Wenn die Polizei in den USA den Zugriff auf ein Smartphone von Apple oder Google benötigt, dann startete man dazu in der Vergangenheit eine offizielle Anfrage und bekam dann von Google den kompletten Zugriff und von Apple eine Kopie des kompletten Smartphones auf einer externen Festplatte. Doch die Zeiten ändern sich, Verschlüsselung schützt die Daten sehr effizient.
Auf reddit startete gestern dieser Beitrag von g_schrage52 eine interessante Diskussion, die wir euch hier nicht vorenthalten möchten. Und zwar geht es um die Frage, inwieweit Google und Apple den Behörden den Zugriff auf Smartphones bereitstellen müssen/können. Der Beitrag verlinkt auf ein aktuelles PDF-Dokument der Polizeibehörde von Manhattan mit dem Titel:
REPORT OF THE MANHATTAN DISTRICT ATTORNEY’S OFFICE ON SMARTPHONE ENCRYPTION AND PUBLIC SAFETY
Die Informationen, die aus dem Dokument hervorgehen, sind jetzt nicht wirklich brandneu, aber es kann nicht schaden, sich darüber im Klaren zu sein. Demnach kann Google (praktisch) jedes Android-Smartphone von der Ferne aus entsperren. Das überrascht mich jetzt in keiner Weise, schließlich hat Google den vollen Zugriff auf alle Google-Accounts und kann somit auch jederzeit einen Passwort-Reset initiieren, und auch bei einem Todesfall im Angehörigenkreis kann man ja via offizielle Anfrage bei Google Zugriff auf ein Konto bekommen.
Deutlich interessanter sind hingegen die Informationen, wie sich Verschlüsselung und Cloud-Speicher auf den Zugriff durch Polizei und Behörden auswirken. Demnach hat zwar Apple seit iOS 8 die deutlich sichereren Smartphones (weil automatisch verschlüsselt), speichert aber auch automatisch sehr viele Informationen in der Cloud, hier wiederum unverschlüsselt. Über den Zugang auf das Apple-ID-Konto kommt man also oft doch noch an einige der gesuchten Informationen heran.
Bei Android sieht die ganze Sache etwas komplizierter aus. Hier sind die meisten Geräte nicht verschlüsselt, wodurch sich die Behörden problemlos den kompletten Zugriff sichern können. Nutzt ein Anwender allerdings die seit Android 5.0 integrierte Verschlüsselungsfunktion, dann bringt der Polizei auch die Hilfe von Google nichts, weil Google nur die Gerätesperre remote entfernen kann aber nicht das Gerät entschlüsseln. Die Nutzung der Cloud-Dienste ist bei Android/Google optional. Wer also keine Daten in der Cloud speichern möchte, muss das auch nicht. Hier hängt der Umfang der zur Verfügung stehenden Daten somit davon ab, wie viel der Android-/Google-Nutzer von sich Preis gibt.
Der Bericht geht schließlich auch noch auf die Frage ein, inwieweit man einen Verdächtigen dazu zwingen kann, den Behörden beim Entsperren des Geräts bei einer kompletten Speicherverschlüsselung (Full Disk Encryption) behilflich zu sein („niemand muss gegen sich selbst ausssagen“). Hier gab es vor kurzem ein Urteil, dass man ihn dazu zwingen kann, das Gerät via Fingerabdruck zu entsperren, aber offiziell nicht dazu, sein Passwort preiszugeben. Hier sind Android-Nutzer somit auf der sicheren Seite, denn der Fingerabdruck wird nicht dazu benutzt, die Verschlüsselung zu entsperren, sondern nur für die Displaysperre. Bei einem ausgeschalteten Gerät (!) gibt es somit keine Möglichkeiten, einen Verdächtigen dazu zu zwingen, sein Gerät zu entschlüsseln.
Wer wirklich auf Nummer sicher gehen will, benutzt keinen Google-Account auf seinem Android-Gerät benutzt ein sicheres Entsperrmuster und schaltet die FDE ein (Einstellungen | Sicherheit | Verschlüsselung).
Soweit die Theorie, an dieser Stelle darf natürlich der folgende XKCD-Comic nicht fehlen:
