Ob am iPhone oder unter Android: Wenn eine App eine Benachrichtigung verschickt, dann läuft das meist über die Infrastruktur der jeweiligen Betriebssystemhersteller – also Apple oder Google. Dass solch ein Informations-Nexus die Begehrlichkeiten staatlicher Überwacher weckt, dürfte für viele nicht sonderlich überraschend sein. Immerhin suchen die Geheimdienste und Polizeibehörden der Welt laufend nach neuen Ansatzpunkten, um ihre Aktivitäten entfalten zu können.

Hilft leider nicht gegen das Ausspionieren am Push-Server, aber vielleicht ist es ja zumindest bequem.
Getty Images

Einen Beleg dafür, dass dabei die Push-Systeme von Apple und Google ein konkretes Ziel sind, gab es bislang aber nicht. Das ändert sich jetzt.

Befürchtung bestätigt

Apple hat nun zum ersten Mal öffentlich eingestanden, dass Behörden regelmäßig auf Push-Benachrichtigungen von iPhone- und iPad-Usern zugreifen. Kurz davor wurde eben diese Praxis vom demokratischen US-Senator Ron Wyden in einem Schreiben an das US-Justizministerium öffentlich gemacht. Aus diesem Brief geht hervor, dass bei Google ähnliche Anfragen ebenfalls gang und gäbe seien, das Unternehmen bestätigt dies aber vorerst nur indirekt.

Laut Wyden geht es dabei auch nicht nur um die US-Regierung. So würden auch die Behörden anderer Länder mittlerweile entsprechende Datenanforderungen an die beiden Unternehmen stellen. Einen entsprechenden Tipp habe der US-Senator zum ersten Mal im Frühjahr 2022 erhalten, nun könne man diese Praxis aber erstmals belegen.

Klingt danach, als würde Wyden schwere Vorwürfe gegen die beiden Firmen erheben, tut er aber nicht, ganz im Gegenteil. Denn wie sich herausstellt, sind die beiden Unternehmen durch US-Gesetze zur Geheimhaltung verpflichtet. Wyden fordert das Justizministerium nun entsprechend auf, dass die Firmen offen über dieses Thema sprechen dürfen.

Um welche Daten es geht

Betont sei bei all dem, dass das nicht automatisch heißt, dass die Behörden dadurch Zugriff auf die eigentlichen Inhalte haben – etwa von Messengern. Das hängt davon ab, wie gut die einzelnen Apps diese verschlüsseln. Messenger wie Signal oder Apples eigenes iMessage schützen etwa Inhalte so, dass sie am Benachrichtigungsserver nicht eingesehen werden können.

Was die staatlichen Spione aber sehr wohl erhalten, sind interessante Metadaten. Also etwa, wann auf welchem Smartphone eine Benachrichtigung eingegangen ist, womit sich dann mit den Daten zu mehreren Geräten wieder Schlüsse ziehen lassen könnten, wer mit wem redet.

Bei manchen Apps könnten Push-Nachrichten wiederum Aufschluss über konkrete Aktivitäten am Gerät geben. Denkbar wäre auch, dass in einzelnen Apps anonym agierende Userinnen und User konkreten Apple- oder Google-Konten zugewiesen werden könnten.

Reaktion

Nachdem Wyden diese Praxis öffentlich gemacht hat, sieht man sich bei Apple offenbar nicht mehr zur bisherigen Form der Geheimhaltung verpflichtet. Gegenüber "Ars Technica" kündigt man an, dass die Zahl solcher Anfragen künftig in den regelmäßigen Transparenzberichten der Firma ausgewiesen werden soll. Erst dann wird man einschätzen können, wie verbreitet der Zugriff auf Push-Informationen wirklich ist.

Google streicht hingegen allgemein heraus, dass in seinen Transparenzberichten bereits alle staatlichen Anfragen enthalten sind. Das legt nahe, dass der Zugriff auf Push-Nachrichten bislang in einer anderen Kategorie ausgewiesen wurde. Ohne die Praxis wirklich zu bestätigen, betont ein Firmensprecher aber, dass man das Ansinnen von Senator Wyden nach mehr Transparenz teilt, etwa auch, um betroffene User informieren zu können. (Andreas Proschofsky, 7.12.2023)