Der von Edward Snowden ins Rollen gebrachte NSA-Skandal hat hohe Wellen geschlagen und auch Apple in den Verruf gebracht, den amerikanischen Behörden Zugriff auf Benutzerdaten zu gewähren. Seither hat man sich in Cupertino um soviel Transparenz in dieser Angelegenheit wie möglich bemüht. Erst in der vergangenen Woche veröffentlichte Apple
Richtlinien, wie man künftig mit derlei Anfragen der amerikanischen Sicherheitsbehörden umgehen werde. Inzwischen hat sich hierzu die Datenschutzorganisation
Electronic Frontier (EFF) zu Wort gemeldet und Apple in seinem Bericht mit dem Titel "Who has your Back?" in allen sechs bewerteten Karegorien mit der Bestnote von 6 Sternen ausgezeichnet. Allerdings ist Apple hier nicht allein. Die aufgekommene Diskussion hat offenbar auch bei anderen Unternehmen die volle Punktzahl. Adobe und Amazon schnitten mit 3 Punkten, bzw. 2 Punkte deutlich schlechter ab.
Als Apple vergangene Woche einigermaßen überraschend iOS 7.0.6 veröffentlichte und dabei in den Releasenotes angab, mit der Aktualisierung "ein Problem beim Überprüfen der SSL-Verbindung" zu beheben, war man zunächst von einer einfachen Sicherheitsaktualisierung ausgegangen. Inzwischen schlägt das Thema aber um einiges höhere Wellen. So hat Apple gegenüber Reuters inzwischen erklärt, dass von demselben Problem auch OS X in seiner aktuellen Version betroffen sei: "We are aware of this issue and already have a software fix that will be released very soon." In Anbetracht der Tatsache, dass sich OS X 10.9.2 bereits seit einiger Zeit in der Betaphase befindet, darf damit wohl getrost von einer Veröffentlichung in der kommenden Woche ausgegangen werden. Das Problem betrifft lediglich Safari. Nutzt man einen anderen Browser, wie beispielsweise Firefox, ist man auf der sicheren Seite. Um zu überprüfen, ob man selbst betroffen ist, kann man die Webseite gotofail.com in Safari unter OS X aufrufen und bekommt entsprechende Auskunft. Ich rate allerdings von der Installation irgendwelcher nicht von Apple bereitgesteller Patches ab und empfehle stattdessen bis zur Behebung des Problems die Benutzung eines alternativen Browsers.
UPDATE: Inzwischen hat sich herausgestellt, dass nicht nur Safari von dem TLS/SSL-Bug betroffen ist, sondern auch andere Apps, die unter OS X verschlüsselte Verbindungen aufbauen. So z.B. iMessage, FaceTime, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und weitere Anwendungen. Es wird also Zeit, dass Apple das Problem möglichst kurzfristig behebt.
"In iOS gepatchter SSL-Bug besteht auch unter OS X - Wusste die NSA Bescheid? [UPDATE]" vollständig lesen
Hier mal wieder ein kleiner Beitrag zum Mitlesen für unsere amerikanischen Freunde. Es geht mal wieder um das leidige Thema dieser Tage: Die von Edward Snowden ins Rollen gebrachte Abhör-Affäre um die NSA. Einem aktuellen Bericht zufolge hat sich US-Präsident Barack Obama nun mit verschiedenen hochrangigen Vertretern aus der IT-Branche getroffen, darunter unter anderem Apple-CEO Tim Cook, AT&T-CEO Randall Stephenson und der Google Wissenschaftler Vint Cerf. Zumindest Apple und Google waren im Zusammenhang mit einem offenbar für die Regierung eingerichteten Hintertürzugang zu ihren Servern im Rahmen des Überwachungsprogramms PRISM in die Schusslinie geraten. Während sich niemand offiziell zu dem Treffen äußern wollte, soll es inoffiziellen Quellen zufolge dabei vor allem um eine bessere Balance zwischen einer notwendigen und sicherheitsdienlichen Überwachung und der Privatsphäre der Nutzer gegangen sein. Apple und Google gehörten zu den unterzeichnenden Unternehmen, die genau dies erst kürzlich von Präsident Obama gefordert hatten. Nähere Details zu dem Treffen wurden allerdings nicht bekannt.
Unterdessen gibt es zwei interessante Reaktionen auf die Affäre zu beobachten. In Deutschland haben sich aktuell die Telekom, GMX und Web.de zusammengeschlossen und die Initiative "E-Mail made in Germany" ins Leben gerufen. Kern der Initiative ist dabei das künftig die Kommunikation zwischen den Nutzern und den Rechenzentren der beteiligten Unternehmen SSL- bzw. TLS-verschlüsselt abläuft. Bevor hierüber aber allzu großer Jubel ausbricht, sei angemerkt, dass durch die keineswegs neue, nun aber ENDLICH von den Anbietern genutzte Technologie lediglich die Übertragung, nicht jedoch die E-Mail selbst verschlüsselt wird. Dies bedeutet im Klartext, dass die E-Mails bei den Anbietern nach wie vor in unverschlüsselter Form gespeichert werden. Vor einem Zugriff durch Behörden schützt die Initiative daher in keinem Fall. Letzten Endes ist sie daher nichts weiter als eine reine PR-Maßnahme, die bei genauer Betrachtung eher ein Armutszeugnis ist. Bedenkt man, dass man sich nun damit brüstet, im Jahr 2013 auf die revolutionäre Idee zu kommen, das bereits erstmals im Jahr 1994 entwickelte SSL/TLS für die Datenübertragung einzusetzen.
Eine wirklich sichere Ende-zu-Ende-Verschlüsselung (Verschlüsselung der E-Mail beim Absender und anschließende Entschlüsselung erst wieder beim Empfänger) setzte unterdessen der wohl von Edward Snowden in seiner Zeit auf dem Moskauer Flughafen Scheremetjewo genutzte private E-Mail-Dienst Lavabit ein. Ein Schelm mag böses dabei denken, dass man dort nun den Betrieb mit sofortiger Wirkung eingestellt hat. In einer auf der Startseite des Dienstes veröffentlichten und absolut lesenswerten Stellungnahme heißt es lediglich, dass der private Betreiber nicht in der Lage sei, über die Gründe für das Aus seines Dienstes zu sprechen. Man kann jedoch herauslesen, dass dieses unmittelbar mit den aktuellen Vorgängen rund um Edward Snowden zu tun hat. Ich persönlich zolle Ladar Levison allergrößten Respekt für seine Entscheidung, lieber den von ihm über zehn Jahre aufgebauten Dienst einzustellen, als gegen seine Überzeugung zu handeln und der US-Regierung Zugriff auf seine Daten zu geben.
Schaut man dieser Tage in die Medien, bekommt man täglich neue Meldungen zu den Bespitzelungsaktionen der NSA präsentiert. Das Thema, ursprünglich aufgekommen nach den ersten Enthüllungen durch Edward Snowden über das Programm PRISM Anfang Juni, beherrscht nach wie vor die Titelseiten. Und da auch Apple in diesem Zusammenhang immer wieder genannt wird, taucht es auch auf den einschlägigen Blogs und sonstigen Webseiten immer wieder auf. Nachdem Apple bereits unmittelbar nach den ersten Enthüllungen Kenntnisse über PRISM bestritten und dies anschließend auch noch einmal in einer öffentlichen Stellungnahme wiederholt hatte, geht man nun erneut in die Offensive. Gemeinsam mit Facebook, Microsoft, Twitter, der Wikimedia Foundation und diversen weiteren, insgesamt über 60 Unternehmen, Organisationen und Gruppen hat Apple die US-Regierung um Präsident Obama in einem offenen Brief dazu aufgefordert, mehr Transparenz zu dem Thema an den Tag zu legen.
So fordern die an dem Brief beteiligten Parteien, dass es es öffentlich einsehbare Berichte darüber geben müsse, wie oft die NSA Daten anfordere, wie viele Personen, Accounts oder Geräte dadurch betroffen seien und wie viele persönliche Daten oder Kommunikationsdaten angefordert wurden. Bislang war es den Unternehmen verboten, derlei Informationen zu veröffentlichen und auch die Behörden selbst äußerten sich bislang nicht dazu. Der Brief schließt mit der prägnanten Aussage: "Just as the United States has long been an innovator when it comes to the Internet and products and services that rely upon the Internet, so too should it be an innovator when it comes to creating mechanisms to ensure that government is transparent, accountable, and respectful of civil liberties and human rights." Dem ist wohl nichts hinzuzufügen.
Kleine Anmerkung am Rande: Ich wäre überrascht, wenn dieser Artikel mit den darin enthaltenen Schlagworten NSA, Snowden, Obama und PRISM nicht im Filter der Amerikaner landen würde. Daher auf diesem Wege ein fröhliches Hallo an unsere Freunde in Übersee!
Im Anschluss der Brief im Wortlaut:
"NSA-Affäre: Apple und Co. fordern mehr Transparenz" vollständig lesen