iCloud: Apple will E-Mails zwischen Service-Providern verschlüsseln

Spätestens seit der WWDC 2014 ist klar, dass die iCloud eine immer größere Rolle in der Unternehmensstrategie von Apple spielen wird. Schon heute sind viele Dienste über die Apple-Cloud zu realisieren, aber das wirft unweigerlich die Frage nach der Sicherheit auf. Dem will das Unternehmen nachkommen und plant die Einführung verschlüsselter E-Mails.

Zumindest will der Konzern die Verschlüsselung verschickter E-Mails ausdehnen, da diese bisher nur zwischen iCloud-Nutzern tatsächlich verschlüsselt werden. Schickt oder erhält man eine E-Mail von einem anderen Service Provider dann ist diese unverschlüsselt und genau das will Apple ändern. Bekannt wurde das durch einen Bericht von NPR (National Public Radio), welcher sich mit exakt diesem Thema befasste: Verschlüsselte Kommunikation im Netz von großen Unternehmen, welcher wiederum auf einer Studie der EFF (Electronic Frontier Foundation) fußte.

Die iCloud wird sicherer

Der iMessage-Dienst von Apple ist bereits mit einer Ende-zu-Ende-Verschlüsselung versehen, aber eben nicht die anderen Dienste zur textlichen Kommunikation. Zwar ist die iCloud untereinander ähnlich gut verschlüsselt, aber sobald eine E-Mail an „Außenstehende“ gesendet wird fehlt diese Verschlüsselung für mehr Sicherheit. Eben das will Apple demnächst irgendwann ändern, um die Daten seiner iCloud-Nutzer mit anderen externen Mail Providern besser zu schützen. Davon betroffen sein werden E-Mail-Adressen der Domains me.com und mac.com.

Die EFF hatte vor einiger Zeit einen 5-Punkte-Plan veröffentlicht, mit welchem große Konzerne die verschickten Daten besser schützen können und somit das Vertrauen durch ihre Kunden erhöhen können. Der Plan umfasst diese folgenden Punkte:

1. HTTPS als Standard: Bei dem Aufbau einer Verbindung automatisch die Daten verschlüsseln
2. HSTS (HTTP Strict Transport Security): Wenn verschlüsselte und unverschlüsselte Versionen ein und derselben Website bereitstehen, wird die verschlüsselte Version forciert
3. (Perfect) Foward Secrecy: Für jede Sitzung wird ein anderer Verschlüsselungscode verwendet
4. STARTTLS: Leitet die Verschlüsselung von E-Mails vor dem Transport ein; Google hat angefangen Service Provider öffentlich bekannt zu machen, die sich STARTTLS verweigern
5. E-Mails beim Transport verschlüsseln: E-Mails wie zum Beispiel aus der iCloud sollten standardmäßig verschlüsselt werden

Unbekannt ist derzeit lediglich wann Apple die Verschlüsselung von E-Mails aus der iCloud heraus aktiviert. Die einzige Hürde scheint derzeit die STARTTLS-Implementation für den Cloud-Dienst von Apple zu sein, welche zwingend von beiden Mail-Providern unterstützt werden muss, damit die Verschlüsselung untereinander auch tatsächlich funktioniert. Bisher unterstützt die iCloud jedenfalls keine Verschlüsselung, wie aus dem Transparenzbericht Sicherere E-Mails von Google hervor geht.