Anfang August 2021 stellte Apple sein neues System zur Erkennung kinderpornographischer Inhalte vor. Obwohl die Motive von Apple – der Kampf gegen die Verbreitung von Kinderpornographie – unbestreitbar gut gemeint zu sein scheinen, erntete Apple nach dieser Ankündigung sofort heftigste Kritik, die auch jetzt noch nicht vollkommen abgeebbt ist.
Apple pflegt seit langem das Image eines Geräteherstellers, der sich um die Privatsphäre seiner Nutzer kümmert. Neue Funktionen, die für iOS 15 und iPadOS 15 erwartet werden, haben diesem Ruf bereits einen schweren Schlag versetzt; dennoch: das Unternehmen gibt nicht auf. Im Anschluss erfahren Sie, was Apple für die Zukunft plant und wie sich diese Pläne auf den durchschnittlichen iPhone- und iPad-Nutzer auswirken werden.
Was steht hinter der CSAM-Erkennung?
Die Pläne von Apple werden auf der Unternehmenswebsite genauer beschrieben. Der iPhone-Gigant hat ein System namens CSAM Detection entwickelt, das Nutzergeräte auf „Material über sexuellen Kindesmissbrauch“, auch bekannt als CSAM, scannt.
Obwohl „Kinderpornographie“ als Synonym für CSAM gilt, hält das National Center for Missing and Exploited Children (NCMEC), das bei der Suche und Rettung vermisster und missbrauchter Kinder in den Vereinigten Staaten hilft, „CSAM“ für den passenderen Begriff. Das NCMEC versorgt Apple und andere Technologieunternehmen mit Informationen über bekannte CSAM-Inhalte (Fotos).
Apple hat die CSAM-Erkennung zusammen mit mehreren anderen Funktionen eingeführt, die die elterliche Kontrolle auf mobilen Apple-Geräten erweitern. So erhalten Eltern beispielsweise eine Benachrichtigung, falls jemand ihrem Kind ein sexuell eindeutiges Foto über das Apple-Nachrichtensystem schickt.
Die Vorstellung diverser neuer Apple-Technologien führte zu einiger Verwirrung unter den Nutzern, und viele Leute hatten den Eindruck, dass Apple Benutzer nun rund um die Uhr überwachen möchte. Das ist jedoch nicht der Fall.
Zeitplan für die Einführung der CSAM-Erkennung
CSAM Detection wird Teil der mobilen Betriebssysteme iOS 15 und iPadOS 15 sein, die im Herbst dieses Jahres für die Nutzer aller aktuellen iPhones und iPads (iPhone 6S, iPad der fünften Generation und neuer) verfügbar sein werden. Obwohl die Funktion theoretisch überall auf der Welt auf mobilen Apple-Geräten verfügbar sein wird, funktioniert das System vorerst nur in den Vereinigten Staaten vollständig.
So funktioniert CSAM Detection
CSAM Detection funktioniert nur in Verbindung mit iCloud Photos, dem Teil des iCloud-Dienstes, der Fotos von einem Smartphone oder Tablet auf die Apple-Server hochlädt. Er macht sie auch auf den anderen Geräten des Nutzers zugänglich.
Falls ein Nutzer die Fotosynchronisierung in den Einstellungen deaktiviert, funktioniert die CSAM-Erkennung nicht mehr. Bedeutet das, dass Fotos nur in der Cloud mit denen in kriminellen Datenbanken verglichen werden? Nicht ganz. Das System ist absichtlich komplex; Apple versucht, ein notwendiges Maß an Privatsphäre zu gewährleisten.
Wie Apple erklärt, funktioniert die CSAM-Erkennung durch das Scannen von Fotos auf einem Gerät, um festzustellen, ob sie mit Fotos in den Datenbanken des NCMEC oder anderer ähnlicher Organisationen übereinstimmen.
Die Erkennungsmethode verwendet die NeuralHash-Technologie, die im Wesentlichen digitale Identifikatoren oder Hashes für Fotos auf der Grundlage ihres Inhalts erstellt. Falls ein Hash mit einem in der Datenbank bekannter Bilder von Kinderschändern übereinstimmt, werden das Bild und sein Hash auf die Server von Apple hochgeladen. Apple führt eine weitere Prüfung durch, bevor das Bild offiziell registriert wird.
Eine weitere Komponente des Systems, eine kryptografische Technologie namens private set intersection, verschlüsselt die Ergebnisse des CSAM-Detection-Scans, sodass Apple sie nur entschlüsseln kann, falls eine Reihe von Kriterien erfüllt ist. Theoretisch sollte dies verhindern, dass das System missbraucht wird, d. h., dass ein Unternehmensmitarbeiter das System missbraucht oder Bilder auf Anfrage von Regierungsbehörden aushändigt.
In einem Interview mit dem Wall Street Journal vom 13. August erläuterte Craig Federighi, Apple’s Senior Vice President of Software Engineering, die wichtigsten Sicherheitsvorkehrungen für das private Schnittmengenprotokoll: Um Apple zu alarmieren, müssen 30 Fotos mit Bildern in der NCMEC-Datenbank übereinstimmen. Wie das Diagramm unten zeigt, erlaubt das System der privaten Schnittmenge nicht, dass der Datensatz – bestehend aus Informationen über den Betrieb der CSAM-Erkennung und den jeweiligen Fotos – entschlüsselt wird, bis dieser Mindestwert erreicht ist. Da der Grenzwert für die Kennzeichnung eines Bildes so hoch ist, ist laut Apple eine falsche Übereinstimmung sehr unwahrscheinlich – wortwörtlich heißt es hier „eine Chance von eins zu einer Billion“.
Was passiert, wenn das System alarmiert wird? Ein Apple-Mitarbeiter überprüft die Daten manuell, bestätigt die Existenz kinderpornographischer Inhalte und benachrichtigt die Behörden. Vorerst wird das System nur in den Vereinigten Staaten voll funktionsfähig sein, sodass die Meldung an das NCMEC geht, das vom US-Justizministerium unterstützt wird.
Probleme mit CSAM Detection
Mögliche Kritik an Apples Vorhaben lässt sich in zwei Kategorien einteilen: In Frage stellen des Ansatzes des Unternehmens und Hinterfragen der Schwachstellen des Protokolls. Derzeit gibt es kaum konkrete Beweise dafür, dass Apple einen technischen Fehler begangen hat (ein Thema, auf das wir weiter unten näher eingehen werden), obwohl es an allgemeinen Beschwerden nicht mangelt.
So hat beispielsweise die Electronic Frontier Foundation diese Probleme sehr detailliert beschrieben. Nach Ansicht der EFF integriert Apple durch das Hinzufügen von Bildscans auf der Benutzerseite im Grunde eine Backdoor. Die EFF kritisiert das Konzept bereits seit 2019.
Was daran schlecht ist? Stellen Sie sich vor, Sie besitzen ein Gerät, auf dem Daten vollständig verschlüsselt werden (wie Apple behauptet), das aber dann damit anfängt, Außenstehende über bestimmte Inhalte zu informieren. Moment geht es hierbei nur um das Thema Kinderpornographie, und selbstverständlich könnte man in diesem Fall sagen: „Wenn du nichts zu verbergen hast, musst du dir auch keine Sorgen machen“. Doch solange ein solcher Mechanismus überhaupt existiert, können wir nicht zu 100%iger Sicherheit wissen, ob dieser nicht auch für andere Inhalte verwendet wird.
Letztlich ist diese Kritik eher politischer als technischer Natur. Das Problem liegt darin, dass es keinen Gesellschaftsvertrag gibt, der ein Gleichgewicht zwischen Sicherheit und Privatsphäre herstellt. Wir alle – von Bürokraten, Geräteherstellern und Softwareentwicklern bis hin zu Menschenrechtsaktivisten und einfachen Nutzern – versuchen jetzt, dieses Gleichgewicht zu definieren.
Strafverfolgungsbehörden beschweren sich darüber, dass die weit verbreitete Verschlüsselung das Sammeln von Beweisen und die Festnahme von Kriminellen erschwert, und das ist verständlich. Die Bedenken über digitale Überwachung sind ebenfalls offensichtlich. Meinungen, auch zu den Richtlinien und Aktionen von Apple, gibt es wie Sand am Meer.
Die Problematik bei der Umsetzung der CSAM-Erkennung
Sobald wir die ethischen Bedenken hinter uns gelassen haben, stoßen wir auf heikle technische Gegebenheiten. Jeder Programmcode erzeugt neue Schwachstellen. Was wäre, wenn ein Cyberkrimineller die Schwachstellen der CSAM Detection ausnutzen würde? Wenn es um Datenverschlüsselung geht, ist die Besorgnis natürlich und berechtigt: Falls der Schutz von Informationen geschwächt wird, selbst wenn dies nur in guter Absicht geschieht, kann jeder diese Schwachstelle für andere Zwecke ausnutzen.
Eine unabhängige Prüfung des CSAM-Detection-Codes hat gerade erst begonnen und könnte sehr lange dauern. Wir haben jedoch bereits einige Dinge gelernt.
Erstens gibt es in iOS (und macOS) seit Version 14.3 einen Code, der es ermöglicht, Fotos mit einem „Modell“ zu vergleichen. Es ist durchaus möglich, dass dieser Code Teil von CSAM Detection sein wird. Dienstprogramme zum Experimentieren mit einem Suchalgorithmus für den Abgleich von Bildern haben bereits einige Übereinstimmungen gefunden. Laut Apples NeuralHash-Algorithmus haben zum Beispiel die beiden folgenden Bilder denselben Hash:
Falls es möglich ist, die Datenbank mit den Hashes illegaler Fotos abzurufen, ist es möglich, „harmlose“ Bilder zu erstellen, die eine Warnung auslösen, d. h., Apple könnte so viele falsche Warnungen erhalten, dass die CSAM-Erkennung nicht mehr aufrechterhalten werden kann. Das ist höchstwahrscheinlich der Grund, warum Apple die Erkennung getrennt hat, wobei ein Teil des Algorithmus nur auf der Serverseite arbeitet.
Es gibt auch diese Analyse von Apples private set intersection-Protokoll. Die Kritik besteht im Wesentlichen darin, dass das PSI-System schon vor Erreichen der Warnschwelle eine ganze Reihe von Informationen an die Apple-Server übermittelt. In dem Artikel wird ein Szenario beschrieben, in dem Strafverfolgungsbehörden die Daten von Apple anfordern, und es wird angedeutet, dass selbst falsche Warnungen zu einem Besuch der Polizei führen könnten.
Vorerst handelt es sich nur um erste Tests für eine externe Überprüfung von CSAM Detection. Der Erfolg wird weitgehend davon abhängen, ob das für seine Geheimniskrämerei bekannte Unternehmen Transparenz in die Arbeitsweise von CSAM Detection – und insbesondere in seinen Quellcode – bringt.
Was bedeutet CSAM Detection für den durchschnittlichen Benutzer?
Moderne Geräte sind so komplex, dass es nicht einfach ist, festzustellen, wie sicher sie wirklich sind. Will meinen, inwieweit sie den Versprechungen des Herstellers gerecht werden. Das Einzige, was wir tun können, ist, dem Unternehmen aufgrund seines Rufs zu vertrauen – oder zu misstrauen.
Es ist jedoch wichtig, sich diesen wichtigen Punkt zu merken: Die CSAM-Erkennung funktioniert nur, falls Nutzer Fotos in die iCloud hochladen. Die Entscheidung von Apple war bewusst und hat einige der Einwände gegen die Technologie vorweggenommen.
Vielleicht erinnern Sie sich an den berüchtigten Konflikt zwischen Apple und dem FBI im Jahr 2016, als das FBI Apple um Hilfe bei der Entsperrung eines iPhone 5C bat, das einem Amokläufer in San Bernardino, Kalifornien, gehörte. Das FBI forderte Apple dazu auf eine Software zu schreiben, um den Passwortschutz des Telefons umgehen zu können.
Das Unternehmen weigerte sich jedoch, da auf diese Weise nicht nur das Telefon des Schützen, sondern auch die Handys anderer Personen hätten entsperrt werden können. Das FBI lenkte ein und hackte das Gerät schließlich mit externer Hilfe, indem es die Schwachstellen der Software ausnutzte, während Apple seinen Ruf als Unternehmen, das für die Rechte seiner Kunden kämpft, aufrechterhielt.
Allerdings ist die Geschichte nicht ganz so einfach. Apple hat eine Kopie der Daten aus der iCloud herausgegeben. Tatsächlich hat das Unternehmen Zugriff auf praktisch alle Nutzerdaten, die in die Cloud hochgeladen werden. Einige, z. B. Schlüsselbund-Passwörter und Zahlungsinformationen, werden mit einer Ende-zu-Ende-Verschlüsselung gespeichert, aber die meisten Informationen sind nur zum Schutz vor unerlaubtem Zugriff verschlüsselt – d. h., vor einem Server-Hack. Das bedeutet, dass das Unternehmen die Daten entschlüsseln kann.
Die Implikationen sind vielleicht die interessanteste Wendung in der Geschichte der CSAM-Erkennung. Das Unternehmen könnte zum Beispiel einfach alle Bilder in iCloud Photos scannen (wie es Facebook, Google und viele andere Cloud-Anbieter tun). Apple hat einen wesentlich eleganteren Mechanismus entwickelt, der dem Unternehmen helfen würde, den Vorwurf der Massenüberwachung von Nutzern abzuwehren, aber stattdessen hat es noch mehr Kritik auf sich gezogen – für das Scannen der Geräte der Nutzer.
Letztendlich ändert das Tohuwabohu für den Durchschnittsnutzer kaum etwas. Falls Sie um den Schutz Ihrer Daten besorgt sind, sollten Sie jeden Cloud-Dienst mit einem kritischen Auge betrachten. Daten, die Sie nur auf Ihrem Gerät speichern, sind immer noch sicher. Die jüngsten Handlungen von Apple haben begründete Zweifel gesät. Ob das Unternehmen in diesem Sinne weitermachen wird, bleibt derzeit eine offene Frage.