Apple betont den Schutz der Privatsphäre des Nutzers seit Jahren als großen Vorteil von iOS und macOS. Während Silicon-Valley-Konkurrenten wie Google Nutzerdaten zu Werbezwecken ausbeuten, gehe Apple deutlich sensibler mit den privaten Informationen von iPhone- und Mac-Anwendern um, so der Konzern.


iOS und macOS anonymisieren Nutzerdaten
Die von Apple im Sommer 2016 angekündigte Nutzung von Differential Privacy ist eine der Maßnahmen, die für einen effektiveren Datenschutz sorgen sollen. Differential Privacy ermöglicht es, diverse der von Nutzern generierten Daten zwar zur Optimierung von Clouddiensten und anderen Systemen auszuwerten, aber trotzdem weitgehend anonym auf die hauseigenen Server zu übertragen. Im Idealfall lassen sich dadurch datenspezifisch keine Rückschlüsse auf das Nutzungsverhalten und die Informationen der einzelnen Anwender ziehen.

Forscher der Bildungseinrichtungen University of Southern California, Indiana University und Tsinghua University (China) haben die Implementierung von Differential Privacy in iOS und macOS über einen Zeitraum von sechs Monaten untersucht (PDF). Das Ergebnis: Apples Betriebssysteme übertragen deutlich mehr spezifische Anwenderdaten, als die Privatsphäreversprechen des Konzern implizieren.

Die Analyse stützt sich auf Beobachtungen der Forscher. Apple selbst nennt kaum Details bezüglich der Verwendung der Technologie.

Apples Differential-Privacy-Verwendung unzureichend
Differential Privacy ist hauptsächlich dazu gedacht, von Systemen generierte Nutzerinformationen vor dem Zugriff durch Behörden, IT-Konzernen und der Werbeindustrie schützen. Wie effektiv die Technologie arbeitet, wird über einen Zahlenwert (Epsilon) des sogenannten Privacy Loss Parameter angegeben. Werte über 1 bedeuten eine zunehmende Verschlechterung des Schutzes der Privatsphäre, sodass es immer leichter wird, den individuellen Anwender zu identifizieren.

Laut den Forschungsergebnissen kommt macOS auf einen Wert von 6, während iOS 10 einen Privacy Loss Parameter von 14 erreicht. Zum Vergleich: Google verwendet für Chrome das Open-Source-System RAPPOR und kommt laut Angaben des Suchmaschinenriesen für einzelne Datenpakete auf einen Wert von 2. Über die gesamte Lebenszeit des Anwenders soll sich die Zahl bei 8 bis 9 einpendeln.

Handschellen aus Seidenpapier
Frank McSherry gehört zu den Erfindern von Differential Privacy und bezeichnet insbesondere den iOS-Wert als bedenklich: „Einen Epsilon-Wert von 14 für den täglichen Datenaustausch zu verwenden, erscheint mir als Schutzfunktion relativ sinnlos.“ Schon nach wenigen Tagen sei es Apples Datenanalysten unter Umständen möglich, eine in der Health-App eingetragene Krankheit dem jeweiligen iPhone-Nutzer zuzuordnen. „Apple hat sich mit Differential Privacy zwar Handschellen angelegt, was die Auswertung von Nutzerdaten angeht. Wie sich jetzt aber herausstellt, sind die Handschellen aus Seidenpapier.“

Die an der Studie beteiligte Forscherin Aleksandra Korolova kritisiert zudem Apples fehlende Transparenz hinsichtlich der Implementierung. Ohne veröffentlichte Differential-Privacy-Parameter müssen Nutzer dem Konzern schlicht vertrauen, so Korolova. Außerdem könne Apple das Schutz-Level jederzeit ändern, ohne dass es jemand mitbekommt.

Apple kontert Kritik
Apple bestreitet viele der in der Untersuchung genannten Kritikpunkte. Es sei längst nicht so einfach wie in der Untersuchung dargestellt, erhobene Daten mit einzelnen Personen in Verbindung zu bringen. Die Forscher hätten die Epsilons aller Datenarten schlicht miteinander kombiniert, obwohl der Konzern verschiedene Datenbereiche auch unterschiedlich behandle und einen größeren Schutz als von den Forschern dargestellt verwende.

Zusätzliche Sicherheitsmaßnahmen sind laut Apple die zeitliche Begrenzung der Datenaufbewahrung und der Verzicht auf die Speicherung von IP-Adressen. Auch stelle der Konzern dem Anwender bei der Ersteinrichtung des Systems frei, ob er es Apple erlaubt, Diagnose- und Nutzungsdaten zu erheben.


Weiterführende Links:

• Wired