Warum sich Netzbetreiber gegen Apples Private Relay stellen

Wie erst Mitte Januar bekannt wurde, haben die Chefs der Netzbetreiber Deutsche Telekom, Orange, Telefónica und Vodafone die EU-Kommission im August 2021 angeschrieben und sich besorgt über Apples Private-Relay-Dienst geäußert.

Mit Private Relay hat Apple im September 2021 für die aktuellen macOS-, iOS- und iPadOS-Versionen einen vielfältigen Dienst zum Privatsphärenschutz eingeführt. Er hat noch Beta-Status, aber man kann ihn bereits im Rahmen des kostenpflichtigen Online-Speicherangebots iCloud+ nutzen. Damit erhöht der Konzern die Attraktivität seines kostenpflichtigen Online-Speicherangebots iCloud+ und seines Safari-Browsers. iCloud+-Abonnenten bekommen ab 0,99 Euro monatlich 50 GByte Onlinespeicherplatz und eben Private Relay. Familienmitglieder können Private Relay ebenfalls nutzen.

Die Entwicklung der Technik treibt Apple namentlich in Person seines Mitarbeiters Tommy Pauly seit einigen Jahren voran, ein Großteil davon wird laufend in der Internet Engineering Task Force standardisiert, sodass auch andere Unternehmen oder Institutionen die Methoden implementieren können (siehe ct.de/y91n). Einer breiteren Öffentlichkeit stellte Apple den Dienst auf der Entwicklerkonferenz WWDC im Juni 2021 vor.

Private Relay soll Apple-Nutzerinnen und -Nutzer vor Tracking im Internet schützen. Bei ungeschütztem Surfen gibt es nämlich prinzipiell bis zu vier Akteure, die die IP-Adresse der Nutzer und deren Ziele für ihre Zwecke verwerten, ohne um Erlaubnis zu fragen: Schnüffler im Netzwerk des Benutzers, Internet-Provider, Betreiber von DNS-Resolvern und von Zielservern, also etwa der angesteuerten Webseiten. Die Interessen reichen von Wirtschaftsspionage über Werbeeinnahmen bis hin zum Staatsschutz.

Wie der Anonymisierungsdienst Tor, so verbirgt auch Private Relay die IP-Adresse des Nutzers und seine Surf-Ziele nicht nur vor diesen Akteuren, sondern auch vor seinen eigenen Betreibern. Jedoch laufen bei Tor die Datenpakete über mehrere Stationen und deutlich längere Strecken mit deutlicher Verzögerung zum Ziel. Deshalb erfolgt der Webseitenaufbau nur zäh.

Mehrere Kaninchen in einem Hut

Private Relay wird oft darauf reduziert, dass es die Privatsphäre mittels zweier Proxies schützt, die die IP-Adresse des Nutzers verbergen. Tatsächlich zieht Apple aber mehrere Kaninchen aus einem Hut: Anonyme DNS-Auflösung, IP-Adressverschleierung, HTTPS-Übertragung von unverschlüsselten HTTP-Inhalten vom entfernten Proxy zum Nutzer und gesondert von den Proxies die Anonymisierung von Mail-Adressen und anonyme Abrufe von entfernten Inhalten in HTML-Mails.

Die Methode in aller Kürze: Apples Betriebssysteme verschlüsseln ausgehende Datenpakete des Safari-Browsers und senden sie an einen Proxy, den Apple betreibt. Dieser ersetzt die IP-Adresse des Apple-Nutzers durch eine, die aus Adressblöcken der Apple-Partner Akamai, Cloudflare, Fastly oder Google stammt und ungefähr dem Aufenthaltsort der Nutzer entspricht. Diese regionale Zuordnung ermöglicht Diensteanbietern wie Netflix, erhaltene Browseranfragen zum nächstgelegenen Rechenzentrum (Content Delivery Network, CDN) auf regionale Angebote umzuleiten. Den tatsächlichen Standort verrät die neue IP-Adresse nicht.

Die Pakete laufen vom ersten zum zweiten Proxy, den einer der vier Apple-Partner betreibt. Nur der zweite Proxy kann die vom ursprünglichen Absender verschlüsselten Daten entschlüsseln. Er leitet sie an den Zielserver weiter (z. B. Netflix)und löst auch DNS-Anfragen auf, und zwar anonym. So weiß nur der Benutzer selbst, wohin er surft.

Zwar bleibt der Surf-Schutz Apples Safari-Browser vorbehalten und überhaupt muss Private Relay manuell aktiviert werden. Doch allein in Deutschland erwarten Netzbetreiber 30 Millionen potenzielle Nutzer. Vielleicht ist es diese Menge, die sie in Bewegung gegen Apple bringt.

Schwere Geschütze

Jedenfalls fahren Orange, Telekom, Telefónica und Vodafone laut dem britischen Blatt Telegraph in einem Brief vom August 2021 an die EU-Kommission schwere Geschütze auf. Private Relay höhle die digitale Souveränität Europas aus, behindere Wettbewerb, das Netzwerkmanagement und die Erfüllung gesetzlicher Vorgaben. So würden „unsere Institutionen bei der Rechtsdurchsetzung und beim Schutz unserer Werte geschwächt“. Gemeint ist: Die Betreiber können Zugänge zu als illegal eingestuften Inhalten nicht blockieren, wenn Nutzer Private Relay verwenden.

Doch wenn Nutzer ihre Privatsphäre mit Tor, VPN-Diensten oder anonymen DNS-Anfragen schützen (siehe ct.de/y91n), entstehen für Netzbetreiber ganz ähnliche Folgen, sodass sie sich auch dagegen stellen müssten. Falls sie das tun, dringt davon aber nichts nach außen. Und es trifft zwar zu, dass mit solchen Diensten das Netzwerkmanagement schwieriger wird. Das Argument erscheint aber zu klein, um einen solchen Brief an die EU zu rechtfertigen – Monitoring geht auch, wenn Nutzer ihre Privatsphäre schützen.

Dass sich die vier Netzbetreiber Apple herauspicken, dürfte an der großen Zahl der potenziellen Nutzer liegen. Alle Netzbetreiberdienste und Kinderschutz- sowie Malware-Filter gründen darauf, dass Kunden ausschließlich die Infrastruktur der Netzbetreiber verwenden. Andernfalls scheitern Zugriffe auf netzinterne Dienste und die Filter der Netzbetreiber greifen nicht. Das Argument erscheint jedoch überzogen, weil es nur auf iCloud+-Kunden zutrifft und nicht auf alle Apple-User. Die Verfasser des Briefs behaupten zudem, dass solche Dienste nur noch Apple anbieten könne, wenn Private Relay aktiv ist.

Anscheinend haben sie nicht gelesen, dass man Private Relay leicht blockieren kann. Das geht am einfachsten, indem man die DNS-Auflösung zu den Domains mask.icloud.com und mask-h2.icloud.com verhindert, schreibt Apple selbst (siehe ct.de/y91n).

Außerdem läuft der Verkehr anderer Browser (Firefox, Chrome, Opera …) am Private Relay grundsätzlich vorbei und Private Relay wird deaktiviert, sobald man ein VPN einschaltet oder eine App zur DNS-Verschlüsselung startet. Auch lenkt Private Relay nicht jeglichen Verkehr über die Proxies. Eine Ausnahmeliste hat Apple veröffentlicht (siehe ct.de/y91n).

Die Betreiber kritisieren auch, dass Private Relay Zero-Rating-Dienste verhindere. Beim Zero-Rating müssen Kunden für das Übertragungsvolumen bestimmter Dienste nicht zahlen. Die Telekom fasst solche Angebote unter dem Namen StreamOn zusammen. Tatsächlich treten Probleme mit StreamOn auf, jedoch nur in Bezug auf die Abrechnung und auch nur, wenn StreamOn-Daten unverschlüsselt via HTTP übertragen werden. Genau besehen trifft das nur auf etwa ein Viertel der Top-50-Angebote der Telekom zu. Ob er sein Angebot doch lieber HTTPS-verschlüsselt, entscheidet der tatsächliche Diensteanbieter, nicht die Telekom.

Zu Abrechnungsproblemen kommt es, weil Private Relay unverschlüsselten Verkehr ab dem zweiten Proxy HTTPS-verschlüsselt zum Kunden überträgt. Dabei sehen die Abrechnungssysteme der Telekom die IP-Adressen von Apples Partnern, schließen fälschlich darauf, dass der Datenabruf nicht aus dem Telekom-Netz kommt, und berechnen dem Kunden das Übertragungsvolumen. Nominell müsste er dafür nichts zahlen.

Die Telekom gab gegenüber Spiegel Online an, dass seit der Einführung von Private Relay eine Verkehrszunahme um fast 60 Prozent in Richtung Apple zu verzeichnen sei und „damit bekämen US-Sicherheitsbehörden Zugriff auf diese Daten“.

Zumindest der betreffende Sprecher der Telekom scheint die technische Beschreibung des Dienstes nicht gelesen zu haben (siehe ct.de/y91n). Apple schreibt zwar aus Authentifizierungsgründen mit, wann welche Nutzer ihren (anonymen) Zugangsschlüssel zum Private-Relay-Dienst erneuert haben, aber technisch lässt sich nicht protokollieren, wann welcher Nutzer welche Proxy-IP-Adresse verwendet. Somit fallen keine Daten zum Erstellen von Nutzungsprofilen an.

Möglicherweise legt die Telekom ihre tatsächlichen Interessen nicht offen. Sie zählt nämlich neben wenigen anderen Unternehmen auf der Welt zu den Tier-1-Providern, die vielen anderen Netzbetreibern Zugang zum weltweiten Internet gegen Entgelt gewähren und Inhalteanbietern ein Medium für deren Kundenkontakte bieten. Für beides möchte die Telekom gerne kassieren.

In Verhandlungen mit Inhalteanbietern hat der Konzern bisher gute Argumente, weil er anhand seines Monitorings sieht, welche Dienste viel Verkehr verursachen – etwa Amazons Video-Streams oder große Betriebssystem-Updates. Wenn aber Telekom-Kunden im großen Stil Videos über Private Relay abrufen, sieht die Telekom nur, dass große Datenmengen fließen, weiß aber nicht zuverlässig, wer sie liefert. So fehlen ihr harte Argumente gegenüber Inhalteanbietern, wenn es um deren Nutzungsentgelte geht.

Apple ist nicht ganz unschuldig an der kontroversen Diskussion. Genaue Beschreibungen findet nur, wer hartnäckig sucht; in den Betriebssystemen liefert der Konzern nur schwammige Kurzprosa. Ankreiden lassen muss sich Apple auch, dass Private Relay eigentlich eine Multi-Hop-Technik darstellt, also im Prinzip auch viele Relays mitspielen können – Apple nutzt bisher nur zwei. Zudem bestimmt allein Apple, welche Partner die DNS-Anfragen der Nutzer auflösen. Manche Firmen würden aber ihren Mitarbeitern gerne den Zugang zum eigenen DNS über das sichere Private Relay gewähren. (dz@ct.de)

Korrespondenz der EU, Spezifikationen: ct.de/y91n