Geodaten gespeichert: Das iPhone weiß alles
Bewegungsprofile Was Apples iPhone speichert
Hamburg - Auf Ihr iPhone sollten sie gut aufpassen: Auch, weil in dem Telefon gespeichert ist, wo Sie sich in den letzten Monaten überall mit dem Gerät aufgehalten haben. Wenn Sie ein Backup ihres Telefonspeichers auf ihrem Computer erstellen - Apple selbst erinnert Sie regelmäßig an diese nützliche Funktion - werden auch die gesammelten Ortsdaten auf den Rechner übertragen und dort unverschlüsselt abgelegt.
Die ersten Reaktionen auf die iPhone-Ortung, mit der sich detaillierte Profile erstellen lassen, sind heftig: "Hier läuft etwas richtig falsch", sagt der Bundesbeauftragte für den Datenschutz, Peter Schaar. "Nun kommt heraus, dass Apple das tut, was alle immer befürchtet haben", sagt Thomas Hoeren, Richter und Professor für Informations-, Telekommunikations- und Medienrecht in Münster. "Sensible Daten unverschlüsselt auf Geräten zu speichern, entspricht nicht dem Stand der Technik."
Nur Insidern war die Speicherpraxis bisher bekannt, bis zwei Entwickler am Mittwoch eine praktische Software präsentierten - mit der sich die Bewegungsprofile einfach auslesen lassen.
SPIEGEL ONLINE hat die wichtigsten Details zusammengetragen und beantwortet die drängenden Fragen:
Welche Informationen werden protokolliert, welche Geräte sind betroffen?
Apple sammelt in diesem Fall mit seinen Geräten keine GPS-Daten, sondern verwendet zur Positionsbestimmung lediglich Positionsdaten, die mit Hilfe von Mobilfunkmasten und W-Lan-Netzen in der Umgebung berechnet werden.
W-Lan-Positioning System, kurz WPS, wird diese Technik genannt, die das US-Unternehmen Skyhook Wireless kommerziell anbietet. Apple setzt aber schon seit April 2010 auf seine eigene Datenbank, die W-Lans und die Standorte von Mobilfunkantennen zur Positionsbestimmung nutzt.
Für diese Technik werden im Gerät die Feldstärken umliegender Sender gemessen. Anhand zuvor kartografierter Werte kann die Software dann aus den Feldstärken auf die Entfernung zum jeweilige Sender schließen und mit Hilfe mehrere solcher Messungen die Position ermitteln.
Apple nutzt diese Technik vor allem, um Geräten ohne GPS, etwa dem iPod touch, Ortungsfunktionen zu ermöglichen. Die Genauigkeit des Systems kann in Städten wenige Meter betragen und nimmt auf dem flachen Land drastisch ab. So ist auch zu erklären, weshalb die Daten eines SPIEGEL-ONLINE-Redakteurs ihn während eines Griechenland-Aufenthalts in die Türkei verlegten. Vermutlich hatte sich das Handy im grenznahen Gebiet in das Mobilfunknetz des Nachbarlandes eingeloggt und so die falschen Einträge erzeugt.
Zusätzlich werden zu jeder Ortsbestimmung Datum und Uhrzeit gespeichert. Man kann also exakt nachvollziehen, wann sich das iPhone - und dessen Besitzer - am protokollierten Ort befanden.
Betroffen sind alle Apple-Geräte mit iOS-4.0-Betriebssystem und Mobilfunkanbindung: iPhone 3GS und 4 sowie alle iPads mit UMTS-Modul.
Wie lange reichen die Bewegungsprofile zurück?
Theoretisch bis Juni 2010 - wenn man alte Backups auf seinem Rechner aufbewahrt hat. Die Funktion wurde in dieser Form offenbar mit dem Update auf iOS 4 und den Änderungen der Datenschutzrichtlinien eingeführt. Der gesamte Datensatz wird aber offenbar nicht im Telefon gespeichert. Dort scheinen nur die Ortungsdaten der jeweils vorangegangenen rund drei Monate gespeichert zu werden. Nach dem Löschen aller Backup-Daten auf dem Computer und dem Einspielen eines neuen Backups vom Telefon waren bei unserem Test Ortsdaten aus dem Sommer des vergangenen Jahres nicht mehr abrufbar.
Übermittelt Apple diese Daten an eine zentrale Datenbank?
Vermutlich nicht - iPhones übermitteln allerdings regelmäßig anonymisierte Informationen über Mobilfunkmasten und W-Lan-Netze, in deren Reichweit sich das Telefon seit der letzten Übermittlung befunden hat. Allerdings nur, sofern eine verschlüsselte W-Lan-Verbindung aktiv ist.
Das hat Apple im Juli 2010 gegenüber US-Kongressabgeordneten eingeräumt. Dem Schreiben zufolge sammelt Apple seit 2008 mit Hilfe der Millionen iPhones weltweit Informationen über Mobilfunkmasten und drahtlose Netzwerke. Der Konzern hat aus diesen Informationen eine eigene Datenbank aufgebaut, die bei der Ortung von Geräten hilft, wenn gerade kein GPS-Signal verfügbar ist (s.o.).
Es ist derzeit unklar, ob diese Informationen in einer eigenen Datei protokolliert werden oder ob Apple für diese Umgebungbeobachtung die nun entdeckten Protokolldateien auf iPhones auswertet und lediglich anonymisierte Teilinformationen übermittelt. Diese Variante erscheint plausibler. Denn eine komplette, gerätebezogene Übermittlung der Bewegungsprofile würde gegen Gesetze in vielen Staaten verstoßen - es erscheint wenig wahrscheinlich, dass Apple diesen Konflikt bewusst provoziert.
Bei der Erfassung von W-Lan-Hotspots und Mobilfunkmasten speichert das iPhone MAC-Adressen (für jedes W-Lan-Gerät einmaligen Kennzeichnungen), Verbindungsgeschwindigkeiten, Netzwerknamen der Funkzellen, Signalstärken und den Standort des iPhones. Diese Daten werden laut Apple mit einer per Zufallsgenerator alle 24 Stunden neu erstellten Identifikationsnummer versehen, so dass sie nicht zu einem bestimmten Gerät oder Nutzer zurückverfolgt werden können. Die gesammelten Daten überträgt das Gerät den Konzernangaben zufolge alle zwölf Stunden an Apple, wenn eine verschlüsselte W-Lan-Verbindung aktiv ist. Gespeichert würden sie dann in einer sicheren Datenbank, auf die nur Apple zurückgreifen könne.
Können Nutzer der Standortprotokollierung widersprechen?
Die einzige Möglichkeit, die Aufzeichnung von Positionsdaten im iPhone generell zu unterbinden, besteht darin, im Telefon selbst in den Einstellungen unter "Ortungsdienste" die Erfassung von Positionsdaten komplett abzuschalten. Zwar kann man hier auch gezielt die Nutzung von Positionsdaten durch einzelne Apps unterbinden, dann wären die Ortung per GPS und Mobilfunknetz aber generell weiterhin aktiv. Der Computerforensiker Alex Levinson beschreibt, dass bei solchen selektiven Widersprüchen lediglich der Zugriff der Programme auf die Ortungs-Schnittstelle unterbunden wird.
Für die Nutzung von Positionsdaten zu Werbezwecken hat Apple eine Widerspruchsmöglichkeit eingerichtet. Es gibt eine sogenannte Opt-out-Seite für die Werbeplattform iAd. Wer die mit einem iPad oder iPhone mit dem neuen Betriebssystem iOS4 aufruft, soll damit automatisch der Speicherung bestimmter Daten widersprechen. Welche Datensätze damit genau gemeint sind, ist nicht klar benannt - in der Anleitung zum Widerspruch erwähnt Apple die Standortinformationen gar nicht.
Bei der Analyse der Backups des iPhones eines SPIEGEL-ONLINE-Redakteurs, mit dem die Opt-out-Seite 2010 aufgerufen wurde, zeigte die Software iPhone Tracker Positionsdaten, die nach dem Aufruf der Seite erfasst worden sein müssen.
Diese Beobachtung deckt sich mit der Einschätzung des Computerforensikers Alex Levinson: "Meines Wissens gibt es keine Möglichkeit, die lokale Speicherung der Daten auf dem Gerät zu stoppen."
Hat Apple Kunden über die Datensammlung informiert?
Darüber lässt sich streiten. Ein steht fest: Apples Informationspolitik beim Datenschutz wird der Anspruch von Steve Jobs nicht gerecht. Der Apple-Chef Steve Jobs gab Mitte 2010 diese Richtung vor: "Lass die Nutzer genau wissen, was du mit ihren Daten tust."
In der Praxis sah Apples Information über die Datenspeicherung dann so aus: Ende Juni 2010 ergänzte das Unternehmen seine gut 20.000 Zeichen Text umfassenden Datenschutzbestimmungen um einige zusätzliche Abschnitte. In einem ist die Rede davon, dass Apple, aber auch "Partner und Lizenznehmer" von Apple "präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geografischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit". Dies soll anonymisiert geschehen, garantiert Apple.
Aus dem Absatz geht nicht hervor, zu welchem Zweck diese Daten genutzt werden - Verbesserungen von W-Lan-Karten? Werbung? Positionsdaten für Anwendungen? Diese Fragen muss Apple beantworten.
Lassen sich die Bewegungsprofile löschen oder verschlüsseln?
Fremde Zugriffe auf die auf dem Rechner abgelegten Informationen kann man unterbinden, indem man die Backup-Datenbank, die iTunes beim Datenabgleich des iPhones mit dem Computer anlegt, verschlüsselt. Dazu muss man in iTunes das Symbol des iPhones anklicken und dann unter Übersicht/Optionen den Menüpunkt iPhone-Backup verschlüsseln auswählen. Es öffnet sich ein Fenster, in dem man das gewünschte Passwort eingeben kann.
Hier ist Vorsicht geboten. Auf Macs wird dem Nutzer an dieser Stelle angeboten, das gerade vergebene Passwort im sogenannten Schlüsselbund zu sichern. Dieser Schlüsselbund ist eine Datei, in der auf Macs Zugangsdaten zu verschiedenen Diensten abgelegt werden. Im Fall der iPhone-Backup-Datenbank sollte man auf diesen Komfort lieber verzichten. Die Positionsdatenbank auf dem iPhone selbst bleibt auch bei dieser Maßnahme unverschlüsselt.
Wie bewerten Sicherheitsexperten die Protokollierung?
Die Bewegungsprofile könnten für Privatdetektive interessant sein, für eifersüchtige Ehegatten oder auch für gut organisierte Einbrecher, die gerne genau wissen möchten, wann jemand üblicherweise das Haus verlässt. Oder natürlich für Strafverfolger - das iPhone macht gewissermaßen, unabhängig von der lokalen Gesetzeslage, seine eigene Vorratsdatenspeicherung.
Der Computer-Forensiker Alex Levinson schrieb in einem Buch, das schon im Dezember 2010 auf den Markt kam, die Positionsdatei sei "eine der forensisch reichhaltigsten Dateien, die ein Analyst benutzen kann". Nur, dass das damals offenbar niemand so richtig wahrnahm. Erst die Daten-Visualisierung der IT-Forscher Alasdair Allan und Pete Warden löste jetzt einen Skandal aus.
Als Weckruf bezeichnet Frank Rieger vom Chaos Computer Club gegenüber der Nachrichtenagentur dpa den Vorfall. Dies zeige, "wie wenig wir unsere Mobiltelefone unter Kontrolle haben." Kaum jemand wisse tatsächlich, "was die Hersteller dieser Telefone, in diesem Fall Apple , tun, ohne dass wir als Benutzer konkret davon wissen".
Rieger führt in einer Twitter-Debatte aus, der Hauptkritikpunkt sei nicht die Existenz einer Datenbank, über die andere Anwendungen auf die Positionsdaten des iPhones zugreifen können, sondern "die verdeckte Speicherung in alle Ewigkeit". Die letzten paar Standorte zum Beispiel im Arbeitsspeicher zu cachen, würde für diese Zwecke ja ausreichen, so Rieger.
