George A. Rauscher | iife
Article

Der Tag, an dem Apple eine Mitteilung machte, die nichts mit einem neuen Produkt zu tun hatte

May 13, 2026 | 22 min | digital forensic
Language
DE EN
Rauscher blog image

Über die Technical Capability Notice, die das britische Home Office Apple im Januar 2025 zustellte, was der Investigatory Powers Act einer Regierung tatsächlich ermöglicht zu verlangen, was in iCloud-Daten mit und ohne Advanced Data Protection verschlüsselt ist, und was die Überwachungsarchitektur hinter dieser Geschichte über die Entwicklung demokratischen Regierens in Europa verrät.

Am Morgen des 21. Februar 2025 veröffentlichte Apple eine Mitteilung, die weder eine Produktankündigung enthielt noch ein Designkonzept noch einen Preis noch ein Erscheinungsdatum. Stattdessen teilte das Unternehmen mit, es ziehe seine Funktion Advanced Data Protection aus dem Vereinigten Königreich zurück, sofort für neue Nutzer, mit einer Übergangsfrist für bestehende Nutzer, um einen Dienst zu deaktivieren, den sie freiwillig aktiviert hatten, weil ihnen die damit verbundene Sicherheit wichtig war. Die Mitteilung war sorgfältig formuliert, präzise gehalten und auffallend kurz. Apple erklärte, das Unternehmen sei “zutiefst enttäuscht”, seinen Nutzern in Großbritannien die höchste Stufe der Cloud-Datensicherheit nicht mehr anbieten zu können. Es erklärte nicht, warum es das nicht könne. Es nannte nicht den gesetzlichen Mechanismus, der zu dieser Entscheidung geführt hatte. Es konnte es nicht, weil die betreffende Anordnung gesetzlich mit einem Schweigegebot versehen war.

Was geschehen war, wie die Washington Post am 7. Februar 2025 berichtete und was anschließend durch mehrere glaubwürdige Quellen bestätigt wurde: Das britische Home Office hatte Apple eine Technical Capability Notice nach Section 253 des Investigatory Powers Act 2016 zugestellt, mit der Forderung, Apple solle die Fähigkeit aufrechterhalten, der britischen Regierung Zugang zu iCloud-Daten zu verschaffen, die durch Ende-zu-Ende-Verschlüsselung gesichert sind, und zwar nicht nur für britische Nutzer, sondern für Apple-Nutzer weltweit (Privacy International, 2025, “PI Apple TCN Challenge”). Die Forderung war nach Einschätzung von Liberty, Privacy International und einer Koalition digitaler Bürgerrechtsorganisationen, die sie anschließend vor dem Investigatory Powers Tribunal anfechteten, eine der extremsten Maßnahmen, die unter dem britischen Überwachungsrecht verfügbar sind, und möglicherweise das erste Mal, dass eine große Demokratie offen einem Technologieunternehmen befohlen hatte, einen Ende-zu-Ende-verschlüsselten Dienst absichtlich zu schwächen (Liberty, 2025, “UK Government’s Secret Apple Data Access Order Challenged”).

Ich möchte einige Zeit damit verbringen, die genaue Mechanik der Forderung zu beschreiben, was sie technisch bedeutet und was sie über die Richtung der Überwachungspolitik in Europa verrät, weil das öffentliche Gespräch über dieses Ereignis von 2 Arten von Missverständnissen geprägt wurde, die in entgegengesetzte Richtungen ziehen. Das erste Missverständnis, das von Regierungssprechern gefördert und unkritisch in der Mainstream-Berichterstattung reproduziert wurde, besagt, dies sei ein enges, gezieltes Strafverfolgungswerkzeug mit angemessenen Sicherheitsvorkehrungen, völlig unremarkabel unter vergleichbaren Demokratien. Das zweite Missverständnis, das in Datenschutzkreisen und in der Originalversion meines eigenen Artikels zu diesem Thema erschien, besagt, dieses Ereignis habe bedeutet, dass jedes Byte jedes Apple-Nutzers sofort für britische Geheimdienstoffiziere sichtbar geworden sei. Beide Darstellungen sind falsch, und Präzision ist hier wichtig, weil Unschärfe verschiedenen Interessen dient, abhängig von ihrer Richtung.

Was Advanced Data Protection tatsächlich ist, und was seine Abschaffung tatsächlich bedeutet

Um zu verstehen, was gefordert wurde und was zugestanden wurde, muss man verstehen, wie iCloud Verschlüsselung tatsächlich handhabt, was die meisten Apple-Nutzer nicht so glauben, wie es tatsächlich funktioniert, und wie die meisten Technologiejournalisten es beschreiben.

Apples Standard-iCloud-Konfiguration, die das Unternehmen Standard Data Protection nennt, verschlüsselt Daten bei der Übertragung und speichert sie auf Apples Servern in verschlüsseltem Format. Unter Standard Data Protection werden die Verschlüsselungsschlüssel für die meisten Datenkategorien jedoch von Apple gehalten, nicht ausschließlich auf den Geräten des Nutzers. Das bedeutet, dass Apple diese Daten entschlüsseln und aufgrund eines rechtmäßigen Gerichts- oder Regierungsbefehls herausgeben kann. Unter dieser Standardkonfiguration ist das iCloud-Backup, das ein nahezu vollständiges Abbild deines Geräts enthält, einschließlich SMS-Nachrichten, Fotos, App-Daten, Anrufprotokollen, Standortdaten und Notizen, technisch für Apple zugänglich und damit technisch für jede Regierung zugänglich, die Apple rechtlich zwingen kann (Apple Support, 2025, “iCloud Data Security Overview”).

Advanced Data Protection, 2022 eingeführt und in Großbritannien bis zum 21. Februar 2025 verfügbar, änderte diese Architektur grundlegend. Wenn ein Nutzer ADP aktivierte, wurden die Verschlüsselungsschlüssel für den Großteil der iCloud-Daten dauerhaft und unwiderruflich aus Apples Rechenzentren gelöscht und nur noch auf den eigenen vertrauenswürdigen Geräten des Nutzers aufbewahrt (Apple Support, 2022, “Advanced Data Protection for iCloud”). Apple beschreibt diesen Vorgang in seiner Sicherheitsdokumentation mit Präzision: Die Löschung der Schlüssel aus den Hardware Security Modules ist “sofortig, dauerhaft und unwiderruflich”, was bedeutet, dass Apple den Prozess auch unter rechtlichem Zwang nicht rückgängig machen kann, weil es nicht mehr besitzt, was es herausgeben müsste. ADP erweiterte die Ende-zu-Ende-Verschlüsselung auf 25 Datenkategorien, gegenüber 15 unter Standard Data Protection, und die zusätzlichen abgedeckten Kategorien umfassten das iCloud-Backup, also das vollständige Geräteabbild, sowie Fotos, Notizen, iCloud Drive, Erinnerungen und Safari-Lesezeichen.

Es ist ebenso wichtig, präzise darüber zu sein, was die Abschaffung von ADP nicht betrifft. Mehrere Kategorien von iCloud-Daten sind unabhängig vom ADP-Status standardmäßig Ende-zu-Ende-verschlüsselt, und diese Verschlüsselung wird von der britischen Forderung nicht berührt. Dazu gehören Daten im iCloud-Schlüsselbund, der Passwörter und Passkeys speichert, iCloud-Gesundheitsdaten, Zahlungsinformationen, iMessage bei deaktiviertem iCloud-Backup und mehrere andere sensible Kategorien. Ein Nutzer, der den ADP-Schutz verliert, verliert nicht die Verschlüsselung seiner Passwörter oder Gesundheitsdaten. Was er verliert, ist die Gewissheit, dass sein Backup, seine Fotos, seine Dateien, seine Notizen und seine Nachrichten, wie sie im Backup existieren, von Apple nicht abgerufen und damit von einer Regierung mit einem Durchsuchungsbeschluss nicht von Apple erzwungen werden können.

Der Umfang dessen, was ein solches Backup enthält, und was seine Zugänglichkeit bedeutet, ist etwas, zu dem ich aus direkter Erfahrung sprechen kann. Im Laufe von forensischen Untersuchungen über viele Jahre habe ich mit iCloud-Backup-Daten gearbeitet, die durch rechtliche Prozesse extrahiert wurden, und die Vollständigkeit dessen, was ein Standard-iCloud-Backup enthält, überrascht die meisten Menschen, die zum ersten Mal damit konfrontiert werden. Das Backup ist kein selektives Archiv von Dateien, die du bewusst aufbewahren wolltest. Es ist eine umfassende, automatische Aufnahme deiner digitalen Existenz, die nächtlich aktualisiert wird, während das Gerät lädt, und die Textnachrichten, Nachrichtenanhänge, Anrufprotokolle, Kontakte mit zugehörigen Notizen und Beziehungskontext, Kalendereinträge, Browserverläufe, Anwendungsdaten einschließlich der Daten von Drittanbieter-Apps, in Fotos und App-Protokollen eingebetteten Standortverlauf und Sprachmemos erfasst. Als forensisches Dokument ist es eine der reichhaltigsten einzelnen Verhaltensdatenquellen, die von einem Verbrauchergerät zugänglich sind.

Der extraterritoriale Anspruch der britischen Forderung

Der Aspekt der britischen TCN, der in der anfänglichen Berichterstattung unzureichend Beachtung fand und der die bedeutendsten Auswirkungen für Nutzer außerhalb des Vereinigten Königreichs hat, ist die geographische Reichweite der ursprünglichen Forderung. Die erste Technical Capability Notice, im Januar 2025 ausgestellt, forderte keinen Zugang zu den Daten von im Vereinigten Königreich registrierten Apple-Konten. Sie verlangte pauschale Fähigkeit, auf ADP-geschützte iCloud-Daten jedes Apple-Nutzers weltweit zuzugreifen (Kouvakas, I., 2025, UK Constitutional Law Association; Brief an die britische Innenministerin, US-Justizausschuss, 7. Mai 2025). Das ist kein administratives Detail. Es stellt einen britischen Anspruch auf jurisdiktionelle Reichweite über die verschlüsselten persönlichen Daten von Bürgern in Deutschland, Frankreich, den Vereinigten Staaten, Japan und jedem anderen Land dar, in dem Apple-Nutzer Ende-zu-Ende-Verschlüsselung aktiviert hatten, ohne das Wissen oder die Zustimmung dieser Nutzer oder dieser Regierungen.

Privacy International und Liberty stellten in ihren Rechtsschriften fest, dass eine solche Forderung, wenn ihr entsprochen worden wäre, eine Situation geschaffen hätte, in der die britische Regierung eine technische Fähigkeit für den Zugang zu verschlüsselten Daten besäße, deren Nutzung unter den Datenschutzgesetzen der EU-Mitgliedstaaten illegal wäre, was möglicherweise den Angemessenheitsstatus des Vereinigten Königreichs unter der Datenschutz-Grundverordnung und der Europäischen Menschenrechtskonvention gefährdet (Liberty, 2025; Kouvakas, 2025). Apple hatte in einer Eingabe an das britische Parlament 2024 seinen Standpunkt bereits klar formuliert: “Es gibt keinen Grund, warum die britische Regierung die Autorität haben sollte, für die Bürger der Welt zu entscheiden, ob sie die bewährten Sicherheitsvorteile nutzen dürfen, die sich aus der Ende-zu-Ende-Verschlüsselung ergeben” (zitiert nach Usercentrics, 2025).

Apple legte beim Investigatory Powers Tribunal Beschwerde ein, dem spezialisierten britischen Gericht für Überwachungsangelegenheiten. Das Home Office forderte vollständige Geheimhaltung über den Fall, was das Tribunal am 7. April 2025 ablehnte und zumindest die Grundzüge des Verfahrens öffentlich machte. Im Oktober 2025 berichtete TechCrunch über eine zweite TCN, die anscheinend die Forderung auf britische Nutzer beschränkte, woraufhin Apple seine Klage gegen die erste Anordnung zurückzog, mit der anscheinend der Interpretation, dass die überarbeitete Reichweite vertretbarer sei (TechCrunch, 1. Oktober 2025). Ob die zweite TCN einen echten Rückzug oder ein taktisches Zugeständnis in Erwartung künftiger Forderungen darstellt, ist eine Frage, die die Schweigegebote des IPA mit Sicherheit zu beantworten unmöglich macht. Die parallelen Rechtsmittel von Privacy International, Liberty und der Internet Society werden vor dem Tribunal fortgesetzt.

Was der Investigatory Powers Act tatsächlich ist

Der Investigatory Powers Act 2016, von seinen Kritikern in der Parlamentsdebatte als “Snoopers’ Charter” bezeichnet, ist eines der umfassendsten Überwachungsermächtigungsrahmenwerke in der westlichen Welt. Er verleiht britischen Nachrichtendiensten und Strafverfolgungsbehörden weitreichende Befugnisse zur Massenüberwachung von Kommunikation, zur Massenerfassung von Kommunikationsmetadaten, zur gezielten Überwachung einzelner Kommunikation, zum Equipment Interference, was im allgemeinen Sprachgebrauch Hacking bedeutet, und, hier relevant, zur Ausstellung von Technical Capability Notices, die Telekommunikationsanbieter und Internetdienstleister verpflichten, die technische Fähigkeit aufrechtzuerhalten, Überwachungsanordnungen zu entsprechen.

Der Act wurde 2024 durch den Investigatory Powers (Amendment) Act wesentlich erweitert, der mehrere Befugnisse ausdehnte und neue Anforderungen einführte, einschließlich der Pflicht für Telekommunikationsanbieter, das Home Office vor der Implementierung sicherheitsrelevanter Änderungen an ihren Produkten zu informieren, eine Bestimmung, die, auf kryptographische Merkmale angewandt, der Regierung faktisch ein Vetorecht über die Sicherheitsarchitektur von Produkten gäbe, die von Menschen weltweit verwendet werden, wenn diese Produkte von Unternehmen mit Präsenz im Vereinigten Königreich entwickelt werden (Internet Society, 2025).

Der TCN-Mechanismus ermöglicht es dem Innenminister, einem Unternehmen die Vornahme oder Unterlassung bestimmter Handlungen zu befehlen, sofern die Verpflichtung “zumutbar durchführbar” ist. Er verbietet dem Empfänger, die Existenz der Notice offenzulegen. Er setzt keine vorherige gerichtliche Genehmigung voraus, sondern nur interne Regierungsüberprüfung. Und er unterliegt einer Form der Kontrolle, die im Apple-Fall gezeigt hat, dass sie selbst dann in völliger Geheimhaltung stattfinden kann, wenn das betroffene Unternehmen die Existenz des Verfahrens nicht offenbaren darf.

Aus der forensischen Praxis: Was Ermittler tatsächlich finden

Ich habe 30 Jahre lang als gerichtlich bestellter Sachverständiger für digitale Beweise ausgesagt, was bedeutet, dass ich auf beiden Seiten der Frage war, was Ermittler finden, wenn sie Zugang zu Cloud-gespeicherten Daten erhalten, und ich möchte direkt darüber sprechen, was diese Erfahrung über die Tragweite dieser Debatte lehrt.

Der Wert eines vollständigen iCloud-Backups liegt aus Ermittlungssicht nicht primär in einer einzelnen Datenkategorie, die es enthält. Er liegt in der zeitlichen Tiefe und der Verhaltenskorrelation, die die Gesamtheit des Backups ermöglicht. Ein Backup ist keine Datei. Es ist eine Erzählung. Es dokumentiert nicht nur, was du in einer Nachricht gesagt hast, sondern wann du es gesagt hast, wo sich dein Gerät befand, als du es gesagt hast, über in Fotos eingebettete GPS-Koordinaten, welche Anwendungen du ungefähr zur gleichen Zeit geöffnet hattest und wie dein Verhaltensmuster der Gerätenutzung in den Stunden und Tagen um die Kommunikation herum aussah. Ermittler, die wissen, wie sie Backup-Daten lesen, lesen keine Dokumente, sie rekonstruieren einen Zeitstrahl des Lebens einer Person mit einer Granularität, die kein früheres Ermittlungswerkzeug erreichen konnte.

Die forensischen Werkzeuge, die diese Rekonstruktion ermöglichen und die von Ermittlungsbehörden in ganz Europa und Nordamerika eingesetzt werden, sind ausgereift, schnell und kontinuierlich aktualisiert. Cellebrite und MSAB stellen Extraktionsplattformen her, die iCloud-Backup-Daten verarbeiten und die Ergebnisse in strukturierten, durchsuchbaren Formaten präsentieren, die es einem Analysten erlauben, sich innerhalb von Stunden durch Monate der Kommunikation, Standortdaten und Verhaltensmuster einer Person zu bewegen. Diese Plattformen sind keine exotischen oder auf bestimmte Behörden beschränkten Werkzeuge; sie sind Standardausrüstung in polizeilichen Forensiklabors in Deutschland, Österreich, der Schweiz, dem Vereinigten Königreich, den Niederlanden und den meisten anderen europäischen Ermittlungsjurisdiktionen.

Die Palantir-Frage ist hier relevant, weil sie betrifft, was mit Daten geschieht, nachdem sie extrahiert wurden. Palantir Technologies, das 2003 gegründete und ursprünglich teilweise durch den CIA-Investitionsarm In-Q-Tel finanzierte Datenanalyseunternehmen, hält über 670 Millionen Pfund an öffentlichen Verträgen im Vereinigten Königreich, verteilt auf den Nationalen Gesundheitsdienst, das Verteidigungsministerium, mehrere Polizeibehörden, das Home Office, das Cabinet Office und seit frühem 2026 die Financial Conduct Authority (Slow AI, 2026, “NHS, Defence, Police, and Now Your Financial Data”). Der NHS-Vertrag über eine Federated Data Platform, im Wert von 330 Millionen Pfund über 7 Jahre und im November 2023 an ein Palantir-Konsortium vergeben, verarbeitet Daten von NHS-Trusts in ganz England. Das Verteidigungsministerium vergab Palantir im Dezember 2025 einen 240-Millionen-Pfund-Vertrag für “Datenanalysefähigkeiten zur Unterstützung kritischer strategischer, taktischer und operativer Entscheidungsfindung in allen Klassifikationsstufen” (The Lowdown, 2026). Die British Medical Association stimmte im Juni 2025 gegen die Einführung der Federated Data Platform. Amnesty International fordert die Kündigung des NHS-Vertrags. Über 47.000 Patienten und Beschäftigte im Gesundheitswesen haben sich formal dagegen ausgesprochen. All das hat an der Vertragsentwicklung bislang nichts geändert.

Die relevante forensische Beobachtung lautet: Eine Regierung, die sowohl die gesetzliche Befugnis hat, den Zugang zu verschlüsselten Cloud-Backups zu erzwingen, als auch die analytische Infrastruktur, diesen Zugang im Maßstab zu verarbeiten, hat etwas qualitativ anderes geschaffen als eine gezielte Ermittlungsfähigkeit. Sie hat eine Massenüberwachungsarchitektur geschaffen, in der die Lücke zwischen dem, was von Fall zu Fall rechtlich genehmigt ist, und dem, was technisch im Aggregat möglich ist, eine Frage administrativer Zurückhaltung und nicht technischer Beschränkung ist. Und administrative Zurückhaltung, wie jeder Kenner institutionellen Verhaltens weiß, ist keine fixe Konstante.

Die Biometrie-Falle: Warum dein Gesicht kein Passwort ist

Der ursprüngliche Artikel empfahl, biometrische Authentifizierung zu deaktivieren, was die richtige Empfehlung ist, aber die rechtliche Begründung dahinter ist differenzierter als der Artikel suggerierte, und Präzision ist hier wichtig, weil sich die Rechtslage aktiv entwickelt.

Das Kernproblem ist die Unterscheidung zwischen etwas, das du weißt, und etwas, das du bist. In der amerikanischen Verfassungsjurisprudenz wird der Schutz des Fünften Zusatzartikels gegen erzwungene Selbstbelastung seit langem so ausgelegt, dass er die Inhalte deines Gedächtnisses schützt, einschließlich eines Passworts oder einer Passphrase, die nur in deiner Erinnerung existiert, während es physische Merkmale nicht schützt, die direkt beobachtet oder gemessen werden können. Für biometrische Geräteauthentifizierung ist die entscheidende Frage, welcher Kategorie Biometrie angehört, wenn sie nicht zur Identifikation, sondern zum Gerätezugang verwendet wird.

US-Bundesberufungsgerichte haben inzwischen widersprüchliche Antworten gegeben. Der Ninth Circuit entschied in United States v. Payne 2024, dass erzwungener biometrischer Geräteentschlüssel kein durch den Fünften Zusatzartikel geschützter Aussageakt ist, sondern ein körperlicher Akt wie eine Blutentnahme (U.S. v. Payne, 99 F.4th 495, 9th Cir. 2024). Der D.C. Circuit kam im Januar 2025 in United States v. Brown zum gegenteiligen Ergebnis und stellte fest, dass das Erzwingen des biometrischen Geräteentschlusses die Assoziation einer Person mit dem Geräteinhalt offenbart und damit den Fünften Zusatzartikel verletzt (U.S. v. Brown, 125 F.4th 1186, D.C. Cir. 2025). Der Supreme Court hat die Frage noch nicht entschieden.

In europäischen Jurisdiktionen, einschließlich Deutschland und dem Vereinigten Königreich, sind die rechtlichen Rahmenbedingungen unterschiedlich, aber die praktische Spannung ist analog. Was in allen mir bekannten Jurisdiktionen klar ist: Eine Passphrase, die nur in deiner Erinnerung existiert, genießt einen stärkeren rechtlichen Schutz als ein biometrisches Merkmal, das physisch ohne deine kognitive Mitwirkung aufgezwungen werden kann. Ein Beamter kann deinen Finger auf einen Sensor halten, während du schläfst. Ein Beamter kann deine Erinnerung nicht öffnen.

Die praktische Empfehlung ist daher nicht nur eine Datenschutzpräferenz, sondern eine Rechtsstrategie: Eine starke alphanumerische Passphrase schützt deinen Geräteinhalt hinter einer rechtlichen Schranke, die Biometrie nicht bietet. Die Unannehmlichkeit, bei jeder Entsperrung eine komplexe Passphrase einzutippen, ist ein direktes Maß für den gebotenen Schutz. Bequemlichkeit und Sicherheit stehen hier in struktureller Spannung, die sich nicht zugunsten beider gleichzeitig auflösen lässt.

Was wirksame persönliche Datensicherheit tatsächlich erfordert

Ich möchte die praktische Frage, was Einzelpersonen tun können, mit der gleichen Präzision angehen, die ich auf den sachlichen Hintergrund angewendet habe, weil die Lücke zwischen dem, was in den meisten Datenschutzratgebern empfohlen wird, und dem, was unter adversarialen Bedingungen tatsächlich wirksam ist, größer ist, als die meisten Menschen erkennen.

Die erste und folgenreichste Änderung, die einem iCloud-Nutzer außerhalb Großbritanniens, der sich um die Vertraulichkeit seiner Backup-Daten sorgt, zur Verfügung steht, ist die Aktivierung von Advanced Data Protection, falls noch nicht geschehen. ADP bleibt außerhalb des Vereinigten Königreichs verfügbar und verschiebt iCloud-Backup, Fotos, Notizen und iCloud-Drive-Dateien aus der Kategorie der Daten, die Apple aufgrund einer rechtmäßigen Anordnung bereitstellen kann, in die Kategorie der Daten, die mit Schlüsseln verschlüsselt sind, die Apple nicht besitzt. Für britische Nutzer ist diese Option für Neuaktivierungen nicht mehr verfügbar. Für britische Nutzer, die ADP nicht aktivieren können, ist die praktische Alternative, iCloud Backup vollständig zu deaktivieren und verschlüsselte lokale Backups mit einem Werkzeug wie VeraCrypt auf einem Laufwerk zu erstellen, das physisch in ihrem Besitz bleibt.

IP Beacon: my.0at.de  |  Was dein Browser gesteht, bevor du ein einziges Wort tippst

Die E-Mail-Frage wird häufig mit der Empfehlung beantwortet, zu ProtonMail oder einem anderen Ende-zu-Ende-verschlüsselten Anbieter zu wechseln, und diese Empfehlung ist richtig, soweit sie reicht. Allerdings ist Ende-zu-Ende-verschlüsselte E-Mail erheblich komplizierter als ihr Marketing suggeriert, weil die Ende-zu-Ende-Verschlüsselung nur Mails zwischen Parteien schützt, die beide kompatible Verschlüsselung verwenden, was in der Praxis bedeutet, dass beide Parteien ProtonMail oder einen kompatiblen Dienst nutzen. Eine verschlüsselte E-Mail von ProtonMail an eine Gmail-Adresse ist auf dem Weg zu Gmail nicht Ende-zu-Ende-verschlüsselt; sie wird am Gmail-Server lesbar. Die praktische Konsequenz ist, dass der Wechsel zu ProtonMail primär für die Kommunikation mit anderen datenschutzbewussten Korrespondenten sinnvollen Schutz bietet.

Für Gerätesicherheit bietet die Kombination aus vollständiger Festplattenverschlüsselung mit einer starken Passphrase, deaktivierter biometrischer Entsperrung und regelmäßigen lokalen verschlüsselten Backups eine erheblich stärkere Sicherheitslage als jede Cloud-abhängige Konfiguration. Open Keychain unter Android, die eingebaute Vollverschlüsselung unter iOS mit deaktivierter Biometrie, BitLocker oder FileVault unter Windows und macOS mit einer starken Passphrase sowie VeraCrypt für externe Laufwerke sind Werkzeuge mit dokumentierten Sicherheitseigenschaften, die unabhängig geprüft wurden und nicht auf den guten Willen eines Unternehmens gegenüber seinen Nutzern angewiesen sind. Ein Hardware-Authentifizierungstoken wie ein YubiKey oder NitroKey fügt einen zweiten Faktor hinzu, der nicht durch Phishing angreifbar ist.

Keine dieser Maßnahmen ist absolut, und ich möchte darüber direkt sein. Ein Gerät, das beim Beschlagnahmen eingeschaltet und entsperrt ist, bietet erheblich geringeren Schutz als eines, das ausgeschaltet und im Ruhezustand verschlüsselt ist. Eine Passphrase, die unter gesetzlichem Zwang oder Nötigung offenbart wurde, bietet keinen Schutz. Das Ziel persönlicher digitaler Sicherheit ist nicht, unüberwindbar zu sein, was nicht erreichbar ist, sondern sicherzustellen, dass die Kosten des Zugriffs auf deine Daten, in Bezug auf rechtliche Prozesse, Zeit, technische Fähigkeit und richterliche Aufsicht, der Schwere der Ermittlung angemessen sind und nicht routinemäßig als bloße Bequemlichkeit zur Verfügung stehen.

Die Überwachungsarchitektur, die der Apple-Fall sichtbar macht

Der Apple-iCloud-Fall ist über seine unmittelbaren Fakten hinaus bedeutsam, weil er eine Architektur sichtbar macht, die normalerweise unterhalb der Schwelle der öffentlichen Wahrnehmung operiert. Diese Architektur hat mehrere Komponenten, und ihr Zusammenspiel zu verstehen ist notwendig, um zu beurteilen, was tatsächlich auf dem Spiel steht.

Die erste Komponente ist ein gesetzlicher Rahmen, verkörpert im Investigatory Powers Act, der äußerst weitreichende Überwachungsbefugnisse genehmigt, geheime Forderungen an Technologieunternehmen ohne vorherige gerichtliche Genehmigung erlaubt und Schweigen durch gesetzliche Gebote erzwingt, die auch dann gelten, wenn das betroffene Unternehmen die Forderung für rechtswidrig hält. Die zweite Komponente ist eine Infrastruktur analytischer Fähigkeiten, verkörpert in Palantirs Verträgen über britische Staatsinstitutionen, die die durch diese Befugnisse erzwingbaren Daten in einem Umfang und einer Geschwindigkeit verarbeiten kann, die früheren Ermittlungswerkzeugen unerreichbar waren. Die dritte Komponente ist ein richterlicher Kontrollmechanismus, das Investigatory Powers Tribunal, das in geheimer Sitzung tagt, dessen vollständige Urteile nicht veröffentlicht werden und das bisher nicht in der Lage war, die umstrittensten Forderungen unter dem Act zu verhindern oder rückgängig zu machen.

Zusammen beschreiben diese 3 Komponenten ein System, in dem die wesentliche Beschränkung der Überwachung nicht das Recht ist, weil das Recht die Überwachung aktiv ermöglicht, und nicht die Technologie, weil die Technologie die Überwachung leichter macht, sondern der politische Wille und die Bereitschaft privater Unternehmen, die Reputations- und Rechtskosten des Widerstands zu tragen. Apples Entscheidung, ADP aus dem Vereinigten Königreich zurückzuziehen, statt eine Hintertür zu schaffen, war ein Akt dieses privaten Widerstands. Er bewahrte die Sicherheit der Nutzer außerhalb Großbritanniens auf Kosten der Fähigkeit, innerhalb Großbritanniens erhöhte Sicherheit anzubieten.

Die britische Angemessenheitsentscheidung unter der Datenschutz-Grundverordnung, die den Datenfluss zwischen der Europäischen Union und dem Vereinigten Königreich ohne zusätzliche rechtliche Mechanismen erlaubt, steht unter Druck durch genau diese Dynamik. Rechtswissenschaftler haben argumentiert, dass das britische TCN-Regime in seiner gegenwärtigen Form nicht mit der Europäischen Menschenrechtskonvention vereinbar ist und dass fortgesetzte Datentransfer-Angemessenheitsentscheidungen in Anwesenheit dieses Regimes rechtlich anfechtbar wären (Kouvakas, 2025, unter Bezugnahme auf EMRK Artikel 8 und einschlägige EuGH-Rechtsprechung).

Eine Anmerkung zur Sprache der nationalen Sicherheit

Das Argument, das in jeder Jurisdiktion vorgebracht wird, in der erweiterte Überwachungsbefugnisse beantragt wurden, ist dasselbe Argument: Diese Fähigkeit ist notwendig, um Bürger vor Terrorismus, schwerem organisiertem Verbrechen und Online-Schäden zu schützen. Das Argument ist innerhalb seiner eigenen Prämissen strukturell unwiderlegbar, weil es auf Beweisen beruht, die per Definition geheim sind, und weil die Schäden, auf die es verweist, real und ernst sind. Es ist auch in einer Weise strukturell asymmetrisch, die explizit benannt werden sollte: Die Ausweitung der Überwachungsfähigkeit ist dauerhaft, weil einmal geschaffene gesetzliche Genehmigungen und technische Infrastrukturen nicht routinemäßig rückgebaut werden, während die Bedrohungslage, die jede Ausweitung rechtfertigt, als ständig aktuell präsentiert wird, wodurch ein Ratschenmechanismus entsteht, der nur in eine Richtung läuft.

Die forensische Dokumentation dessen, was mit ausgeweiteten Überwachungsfähigkeiten im Laufe der Zeit geschieht, legt nahe, dass die am stärksten betroffene Bevölkerungsgruppe nicht die ist, die anfangs als Rechtfertigung genannt wird. Massenüberwachungsinfrastruktur wird, einmal etabliert, auf das gesamte Spektrum staatlicher Prioritäten angewandt, was organisiertes Verbrechen und Terrorismus, aber auch Steuervollzug, Einwanderungsvollzug, Arbeitskämpfe, politischen Aktivismus und Journalismus einschließt. Die eigene britische Geschichte mit dem Regulation of Investigatory Powers Act, dem Vorläufer des Investigatory Powers Act, enthält dokumentierte Fälle, in denen Kommunalbehörden Überwachungsbefugnisse nutzten, um Hundebesitzer zu ermitteln, die kommunale Leinengebote missachteten, und Eltern, die des Betrugs bei Schuleinzugsgebieten verdächtigt wurden. Das sind keine katastrophalen Missbräuche; das ist routinemäßiges institutionelles Verhalten, wenn die Kosten der Nutzung einer Fähigkeit gering und die politische Zurückhaltung bei ihrer Anwendung schwach sind.

Schlusswort

Apples Abschaffung von Advanced Data Protection im Vereinigten Königreich war kein Moment, in dem Datenschutz endete, wie es in manchen Kommentaren charakterisiert wurde. Es war ein Moment, in dem die Lücke zwischen dem, was das Recht erlaubt, und dem, was Datenschutz erfordert, auf eine Weise öffentlich sichtbar wurde, die ein gesetzliches Schweigegebot zuvor verhindert hatte. Die Daten, die Apple der britischen Regierung aufgrund einer rechtmäßigen Anordnung für britische Nutzer ohne ADP jetzt bereitstellen kann, sind Daten, die Apple immer bereitstellen konnte, weil sie nur durch Schlüssel geschützt sind, die Apple hält. Was verlorenging, als ADP abgeschafft wurde, war die Option, diese Lücke durch eine technische Architektur zu schließen, die die Schlüssel ausschließlich in den Händen des Nutzers ließ.

Ob diese Option zurückgegeben wird und unter welchen Bedingungen, hängt teils vom Ausgang der rechtlichen Verfahren vor dem Investigatory Powers Tribunal und teils davon ab, ob die politischen Kosten der britischen Überwachungshaltung letztendlich hoch genug werden, um gesetzliche Änderungen zu bewirken. Die Rechtsmittel von Privacy International, Liberty und der Internet Society stellen den besten verfügbaren institutionellen Mechanismus dar, diese Frage zu erzwingen. Sie verdienen Aufmerksamkeit und Unterstützung.

In der Zwischenzeit existieren die Verschlüsselungswerkzeuge, die deine Daten im Ruhezustand und bei der Übertragung schützen, sind kostenlos oder kostengünstig, wurden überprüft und benötigen keine staatliche Genehmigung zur Nutzung. Die Passphrase, die nur in deiner Erinnerung lebt, kann nicht von Apple, nicht durch eine TCN und nicht von einer Palantir-Analyseplattform erzwungen werden. Das verschlüsselte lokale Backup, das auf einem Laufwerk unter deiner physischen Kontrolle liegt, kann nicht durch eine Cloud-Zugriffsanordnung extrahiert werden. Diese Schutzmaßnahmen sind unvollkommen, erfordern Aufwand und stehen nicht jedem Nutzer in jeder Situation zur Verfügung. Sie sind dennoch das, was verfügbar bleibt, und die Lücke zwischen dem, was verfügbar bleibt, und dem, was für britische Nutzer unzugänglich gemacht wird, ist genau das Territorium, das die Technical Capability Notice einzuengen gestaltet war.

Regierungen, die hart daran arbeiten, dieses Territorium einzuengen, tun dies im Wesentlichen nicht wegen Krimineller und Terroristen, die ausreichend versiert sind, ihre Werkzeuge schneller anzupassen als jeder Gesetzgebungszyklus. Sie tun es, weil die Fähigkeit für das gesamte Spektrum staatlicher Aufgaben nützlich ist, und weil die Bevölkerung gewöhnlicher Nutzer, deren Daten dabei zugänglich werden, sehr groß und sehr unorganisiert ist.

Die Frage, die das aufwirft, ist die älteste Frage in der politischen Philosophie demokratischer Regierung: Wer kontrolliert die Kontrolleure? Die Antwort, die der IPA in Form geheimer Tribunale und gesetzlicher Schweigegebote liefert, ist keine, die irgendeine Darstellung demokratischer Rechenschaftspflicht behaglich akzeptieren kann.

Quellen

  • Apple Support. (2022). Advanced Data Protection for iCloud. Apple Inc. https://support.apple.com/guide/security/advanced-data-protection-for-icloud-sec973254c5f/web
  • Apple Support. (2025). iCloud data security overview. Apple Inc. https://support.apple.com/en-us/102651
  • Computer Weekly. (2025, 13. Oktober). Court dismisses Apple’s appeal against Home Office backdoor. https://www.computerweekly.com/news/366632561/Apple-and-Home-Office-agree-to-drop-legal-claim-over-encryption-backdoor
  • Internet Society. (2025, Juli). A UK Government order threatens the privacy and security of all internet users. https://www.internetsociety.org/blog/2025/07/a-uk-government-order-threatens-the-privacy-and-security-of-all-internet-users/
  • Kouvakas, I. (2025, 13. März). You can’t have your Apple and eat it too: Decryption orders and the perilous future of UK data adequacy. UK Constitutional Law Association Blog. https://ukconstitutionallaw.org/2025/03/13/ioannis-kouvakas-you-cant-have-your-apple-and-eat-it-too-decryption-orders-and-the-perilous-future-of-u-k-data-adequacy/
  • Liberty. (2025, März). UK Government’s secret Apple data access order challenged by Liberty and Privacy International. https://www.libertyhumanrights.org.uk/issue/uk-governments-secret-apple-data-access-order-challenged-by-liberty-and-privacy-international/
  • Medact. (2026, März). Briefing: Concerns Regarding Palantir Technologies and NHS Data Systems. https://www.medact.org/2026/resources/briefings/briefing-palantir-fdp/
  • Privacy International. (2025). PI Apple TCN Challenge. https://privacyinternational.org/legal-action/pi-apple-tcn-challenge
  • Privacy Guides. (2025, 28. Februar). The UK Government forced Apple to remove Advanced Data Protection: What does this mean for you? https://www.privacyguides.org/articles/2025/02/28/uk-forced-apple-to-remove-adp/
  • Slow AI. (2026, 26. März). NHS, Defence, Police, and now your financial data. https://theslowai.substack.com/p/palantir-uk-government-data
  • TechCrunch. (2025, 1. Oktober). UK government tries again to access encrypted Apple customer data: Report. https://techcrunch.com/2025/10/01/uk-government-tries-again-to-access-encrypted-apple-customer-data-report/
  • The Lowdown. (2026, April). Palantir, the controversy, the contracts and the campaign against the FDP. https://lowdownnhs.info/topics/accountablility/palantir-the-controversy-the-contracts-and-the-campaign/
  • Vereinigtes Königreich. (2016). Investigatory Powers Act 2016 (c. 25). Parlament des Vereinigten Königreichs. https://www.legislation.gov.uk/ukpga/2016/25/contents
  • Vereinigtes Königreich. (2024). Investigatory Powers (Amendment) Act 2024. Parlament des Vereinigten Königreichs.
  • United States Court of Appeals, D.C. Circuit. (2025). United States v. Brown, 125 F.4th 1186.
  • United States Court of Appeals, Ninth Circuit. (2024). United States v. Payne, 99 F.4th 495.
  • Usercentrics. (2025, April). UK government demands access to Apple users’ encrypted data. https://usercentrics.com/knowledge-hub/uk-government-demands-access-to-apple-users-encrypted-data/
  • US-Justizausschuss. (2025, 7. Mai). Letter to the Rt. Hon. Yvette Cooper MP, Home Secretary. https://judiciary.house.gov/sites/evo-subsites/republicans-judiciary.house.gov/files/evo-media-document/2025-05-07-jdj-bm-to-cooper-re-cloud-act_0.pdf
You Might Also Like