Die AirTags sind immer wieder in den Medien. Google will auf den Zug der Hardware-Tracker aufspringen. Die Technologie kann Fluch und Segen sein. Ein Rückblick und vor allem ein Ausblick, was uns erwartet.
- Teil 1: Rückblick: Funktionsweise, Einführung und Vorfälle
- Teil 2: Problemstellung, Zukunft
- Teil 3: Implikationen, Technologie
- Teil 4: Pairing Registry
- Teil 5: Technische Details der Spezifikation
- Teil 6: Fazit und Empfehlungen
Pairing-Registry
Kommen wir auf die Pairing Registry, also die Instanz, in der die Daten des Trackers und seines Besitzers verbunden werden. Hier wird es jetzt wirklich interessant für Datenschützer.
Um einen neuen Tracker zu verwenden, muss er mit dem so genannten „Plattform“-Gerät des Nutzers gekoppelt werden – in der Regel ein Handy oder ein Tablet usw. Damit haben die meisten Nutzer ihre reale Identität und ihr Abrechnungskonto mit ihrem Gerät verknüpft. Durch Apple oder Google. Bei dieser Kopplung wird also die weltweit eindeutige Seriennummer des Tags mit der realen Identität des Nutzers verknüpft. Dadurch wird eine Verbindung zwischen dem Tracker und dem realen Nutzer hergestellt, mit dem der Tracker gekoppelt wurde. Später heißt es in der Spezifikation unter der Überschrift „Persistenz“:
Die Pairing-Registry SOLLTE für mindestens 25 Tage gespeichert werden, nachdem ein Besitzer ein Zubehörteil entkoppelt hat. Nach Ablauf dieses Zeitraums SOLLTEN die Daten gelöscht werden.“
Draft Spezifikation
Ich habe ausführlich beschrieben, welche Schritte erforderlich sind, um die Seriennummer eines Geräts zu erhalten, zu entschlüsseln und anzuzeigen. Aber wenn die Seriennummer angezeigt wird, werden auch einige absichtlich verschleierte Informationen über den Besitzer angezeigt, die aus dieser Pairing-Registry stammen. In der Spezifikation heißt es:
Eine begrenzte Menge an verschleierten Eigentümerinformationen aus dem Pairing-Registry MUSS der Plattform [d. h. dem Gerät eines beliebigen Benutzers] zusammen mit einer abgerufenen Seriennummer zur Verfügung gestellt werden. Diese Informationen MÜSSEN Teil der Antwort auf die Abfrage der Seriennummer von einem Server sein, die in der HTML-Ansicht einer Plattform dargestellt werden kann. Sie MUSS mindestens eine der folgenden Informationen enthalten:
- Die letzten vier Ziffern der Telefonnummer des Eigentümers, z. B. (***) ***-5555, oder
- eine E-Mail-Adresse, bei der der erste Buchstabe des Benutzernamens und der Domänenname sowie die gesamte Top-Level-Domäne sichtbar sind, z. B. b********@i*****.com“
An anderer Stelle, unter der Überschrift „Privatsphäre Überlegungen“ (Privacy Considerations), heißt es in der Spezifikation:
In vielen Fällen, in denen eine unerwünschte Verfolgung stattfindet, kennt die verfolgte Person den Besitzer des Ortungsgeräts. Durch die Möglichkeit, eine verschleierte E-Mail oder Telefonnummer abzurufen, wenn man im Besitz des Zubehörs ist, erhält das potenzielle Opfer ein gewisses Maß an Informationen über den Besitzer, während gleichzeitig die Privatsphäre der Besitzer des Zubehörs in beliebigen Situationen, in denen sie sich von diesem Zubehör getrennt haben, gewahrt bleibt.“
Die Idee ist also, dass jemand sofort mit „Wer zum Teufel verfolgt mich?“ reagieren könnte. Dies ermöglicht es der Person, Informationen über das Konto und die Person zu erhalten, die derzeit mit einem Gerät gekoppelt ist, während es sich im „getrennten“ Modus befindet. Oft handelt es sich dabei um jemanden, den die Person kennt oder wiedererkennen kann. Also Partner, Eltern usw.
Wäre ich ein Böser, würde ich dafür eine eigene E-Mail Adresse anlegen und diese würde auf keinen Fall irgendetwas von meinem Namen enthalten und die Domäne wäre .com oder etwas allgegenwärtiges. Ob das wirklich hilft, wenn ich böse Absichten habe? Ich weiß es nicht.
Wir haben also eine Pairing-Registry, die die reale Identität des Pairers mit allen Trackern verknüpft, die sie verbunden haben. Selbst wenn ein Dritter einen dieser Tags entdeckt oder erhält und das System nutzt, um so viele Informationen wie möglich über den Besitzer des Tags zu erhalten, besteht die Grenze dieser Informationen aus stark verschleierten Identitätsinformationen wie den letzten vier Ziffern der registrierten Telefonnummer oder einigen Zeichen der gesamten E-Mail-Adresse. Stellt sich die Frage:
Wer hat also Zugriff auf das vollständig unverschleierte Pairing-Registry?
Laut der Spezifikation:
Die Pairinig-Registry MUSS den Strafverfolgungsbehörden auf eine gültige Anfrage der Strafverfolgungsbehörden hin zur Verfügung gestellt werden.“
Was heißt gültig? Aus dieser technischen Spezifikation geht nicht hervor, wie hoch die Anforderungen an die Beweiskraft solcher Anfragen der Strafverfolgungsbehörden sein müssen, damit sie erfüllt werden. Ich nehme mal an, so niedrig wie möglich. Der Punkt ist jedoch, dass die Identität eines Trackerbesitzers für den nicht autorisierten Zugriff auf diese Informationen streng kontrolliert wird. Die einzigen Informationen, die jeder, der einen Tag besitzt, mit dem er nicht verbunden ist, erhalten kann, sind stark verschleierte Identitätsinformationen. Ein Zweck des Pairing-Registrys ist die sofortige Klärung von Fragen wie „Wer zum Teufel verfolgt mich?“. Da aber das Pairing-Registry selbst vollständig unverschleierte Identitätsinformationen enthält, ist es klar, dass der Grund dafür darin liegt, bewusst und ausdrücklich die Verantwortlichkeit des Endnutzers für die Verwendung dieser recht leistungsfähigen Technologie zur Verfolgung von Verbrauchern zu schaffen. Nutzer sollen sich nicht verstecken können. Benutzen Sie einen AirTag und setzen ihn ein, sind Sie verantwortlich.
Ich sagte bereits, dass ich das Gefühl habe, dass Apple zumindest teilweise die Technologie formalisiert und veröffentlicht, die sie bereits entwickelt und eingesetzt haben, um sie zu einem branchenweiten und weltweiten Standard zu machen. In jedem Crowd-Sourcing-Modell würde die Einbeziehung von Android das System für alle weitaus leistungsfähiger machen.
Es ist also nichts wirklich neu in der Spezifikation. Apple will aus einer proprietären Lösung eine standardisierte machen. Das kennen wir in der IT von vielen anderen Stellen nur zu gut.
Apple sagte dazu offiziell am 22.2.2022:
Wir arbeiten aktiv mit den Strafverfolgungsbehörden an allen Anfragen zum AirTag, die wir erhalten haben, zusammen. Nach unserem Kenntnisstand und nach Gesprächen mit den Strafverfolgungsbehörden sind Vorfälle von AirTag-Missbrauch selten, aber jeder Fall ist einer zu viel.
Jedes AirTag hat eine eindeutige Seriennummer, und verbundene AirTags sind mit einer Apple ID verbunden. Apple kann die Details des gekoppelten Kontos als Reaktion auf eine Vorladung oder eine gültige Anfrage der Strafverfolgungsbehörden zur Verfügung stellen. Wir haben erfolgreich mit ihnen in Fällen zusammengearbeitet, in denen die von uns bereitgestellten Informationen dazu verwendet wurden, einen AirTag bis zum Täter zurückzuverfolgen, der dann festgenommen und angeklagt wurde.
Die Strafverfolgungsbehörden bedanken sich für die Unterstützung, die wir ihnen bei der Suche nach der Quelle der unerwünschten Ortung gegeben haben. Wir haben festgestellt, dass wir die von uns weitergegebenen Informationen und die von uns zur Verfügung gestellten Aufklärungsressourcen weiter verbessern können, und wir werden entsprechende Maßnahmen ergreifen, einschließlich der Aktualisierung unserer Dokumentation für die Strafverfolgungsbehörden.“
https://www.apple.com/newsroom/2022/02/an-update-on-airtag-and-unwanted-tracking/
Was aber bedeutet das, wenn diese Tracker, wie oben beschrieben, in einer Datenbank mit staatlichem Zugriff hinterlegt werden müssen? Dann entsteht eine Datenbank für den Staat, mit dem er Sie mit allen Ihren mobilen Dingen des Lebens sekündlich überwachen kann. Eines der Geräte werden sie schon dabei haben. Oder mehrere, um so besser, dass beweist, dass Sie Ihr Fahrrad nicht verliehen haben oder das Auto nicht gestohlen wurde.
Während Sie das aktuell beim Handy noch grösstenteils unterbinden können, wird das bei eingebauten Trackern kaum möglich sein. Oder nur mit einer App des Herstellers, der Daten über Sie sammelt und wo es die App nur bei Google oder Apple gibt. Siehe Digitalzwang.
Auf den Punkt gebracht: Hardware-Tracking können Sie nur abschalten, wenn Sie Software-Tracking zulassen. Überwacht werden sie so oder so.