[datensicherheit.de, 30.06.2025] Die Apps der KI-Anwendung „DeepSeek“ bei Google und Apple in Deutschland sind von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) als „rechtswidriger Inhalt“ gemeldet worden. Die beiden Unternehmen müssen demnach diese Meldung nun zeitnah prüfen und über eine Sperrung entscheiden. Hintergrund sei eine rechtswidrige Übermittlung von personenbezogenen Nutzerdaten der App nach China.

„DeepSeek“ unterliegt Vorschriften der europäischen Datenschutz-Grundverordnung

Die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Beijing (Peking), China, betreibt den Dienst „DeepSeek“ – einen KI-gestützten multifunktionalen Chatbot. „Es besteht keine Niederlassung des Unternehmens in der Europäischen Union (EU).“ Der Dienst werde Nutzern in Deutschland unter anderem über Apps im „Google Play Store“ und im „Apple App Store“ mit deutschsprachiger Beschreibung angeboten und könne in deutscher Sprache verwendet werden. „Damit unterliegt der Dienst den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO)!“

Laut eigener Angaben verarbeitet dieser Dienst umfangreiche personenbezogene Nutzerdaten – darunter alle Texteingaben, Chat-Verläufe und hochgeladenen Dateien sowie Informationen zum Standort, den benutzten Geräten und Netzwerken. Die gesammelten personenbezogenen Daten der Nutzer übermittele dieser Dienst an chinesische Auftragsverarbeiter und speichere diese auf Servern in China.

Für China hat die EU keinen „Angemessenheitsbeschluss“ erlassen

Die DSGVO verlange, dass die hohen EU-Datenschutzstandards auch bei der Übermittlung personenbezogener Daten in andere Länder gewahrt bleiben. Dafür brauche es entweder einen „Angemessenheitsbeschluss“ der EU oder weitere Schutzmaßnahmen, sogenannte geeignete Garantien. Für China habe die EU keinen „Angemessenheitsbeschluss“ erlassen.

Meike Kamp, die BlnBDI, kommentiert: „Die Übermittlung von Nutzerdaten durch ,DeepSeek’ nach China ist rechtswidrig!“ „DeepSeek“ habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer in China auf einem der EU gleichwertigen Niveau geschützt sind. Sie führt aus: „Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen.“

„DeepSeek“-Nutzern stehen in China keine durchsetzbaren Rechte zur Verfügung

Zudem stünden den Nutzern von „DeepSeek“ in China keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung, wie sie in der EU garantiert seien. „Ich habe daher Google und Apple als Betreiber der größten App-Plattformen über die Verstöße informiert und erwarte eine zeitnahe Prüfung einer Sperrung.“

Konkret verstoße die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit ihrem Dienst „DeepSeek“ gegen Art. 46 Abs. 1 DSGVO. Die BlnBDI hatte daher das Unternehmen am 6. Mai 2025 aufgefordert, seine Apps selbständig aus den App-Stores für Deutschland zu entfernen, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen.

Chinesischer Anbieter hat Aufforderung der BlnBDI bisher ignoriert

Da das Unternehmen dem nicht nachgekommen sei, habe die BlnBDI von der Möglichkeit nach Art. 16 „Digital Services Act“ (DSA) Gebrauch gemacht, rechtswidrige Inhalte auf Plattformen den jeweiligen Betreiber zu melden.

• Eine entsprechende Meldung sei am 27. Juni 2025 an die Apple Distribution International Ltd. als Betreiber des „Apple App Store“ und an die Google Ireland Ltd. als Betreiber des „Google Play-Store“ ergangen. Die beiden Unternehmen müssten ihre Meldung nun zeitnah prüfen und über die Umsetzung entscheiden.

Diese Maßnahme sei in enger Abstimmung mit den Landesdatenschutzbeauftragten von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen sowie nach Information der „Koordinierungsstelle für digitale Dienste“ in der Bundesnetzagentur (in Deutschland für die DSA-Durchsetzung zuständig) erfolgt.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 08.02.2024
Digital Services Act: EU-weites Inkrafttreten soll Menschen im Digitalen Raum stärken / Neue EU-Regeln für Online-Plattformen müssen sich in der Praxis bewähren

[datensicherheit.de, 22.08.2022] „Kürzlich warnte Apple alle Nutzerinnen und Nutzer vor einer Sicherheitslücke auf ,iPads’, ,iPhones’ und ,Macs’, bei der Hacker die Kontrolle über die Geräte übernehmen können“, berichtet Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme und rät allen, welche ein betroffenes Apple-Gerät besitzen, „so schnell wie möglich auf die neueste Software zu aktualisieren“.

Foto: CHECK POINT

Lothar Geuenich: Bedrohungslandschaft entwickelt sich rasant weiter!

Cyber-Kriminelle werden nach jedem nicht aktualisierten Apple-Gerät Ausschau halten

Cyber-Kriminelle würden nach jedem Gerät Ausschau halten, das nicht aktualisiert wurde, „um auf persönliche Daten zuzugreifen, Malware einzuschleusen oder Zugang zu Unternehmensnetzwerken zu erhalten“, warnt Geuenich.

Die Bedrohungslandschaft entwickele sich rasant weiter, und mobile Schwachstellen und Malware stellten eine erhebliche und oft übersehene Gefahr für die Sicherheit von Privatpersonen und Unternehmen dar.

Nicht nur für Apple: Installation von Sicherheitssoftware auf Basis von Echtzeit-Bedrohungsdaten empfohlen

Check Point Software empfiehlt demnach zusätzlich die Installation von Sicherheitssoftware, die Echtzeit-Bedrohungsdaten nutzt, um aktiv vor Zero-Day-Phishing-Kampagnen zu schützen, und URL-Filter, um den Zugriff auf bösartige Websites von jedem Browser aus zu blockieren.

Geuenich erläutert: „Diese Lösung sollte zusätzlich eine Zugangskontrolle enthalten, die sicherstellt, dass ein infiziertes Gerät nicht auf Unternehmensanwendungen und -daten zugreifen kann, ohne die Mitarbeiter zu stören oder ihre Produktivität zu beeinträchtigen.“

Weitere Informationen zum Thema:

tagesschau, 19.08.2022
Update empfohlen / Apple warnt vor Sicherheitslücke

WDR, 19.08.2022
Sicherheitslücke bei Apple: Fast alle Geräte betroffen

[datensicherheit.de, 09.08.2021] „Die Überwachung in der ,Cloud‘ durch US-Anbieter ist längst Normalität. Aber Apple überschreitet eine Rote Linie mit der Überwachung in den Endgeräten. Dadurch werden Hunderte von Millionen ,iPhone‘-Besitzer unter den Generalverdacht der Kinderpornographie gestellt“, sagt der Datenschutzexperte Detlef Schmuck in einer aktuellen Stellungnahme und warnt: „Eine Rasterfahndung durch Apple auf allen Endgeräten ist beinahe wie die Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell.“

Kinderpornographie ist zu ahnden – aber ein klares Nein gegenüber Apple zum Generalverdacht!

„Apple öffnet die Büchse der Pandora“, kritisiert Schmuck energisch die Ankündigung von Apple, künftig die Fotos auf ,iPhones‘ automatisch dahingehend zu untersuchen, ob sie mit dem Gesetz im Einklang stehen. Apple hatte demnach verlauten lassen, mit dem neuen Betriebssystem „iOS 15“ alle Fotos auf „iPhones“ einer Prüfung zu unterziehen, ob es sich um kinderpornographische Aufnahmen handeln könnte.
Schmuck betont indes ganz klar: „Kinderpornographie gehört zu den abscheulichsten Verbrechen überhaupt und es ist richtig und wichtig, dagegen vorzugehen!“ Aber, so Schmuck, sei es dennoch völlig unangebracht, Hunderte von Millionen „iPhone“-Besitzer unter Generalverdacht zu stellen und deshalb deren private Fotoalben zu durchsuchen.

Apple Vorhaben gleicht permanenter Hausdurchsuchung durch privatwirtschaftliche Firma

„Die Überwachung der Kundendaten in den ,Cloud‘-Services der US-Anbieter ist längst Normalität, sicherlich nicht nur bei Apple. Aber Apple geht einen Schritt zu weit, indem die Endgeräte der Kunden einer ständigen Kontrolle unterzogen werden“, erläutert Schmuck und moniert: „Das ist wie eine permanente Hausdurchsuchung durch eine privatwirtschaftliche Firma.“
Man möge bedenken: Die meisten Menschen hätten mehr oder minder ihr gesamtes Leben im Smartphone gespeichert. Es sei nun Aufgabe der Staatsanwaltschaften, der Polizei und der Gerichte, im Verdachtsfall – und nur dann – diese „digitalen Hausdurchsuchungen“ zu genehmigen, durchzuführen und nach dem geltenden Recht zu bewerten. Aber eine Rasterfahndung durch Apple auf allen Endgeräten sei beinahe wie die „Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell“.

Apple hat Algorithmus mutmaßlich auf Druck von US-Behörden entwickelt

Nach Einschätzung von Schmuck hat Apple den Algorithmus zum Auffinden von Kinderpornographie auf Druck von US-Behörden entwickelt. Daher wirft er die Frage auf: „Wer will Apple oder andere US-Konzerne daran hindern, künftig auf Drängen weiterer Staaten wie beispielsweise China mit anderen Suchmustern nach unerwünschten Inhalten zu fahnden? In den USA mag nach Kinderpornographie gesucht werden, in anderen Ländern möglicherweise nach regimekritischen Texten. Wenn es nicht gelingt, Apple zurückzupfeifen, können wir nie mehr sicher sein, welche Spionagesoftware auf unseren Smartphones heimlich läuft und wonach sie Ausschau hält.“
Die Daten der Kunden gehörten diesen selbst und sonst niemandem, stellt er klar. Als Gründer und Geschäftsführer des Hamburger Datendienstes TeamDrive, welcher nach eigenen Angaben eine sogenannte Ende-zu-Ende-Verschlüsselung bietet, versichert er: „Bei TeamDrive sind die Daten derart gut geschützt, dass niemand außer den Kunden selbst diese entschlüsseln können, weder wir als Betreiber des Dienstes noch irgendeine Behörde auf der Welt.“ Der TeamDrive-Chef befürchtet aber, „wie andere Datenschützer auch“, dass Apple diese Funktion zur Überprüfung der Korrektheit von Fotos künftig auf weitere Informationen, die im „iPhone“ oder in der „iCloud“ von Ende-zu-Ende verschlüsselt sein sollten, ausweiten werde.

Wer könnte Apple hindern, weitere moralische Kriterien an mit dem iPhone erstellte Fotos zu stellen?

Eine Technologie zur Rasterfahndung auf Endgeräten sei grundsätzlich abzulehnen, „weil sie Missbrauch und Überwachung geradezu sträflich Vorschub leistet“, so Schmuck. „Wer will Apple daran hindern, in Zukunft weitere moralische Kriterien an die mit dem ,iPhone‘ erstellten Fotos zu stellen?“ – er erläutert seine Befürchtung wie folgt:
„Heute ist es Kinderpornographie und wir alle stimmen der Bekämpfung zu. Morgen sind es möglicherweise Verstöße gegen ,Corona‘-Regeln oder Drogenmissbrauch und es stimmen noch einige zu. Übermorgen ist es Tierquälerei oder wer weiß schon was. Alle gesetzestreuen Bürger begrüßen es, wenn diese Verbrechen geahndet werden. Aber wir wollen dieses Mandat den Staatsanwaltschaften, der Polizei und den Gerichten in Deutschland übertragen, nicht der US-Firma Apple.“

Neben willkürlich erweiterbarer Zensur durch Apple könnte Kontrollprogramm von Hackern missbraucht werden

Zudem warnt der TeamDrive-Chef, dass neben der willkürlich erweiterbaren Zensur durch Apple ein solches Kontrollprogramm von Hackern geentert und dazu genutzt werden könnte, in die „iPhones“ von Hunderten Millionen Menschen einzudringen. „Die Möglichkeit, in die Endgeräte einzudringen, wird Hacker rund um den Globus wie ein Magnet anziehen“, gibt Schmuck zu bedenken.
Er erinnert an den geheimen Entwurf einer geplanten Deklaration des EU-Ministerrats vom Herbst 2020, nach der die Betreiber von Ende-zu-Ende-verschlüsselten Diensten gezwungen werden sollten, den Behörden Generalschlüssel zu allen Kundendaten zu übergeben. Den damaligen Titel des EU-Resolutionsentwurfs „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ bezeichnet Schmuck als „völlig irreführend“.

Egal ob EU oder Apple – düstere Datenschutz-Prognose

Faktisch hätte eine solche Resolution das Sicherheitsniveau in der EU dramatisch verschlechtert – er appelliert an die Öffentlichkeit: „Wenn wir die Zustimmung zur Aufweichung der Ende-zu-Ende-Kommunikation dem EU-Ministerrat verweigern, sollten wie genau dies Apple erst recht nicht erlauben. Nur durch eine lückenlose Verschlüsselung ohne Ausnahmen ist die Privatsphäre bei der digitalen Kommunikation gewährleistet.“ Die EU-Mitgliedsstaaten wären nach der Resolution in der Lage gewesen, sich mit ihren Schlüsseln jederzeit und unerkannt in private Unterhaltungen und andere verschlüsselte Übertragungen einzuklinken. „Genau dieses Privileg scheint sich jetzt Apple selbst einräumen zu wollen“, so Schmucks Befürchtungen.
Für die Zukunft gibt Schmuck einen eher düsteren Ausblick: „Egal ob EU oder Apple, offenbar dürstet es den Staat und die Digitalkonzerne gleichermaßen danach, Zugang zu den privaten Daten der Bürger und Verbraucher zu bekommen. Wir sollten alle Hebel in Bewegung setzen, unsere Privatsphäre auch im Zeitalter der Digitalisierung zu bewahren.“

[datensicherheit.de, 17.08.2020] Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) meldet, dass Apple hat mit der Aufzeichnung von Straßenansichten und Gebäudefronten in Mecklenburg-Vorpommern begonnen hat. Demnach sollen bis Ende September 2020 mit mehreren Sensoren und Kameras ausgerüstete Fahrzeuge auf öffentlichen Straßen in Mecklenburg-Vorpommern unterwegs sein.

Abbildung: LfDI M-V

Antrag die Apple auf Widerspruch Datenverarbeitung / Datenlöschung im Kontext der Apple-Kamerafahrten

Look Around: Apple plant Konkurrenz zu Google Street View

Apple gebe an, dass durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden solle. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion „Apple Look Around“ („Umsehen-Funktion“), ähnlich dem Dienst „Google Street View“, dargestellt und im Internet veröffentlicht werden.
Apple habe gegenüber der in Deutschland zuständigen bayrischen Datenschutz-Aufsichtsbehörde (BayLDA) bestätigt, dass die Gesichter von Personen und die Kennzeichen von Fahrzeugen, vor einer Veröffentlichung automatisch verpixelt und damit unkenntlich gemacht werden sollten. Damit wolle Apple der Forderung der Datenschutzgrundverordnung (DSGVO) nach Datenschutz durch Technikgestaltung nachkommen und die Risiken der Verarbeitung personenbezogener Daten senken.

Unkenntlichmachen von Hausfassaden, Vorgärten oder Autos erfordert aktiven Widerspruch gegenüber Apple

Doch auch wenn die Gesichter und die Kfz-Kennzeichen nach Angaben von Apple vor einer Veröffentlichung verpixelt werden sollten, sei nach den bisher veröffentlichen Informationen von Apple davon auszugehen, dass die Aufnahmen in nicht unkenntlich gemachter Form ( „Rohdaten“), über einen Zeitraum von bis zu 36 Monaten hinweg weiter unverpixelt auf den Servern der USA vorlägen. Zudem erfordere das Unkenntlichmachen der eigenen Hausfassade, des Vorgartens oder des geparkten Autos den aktiven Widerspruch des Betroffenen.
Apple habe dem BayLDA gegenüber bestätigt, dass Betroffene die Möglichkeit hätten, sich an das Unternehmen zu wenden um zu verlangen, dass die sie betreffenden Bilder, auch in Form der Rohdaten, dauerhaft unkenntlich gemacht werden. Dafür sollte man in jedem Fall den Ort und – wenn möglich – die Zeit der Aufnahme angeben.

Ausführlichere Informationen zu Apple-Kamerafahrten auf der Website des BayLDA

Wer also nicht möchte, dass Aufnahmen seines Privatgrundstücks bei „Apple Look Around“ sichtbar sind oder meint, von einem vorbeifahrenden Kamera-Auto gefilmt worden zu sein, könne der Datenverarbeitung widersprechen und die Löschung der Rohdaten beantragen.
Ausführlichere Informationen zur Ausgestaltung der Apple-Kamerafahrten, welche Kontaktmöglichkeiten Apple anbietet und wann welche Städte oder Regionen von den Apple-Fahrzeugen bereist werden, finden sich laut LfDI M-V u.a. auf der Website des BayLDA. Zudem werde auf der Website des LfDI M-V ein Antrag auf die von Apple angebotene Löschung in Form eines ausfüllbaren Formulars bereitgestellt, welches Betroffene zur Ausübung ihrer Rechte per E-Mail an „mapsimagecollection [at] apple [dot] com“ senden könnten.

Widerspruch muss gegenüber Apples europäischer Hauptniederlassung in Irland erfolgen

Alternativ könne der Widerspruch auch postalisch an folgende Anschrift geschickt werden:

Apple Distribution International Ltd.
– Data Protection Officer –
Hollyhill Industrial Estate
Hollyhill, Cork
IRLAND

Der LfDI M-V weist abschließend darauf hin: „Da der Sitz der europäischen Hauptniederlassung in Irland ist, ist die irische Aufsichtsbehörde federführend für die Datenverarbeitung durch Apple in Europa zuständig. Das BayLDA nimmt alle Beschwerden aus Deutschland entgegen und leitet sie an die irische Aufsichtsbehörde weiter.“

Weitere Informationen zum Thema:

Bayerisches Landesamt für Datenschutzaufsicht
Apple Kamerafahrten

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Antrag auf Widerspruch der Datenverarbeitung gem. Art. 21 DS-GVO – Antrag auf Datenlöschung gem. Art. 17 Abs. 1 DS-GVO

datensicherheit.de, 01.12.2014
Google führt neue Aufnahmefahrten in Deutschland durch

[datensicherheit.de, 23.04.2020] Aktuell werden verschiedene Zero-Day-Schwachstellen in der Apple iOS Mail-App ausgenutzt. Eine dieser Sicherheitslücken kann sogar ohne Interaktion der Anwender („Zero Click“) auf iOS 13 Schaden anrichten. Die Schwachstelle betrifft auch iOS 12, bei diesem Betriebssystem ist in den meisten Fällen allerdings Interaktion der Anwender nötig.

Bild: Tenable

Satnam Narang, Principal Research Engineer, Tenable

Dazu ein Kommentar von Satnam Narang, Principal Research Engineer, Tenable: „Über diese Schwachstelle ist es Angreifern möglich, innerhalb der Mail App Nachrichten zu ändern, zu löschen oder zu stehlen. Manche Sicherheitsforscher vermuten sogar, dass Angreifer diese Sicherheitslücke mit einer bekannten Schwachstelle im Kernel kombinieren könnten, um so die Geräte vollständig zu kontrollieren. Dafür gibt es allerdings noch keine Belege.

Apple hat in der Beta Version von iOS 13.4.5 die Schwachstellen bereits behoben. Bis zur finalen Version von iOS 13.4.5. sind iOS-Geräte aber noch angreifbar. Bis diese verfügbar ist, sollten Anwender alle Mail-Accounts deaktivieren, die mit der iOS Mail-App verbunden sind und auf alternative Apps wie Microsoft Outlook oder Google GMail ausweichen.“

Weitere Informationen zum Thema:

Tenable
Multiple Zero-Day Vulnerabilities in iOS Mail App Exploited in the Wild

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

[datensicherheit.de, 04.04.2020] Die Diskussionen um die optimale Gültigkeitsdauer von SSL-Zertifikaten gehen in die nächste Runde. „Kürzlich hat Apple seine Position zu den 1-Jahres-Zertifikaten deutlich gemacht. Am 19. Februar kündigte das Unternehmen an, ab dem 01. September 2020 ausschließlich SSL-Zertifikate mit einer Gültigkeitsdauer von maximal 398 Tagen zu akzeptieren“, informiert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Als Hauptgrund gab Apple den verbesserten Schutz der Internet-User an. „Apple erhofft sich, Webseiteninhaber zu einer häufigeren Validierung zu zwingen und damit die Anzahl von Fake-Seiten zu vermindern“, bringt es Tulinska auf den Punkt.

Es ist zu erwarten, dass es einige Browser Apple gleichtun werden

Für Website-Betreiber heißt es nun konkret: Der Apple-eigene Browser Safari akzeptiert bei ab dem 01. September 2020 ausgestellten Zertifikaten nur noch eine Maximal-Laufzeit von 398 Tagen. „Wer noch vor diesem Stichtag ein Zertifikat mit längerer Gültigkeitsdauer erworben hat, muss sich keine Gedanken machen. Dieses wird bis zum Laufzeit-Ende korrekt in Safari angezeigt. Ab 1. September sollten dann aber nur 1-Jahres Zertifikate erworben und verwendet werden, damit die eigene Webseite in allen Browsern optimal dargestellt wird“, so Tulinska über die Folgen. Weiterhin ist zu erwarten, dass es einige Browser Apple gleichtun werden. Vor allem Google hatte die Initiative der 1-Jahres-Zertifikate bereits selbst unterstützt und wird vermutlich ähnliche Änderungen vornehmen.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„In Zeiten der immer kürzer werdenden Laufzeiten wird ein optimaler Kundenservice und die Vereinfachung der Zertifikatsverwaltung immer bedeutender werden. Wir bieten beispielsweise bereits heute unseren Kunden ein System für die eigene Zertifikatsverwaltung – die PSW Konsole – an, um Bestellungen so einfach wie möglich zu machen“, so Patrycja Tulinska. Die PSW GROUP sieht diese neuerliche Branchen-Änderung zudem als Anlass, den Bestellprozess weiterhin maximal zu optimieren und arbeitet bereits an Möglichkeiten, ihren Kunden die zusätzlichen Aufwände, die aus den Änderungen der Zertifikatsverwaltung und Gültigkeitsdauer resultieren, abzunehmen.

Erlaubte Gültigkeit von SSL-Zertifikaten hat sich in den letzen Jahren immer wieder geändert

Bereits in den vergangenen Jahren hat sich die erlaubte Gültigkeit von SSL-Zertifikaten immer wieder geändert. So dürfen auf Beschluss des CA/Browser Forums, seit März 2018 SSL-Zertifikate nur noch eine maximale Gültigkeit von 2 Jahren besitzen. Im August letzten Jahres hatte Google den Vorschlag einer weiteren Verkürzung der Gültigkeitsdauer auf nur 1 Jahr eingereicht. Dies lehnte die Mehrheit des CA/Browser Forums jedoch ab. Die Gründe gegen eine weitere Verkürzung liegen auf der Hand: Mit dem Erwerb von SSL-Zertifikaten mit einer längeren Gültigkeitsdauer ist natürlich verminderter Aufwand verbunden. Bei Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten muss mehr Kosten und Mühen in die korrekte Einbindung eines Zertifikats gesteckt werden.

Weitere Informationen zum Thema:

PSW Group
Apple senkt Gültigkeitsdauer von SSL-Zertifikaten

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 24.07.2019
Neuer BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 13.04.2016
Integration von SSL-Zertifikaten wird künftig zur Pflicht

[datensicherheit.de, 15.08.2019] Nathan Howe, „Solutions Architect“ bei Zscaler, geht in seiner aktuellen Stellungnahme auf ein Thema ein, dass auf der „DefCon 2019“ für Überraschung gesorgt habe – ein Hacker hat demnach gefälschte und manipulierte Apple-Ladekabel verkauft, die einen WLAN-Chip beinhalten. „Über diesen kann sich ein Angreifer unbemerkt mit dem Computer des Opfers verbinden.“

OMG-Kabel sieht normalem Apple-Ladekabel täuschend ähnlich

Howe berichtet: „Auf der ,DefCon 2019‘ sorgte der Auftritt des Hackers Mike Grover für Unbehagen. Er hat ein manipuliertes Apple-Lightning-Kabel erfunden, dass er bereits seit einiger Zeit in Eigenproduktion über seinen Online-Shop verkauft, nun will er es in größerem Umfang vertreiben. Unter dem Namen ‚Offensive MG‘ oder kurz ‚OMG-Kabel‘ firmiert sein Produkt.“
Dieses sehe einem normalen Apple-Ladekabel täuschend ähnlich und sei weiterhin in der Lage, das Smartphone zu laden, um keinen Verdacht zu erregen. Gleichzeitig aber sitze darin eine Mini-Platine mit WLAN-Chip. Den könne ein Angreifer aus höchstens 90 Meter Entfernung anwählen, ohne vom Nutzer bemerkt zu werden.

Angreifer könnte Identität eines Mitarbeiters kapern

„Ist das ,iPhone‘ währenddessen mit einem Computer verbunden, so gibt es sich dort als Eingabegerät aus“, so Howe. Damit sei der Kriminelle in der Lage, auf dem Zielrechner seine Befehle auszuführen und ihn zu übernehmen. Für Unternehmen könne das gefährlich werden, da der Angreifer auf diese Weise die Identität eines Mitarbeiters übernehmen könnte, um in das Firmennetzwerk einzudringen.
„Hier kommt ein zuverlässiger Zero-Trust-Ansatz ins Spiel, verbunden mit einer Cloud-Infrastruktur. Bei Zscaler liegen die Dateien in der ,Private Cloud‘, die nicht mit dem Internet verbunden ist. In der ,Public Cloud‘ dagegen befinden sich Applikationen, auf die wiederum der Mitarbeiter einen Zugriff erhalten kann“, erläutert Howe. Er sehe jedoch nicht, was sich im Netzwerk sonst noch befindet, „nur die Ordner, Applikationen und Daten, auf die er zugreifen darf, werden ihm angezeigt“. So befinde er sich nie im eigentlichen Firmennetzwerk und sehe auch nicht, „wo er sich gerade in der Cloud-Struktur aufhält“. Seitliche Bewegungen eines von Datei zu Datei und Server zu Server springenden Angreifers würden dadurch ausgeschlossen.

Genau und einzeln definieren, wer welche Daten sehen und was damit anstellen darf

Howe ergänzt: „Hinzu kommt, dass jede Identität einen Zugriff nur gesondert für jede Applikation und jede Ordnerstruktur erhält. So wird genau und einzeln definiert, welcher Mitarbeiter, welche Daten sehen und was er damit anstellen darf. Er bekommt keinen universellen Zugriff.“
Stattdessen könne jederzeit ein Zugang entfernt, ein anderer gewährt werden. Außerdem werde dieser Zugriff jedes Mal aufs Neue verifiziert, sei es über ein Passwort, biometrische Tests und andere Möglichkeiten.

Rolle jeder Person genau festlegen und Applikationen voneinander trennen

Das Konzept dahinter lautet laut Howe „Zero Trust Network Access“ (ZTNA). Im Zusammenspielt mit einer starken Mikro-Segmentierung würden die Rolle jeder einzelnen Person genau festgelegt und die Applikationen voneinander getrennt.
„Ein Angreifer, der über das OMG-Kabel also den Computer, Laptop oder das Smartphone eines Mitarbeiters aus der Ferne übernimmt, kann höchstens – falls er die Verifizierung übersteht, weil er beispielsweise auch das Passwort gestohlen hat – all das sehen, was dieser Identität erlaubt ist – und mit den sichtbaren Applikationen auch nur das tun, was dieser Identität erlaubt ist. Was darüber hinaus geht, bleibt ihm verborgen.“

datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken

datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor

datensicherheit.de, 02.10.2018
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen

[datensicherheit.de, 29.07.2019] Ab dem 29. Juli 2019 lässt Apple in Deutschland Autos mit auf dem Dach montierter Kamera fahren, mit denen Straßenansichten und Gebäudefronten aufgenommen werden, meldet der Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Schleswig-Holstein sei wohl noch nicht gleich, sondern erst in einigen Monaten an der Reihe, aber beim ULD meldeten sich jetzt schon viele besorgte Bürger.

Abbildung: ULD

ULD: Verbotsschild für Apple Look Around

Aufnahmen für geplante Funktion „Apple Look Around“

Laut Apple soll durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion „Apple Look Around“ („Umsehen-Funktion“) dargestellt und im Internet veröffentlicht werden.
Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hält das Abfahren von Straßenzügen mit Kamera-Autos nach eigenen Angaben nicht nur für kritisch, wenn Menschen auf den Wegen erkennbar sind oder gar in private Häuser hineingefilmt wird: „Apple verspricht zwar, dass Gesichter und Autokennzeichen vor der Veröffentlichung unkenntlich gemacht werden und die dafür eingesetzte Software ziemlich zuverlässig arbeitet. Doch nicht jeder ist damit einverstanden, dass die Aufnahmen vom Privatgrundstück über Jahre abrufbar sind und etwa darauf zu erkennen ist, dass man seinen Vorgarten nicht perfekt gepflegt hat, dass teure Autos vor dem Haus parken oder wo Einbrecher leichtes Spiel haben könnten.“

Apple verarbeitet Aufzeichnungen auf US-Servern

Während Apple in Großbritannien darüber informiere, dass man auf Anforderung Personen, Autos und auch sein Haus unkenntlich machen lassen könne, sei davon auf der deutschen Website zunächst nicht die Rede gewesen – erst seit dem Mittag des 29. Juli 2019 habe Apple weitere Informationen bereitgestellt, wonach es auch in Deutschland möglich sei, die Grundstücksbilder zu entfernen.
Hansen findet dies ärgerlich: „Heute sollen angeblich die Kamera-Fahrten beginnen, die Diskussion ist schon längst in Gange – aber erst jetzt kommen Stück für Stück genauere Informationen von Apple, welche Daten verarbeitet werden. Demnach werden alle aufgenommenen Daten in den Autos gegen unberechtigte Zugriffe verschlüsselt, aber dann – das sehe ich kritisch – auf amerikanischen Servern weiterverarbeitet; Apple behält sich vor, sie bis zu 36 Monate zu speichern. Vor allem hatte Apple zunächst gar nicht über das Widerspruchsverfahren informiert, sondern nur eine E-Mail-Adresse für ,Fragen oder Anliegen‘ aufgeführt.“

ULD-Kritik an Apple: Informationspolitik in Salamitaktik

Wer schriftlich Widerspruch einlegen möchte, müsse seinen Brief an „Apple Distribution International“ in Irland schicken. Hansen: „Auch wenn Apple nun sagt, dass der ,Look Around‘-Dienst möglicherweise in Deutschland gar nicht eingeführt wird, sieht mir diese Informationspolitik in Salamitaktik nicht so aus, als ob Apple die Sorgen der Menschen für ihre persönlichen Daten ernst genug nimmt.“
Wer meint, von einem vorbeifahrenden Kamera-Auto gefilmt worden zu sein, könne der Datenverarbeitung widersprechen, so dass die ihn betreffenden Bilder aus den gespeicherten Rohdaten – und nicht erst bei der Veröffentlichung – entfernt würden. Dafür sollte man in jedem Fall den Ort und, wenn möglich, die Zeit der Aufnahme angeben. „Wer möchte, kann schon jetzt seinen Widerspruch einlegen – dann wird der Standort des Hauses für eine Löschung vorgemerkt“, empfiehlt Hansen.

Weitere Informationen zum Thema:

Apple Maps Bilderfassung
Deutschland / Standorte der Fahrzeuge für Juli bis September 2019

Apple Inc.
Privacy Inquiries

ULD
Verbotsschild für Apple Look Around

datensicherheit.de, 20.10.2018
Datenschutz-Posse um Klingelschilder: DSGVO hat nichts verändert

[datensicherheit.de, 16.05.2019] Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat nach deren Angaben Sicherheits- und Privatheitsprobleme in „iOS“ und „macOS“ entdeckt. Apple habe mittlerweile Updates zur Behebung veröffentlicht.

Wenn beim Einchecken der Smartphone-Bildschirm dunkel bleibt

Die TU Darmstadt beschreibt folgendes Szenario: Ein Passagier möchte mit seinem „iPhone“ zu einem Flug einchecken, doch der Bildschirm bleibt schwarz, während das Telefon ständig neu startet. Er ist damit nicht alleine: Alle Nutzer von Apple-Geräten in der Nähe haben dasselbe Problem. Was der Passagier eben nicht weiß: Als er in der Flughafenlounge Fotos und Firmenpräsentationen vom Mobiltelefon zu seinem „MacBook“ übertragen hat, konnte ein Angreifer diese mitlesen, den Standort nachverfolgen und diesen sogar mit dem Vornamen des Passagiers und einer Geräte-ID assoziieren.
Diese Schwachstellen wurden demnach von Forschern der TU Darmstadt und der Northeastern University Boston entdeckt. Gemeinsam mit dem Apple-Sicherheitsteam hätten die Forscher an der Behebung der Lücken gearbeitet. Sie empfehlen Nutzern von Apple-Geräten dringend, die soeben veröffentlichten Updates „iOS 12.3“ und „macOS 10.14.5“ zu installieren, um die Sicherheitsverbesserungen zu erhalten.

Per „AirDrop“ übertragene Dateien könnten abgefangen werden

Mehr als eine Milliarde Apple-Geräte seien prinzipiell von den Schwachstellen betroffen, da diese in einem gemeinsamen Kernbestandteil aller Apple-Betriebssysteme wie „iOS“ und „macOS“ verborgen seien – ein proprietäres Protokoll namens „Apple Wireless Direct Link“ (AWDL), über welches bisher nicht viel bekannt gewesen sei. Zahlreiche Sicherheits- und Privatheitsprobleme darin ermöglichten es einem Angreifer, Handynutzer zu orten, ihre Geräte abstürzen zu lassen, Kommunikation zu unterbinden und sensible Daten bei der Übermittlung per AirDrop abzufangen.
AWDL mache es möglich Nutzer zu verfolgen, da es die ID und den Gerätenamen preisgebe, der in vielen Fällen den Vornamen des Besitzers enthalte. Milan Stute, Forscher an der TU Darmstadt und im Nationalen Forschungszentrum für angewandte Cybersicherheit CRISP, erklärt: „Wir erforschen die Drahtlos-Funktionen von Apple seit 2017, um zu verstehen wie AWDL und die damit zusammenhängenden Dienste funktionieren. Zusätzlich zu den bereits erwähnten Privatheitsproblemen haben wir so auch einige Sicherheitsschwachstellen aufgedeckt.“ Das Forscherteam habe herausgefunden, wie per „AirDrop“ (auf AWDL aufbauender Apple-Dienst) übertragene Dateien abgefangen werden könnten. Der potenzielle Angreifer nutze aus, dass die Benutzeroberfläche auch nicht vertrauenswürdige Verbindungen anzeige. Mit einer solchen könne er eine sogenannte „man-in-the-middle“-Position erlangen und dadurch Dateien während der Übertragung abfangen oder modifizieren.

Wunsch nach größtmöglicher Funktionalität zu Lasten der Sicherheit

Um überhaupt an AWDL und „AirDrop“ forschen zu können, hätten die Wissenschaftler die Protokolle zuerst rekonstruieren und selbst implementieren müssen. Ihre Versionen haben sie nach eigenen Angaben als „Open Source Software“ veröffentlicht, um sie anderen Forschern zugänglich zu machen. Die zugehörige wissenschaftliche Veröffentlichung werde im August 2019 auf dem renommierten „USENIX Security Symposium 2019“ präsentiert.
Prof. Matthias Hollick, Forschungsgruppenleiter an der TU Darmstadt und am Nationalen Forschungszentrum für angewandte Cybersicherheit (CRISP), fasst die Problematik zusammen: „Apple ist eines der wenigen großen Technologie-Unternehmen, das die Sicherheit und Privatheit seiner Nutzer und die einfache Bedienbarkeit seiner Produkte in den Mittelpunkt stellt. Es wäre schön, wenn sich andere Tech-Riesen dem anschließen würden. Deswegen ist es nahezu ironisch, dass Apple der komplexe Aufbau eines seiner wichtigsten Drahtlosprotokolle zum Verhängnis wurde, das als Basis für die benutzerfreundlichen Features des Apple-Kosmos dient. In diesem Fall ging der Wunsch nach größtmöglicher Funktionalität zu Lasten der Sicherheit. Es wäre viel geholfen, wenn Hersteller sich auf einfache und offene Lösungen fokussieren.“

CRISP – einer der wichtigsten Forschungsstandorte für Cyber-Sicherheit weltweit

Die Wissenschaftsstadt Darmstadt ist mit der TU Darmstadt und dem Nationalen Forschungszentrum für angewandte Cybersicherheit (CRISP) nach eigenen Angaben einer der wichtigsten Forschungsstandorte für Cyber-Sicherheit weltweit. In CRISP forschen und entwickeln demnach über 450 Wissenschaftler an wichtigen Problemen und Fragen zum unmittelbaren Nutzen von Gesellschaft, Wirtschaft und Staat.
CRISP, eine Einrichtung der Fraunhofer-Gesellschaft für ihre beiden Darmstädter Institute SIT und IGD unter Beteiligung der Technischen Universität Darmstadt und der Hochschule Darmstadt, wird laut TU Darmstadt vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) gefördert.

Weitere Informationen zum Thema:

Open Wireless Link
Welcome to the Open Wireless Link (OWL) project

28th USENIX SECURITY SYMPOSIUM
A Billion Open Interfaces for Eve and Mallory: MitM, DoS, and Tracking Attacks on iOS and macOS Through Apple Wireless Direct Link

CRISP
Nationales Forschungszentrum für angewandte Cybersicherheit

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 28.05.2014
Feindliche Übernahme von Apple Geräten

[datensicherheit.de, 22.11.2018] Laut des Datto’s Global State of the Channel Ransomware Report 2018 haben 9 Prozent der weltweiten Manage Security Provider ein rasantes Wachstum von Angriffen auf das Betriebssystem MacOS festgestellt. Die Ergebnisse des Reports zeigen, dass Macs nicht mehr sicher sind. Doch nicht nur Ransomware, sondern auch Cryptominer wie Cointicker befallen neuerdings die PCs mit dem Apfel. Und auch Check Point konnte in seinem Global Threat Index für den Monat September 2018 eine Zunahme von Apple-Cryptominern um 400 Prozent feststellen. Allein von 2016 bis 2017 konnten die Sicherheitsforscher von Malwarebytes einen Anstieg bei Mac-Malware von 270 Prozent feststellen.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Es hat wohl jeder schon von dem einen oder anderen Apple-User gehört: „Ich verwende einen Mac – ich bekomme keine Viren oder sonstige Malware.“ Dasselbe wurde über iOS-Geräte gesagt, die über eine geschlossene Architektur verfügen. Zumindest teilweise waren die Aussagen vor einigen Jahren korrekt, denn in den Vorjahren waren die Entwickler von Malware bestrebt, den größtmöglichen Schaden anzurichten, und es war sinnvoller, das am häufigsten verwendete Business-Betriebssystem zu wählen.

Die Zeiten haben sich allerdings geändert: Heute liegt der Fokus der Cyberkriminellen auf gezielten Angriffen auf bestimmte Branchen und Unternehmen. Sie benutzen Social Engineering-Taktiken, um genügend Vertrauen bei den Nutzern und dadurch Zugang oder Informationen zu gewinnen, um Daten zu kopieren oder Geld zu erpressen. Und um dies zu erreichen, benötigen kriminelle Organisationen OS-spezifische Ransomware. Das bedeutet, dass mittlerweile auch Macs und iOS-Geräte Ziele der Angriffe sind.

Macs sind gefährdeter denn je

In der eingangs erwähnten Studie von Datto konnten wir eine Steigerung von 500 Prozent der Ransomware-Angriffe auf Apple-Betriebsysteme gegenüber dem Vorjahr verzeichnen. Die Zunahme zeigt, dass jedes Betriebssystem anfällig für Angriffe ist. Und während 9 Prozent vergleichsweise gering erscheint, sollte die Tatsache, dass nur 7,3 Prozent der weltweit genutzten Business PCs Macs sind, Aufschluss darüber geben, wie weit die Betriebssysteme von Apple wirklich verbreitet sind. Die meisten Unternehmen haben eine Gruppe von Benutzern, die Macs verwenden, in der Regel die kreativen Branchen, wie Marketing oder Kommunikation. Damit ist es also offiziell – alle Benutzer, unabhängig vom Betriebssystem, sind potenzielle Ziele von Ransomware.

Unternehmen mit einer mehrschichtigen Sicherheitsstrategie sind relativ gut auf Ransomware-Angriffe vorbereitet. Aber nach den Daten von Datto hatten 86 Prozent der Opfer einen Virenschutz, 65 Prozent E-Mail-/Spamfilter und 29 Prozent Popup-Blocker. Es scheint daher, dass es einen weiteren Teil des präventiven Schutzes gibt, der dringend angesprochen werden muss – den Benutzer selbst.

Fazit

Benutzer sind ein wichtiger Teil der Sicherheitsstrategie jedes Unternehmens. Mitarbeiter sollten wachsam bleiben und nach potenziellen Betrügereien, fragwürdigen E-Mails, fragwürdigen Websites usw. suchen. Dies geschieht am besten mit Security Awareness-Training in Verbindung mit Phishing-Tests, um die Benutzer zunächst über Bedrohungen, Betrügereien und Taktiken aufzuklären. Im nächsten Schritt gilt es, sie dann gezielt darauf zu testen, um zu sehen, ob sie Opfer von gefälschten Phishing-E-Mails werden. Dieser ganzheitliche Ansatz zur Erhöhung der Sicherheitslage versetzt die Benutzer in die Lage, eine Rolle für die IT-Sicherheit des Unternehmens zu spielen. Gleichzeitig schaffen sie eine Sicherheitskultur, die für eine höhere Sicherheit des Unternehmens für Phishing-Mails (mit darauffolgenden Ransomware-Attacken) im Allgemeinen sorgt.

Weitere Informationen zum Thema:

Datto
Datto’s Global State of the Channel Ransomware Report 2018

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten