese Aussage liest sich wie folgt:
Apple’s ‘Differential Privacy’ Is About Collecting Your Data—But Not Your Data
Auf Deutsch:
Bei Differential Privacy von Apple geht es darum, Nutzerdaten zu gewinnen, jedoch nicht Deine persönlichen Daten.
Das ist mir alles ein wenig zu viel security by obscurity, ich halte es da mit „Was der Bauer nicht kennt, das frisst er nicht“. Technisch ist es für die Allgemeinheit zu schwer zu erklären. Die Truppe rund um Tim Pritlove macht das in metaphorischen Ansätzen aber ganz gut: Klick. Dieser Beitrag ist m.E. absolut hörenswert, um sich ein Bild zu machen und die Materie in Ansätzen zu verstehen – kurz, um überhaupt mitreden zu können.
Der Unterschied von Apple zu anderen Unternehmen ist, dass das Geschäftsmodell von Apple nicht darauf basiert, an Telemetriedaten der Kunden zu kommen um diese gewinnbringend zu veräußern, sondern um die eigene Technologie zu verbessern. Das ist im Moment meine persönliche Meinung. Noch vertraue ich diesem Unternehmen. Wichtig ist hierbei nachfolgender Absatz:
-> Wir wissen, dass sich dieser Umstand jederzeit ändern kann. Übersetzt kann das bedeuten: Wäre Satya Nadella damals z.B. nicht nach Redmond gegangen sondern nach Cupertino, würde ich möglicherweise ein Produkt aus Cupertino heute nicht einsetzen.
Technisch gesehen gibt es hierzu unterschiedliche Studien. Sie alle belegen, wie schwierig das Thema differential privacy selbst ist. Bislang hat sich kein IT-Gigant diesem Thema gewidmet. Jeder hat es lieber fallen gelassen, wie eine heiße Kartoffel, möglicherweise sogar mit Recht. Die Frage lautet also viel eher, can they deal with it or not. Sind sie in der Lage, das Ding dicht zu bekommen und dauerhaft dicht zu halten. Aus meiner Erfahrung heraus kann ich hier eher Analogien zu Ron Rivest’s RC4 finden. Alle fanden diesen Verschlüsselungsstandard damals super. Irgendwann jedoch hat Ruedi angefangen (Link), kritische Fragen zu stellen. Und irgendwann ist dieses mathematische Kartenhaus in sich zusammen gefallen.
Es kann jedoch auch, sofern richtig eingesetzt, eine wunderbare Methode sein, Big Data endlich mal sinnvoll und gewinnbringend einzusetzen, sei es nur – wie von den entsprechenden Schreibern der Fachblätter angesprochen – die Textvorschläge in Keyboard zu verbessern. Die API jedoch belegt wesentlich mehr sinnvolle Einsatzzwecke.
Ebenso ist es möglich, dass diese Technologie neue, ungewollte Sicherheitslücken schafft, die im Moment unbekannt sind. Davor sorge ich mich. Mangels Wissen über diese Technologie halte ich persönlich also davon Abstand und nehme das Angebot dankbar an, diese Funktion nicht nutzen zu müssen. Die rechtlichen Aspekte dieser Funktion sind bislang überhaupt nicht beleuchtet. Deswegen rate ich auch in MDM- Lösungen dazu, den Killswitch für diese Funktion generell zu setzen, das ist selbst mit Intune möglich – Link.
Die Aussagen, die von einigen „Fachblättern“ getroffen wurden, sind falsch.
Differential Privacy ist dennoch kritisch zu sehen.
Mein Fazit:
Du hast – wie schon zur allerersten Version von iOS – die Möglichkeit, der Generierung und Übermittlung dieser Daten zu widersprechen (Link). Ich empfehle Dir, das zu tun. Wie ich Dich als Leser meines Blogs (aus Google Analytics) kenne, hast Du das bereits umgesetzt.
Vielen Dank!