Push-DiensteBehörden fragen Apple und Google nach Nutzern von Messenger-Apps

Smartphone-Apps verschicken Benachrichtigungen über Apple und Google, auch vermeintlich sichere Messenger. Damit können Behörden Nutzer-Daten bei Smartphone-Firmen abfragen. Bis jetzt verweigern alle Beteiligten Auskunft darüber. Nach unserer Initiative fordert jetzt ein US-Abgeordneter Transparenz.

Mann vor Slide: 3rd Party Server -> Apple Push Notification Service -> iPhone.
Apple stellt Push-Dienst vor, 2008. CC-BY 2.0 Erik Pitti

Das Smartphone piept oder vibriert – eine neue Nachricht. Solche Benachrichtigungen funktionieren über Push-Dienste.

Apps wollen jederzeit Benachrichtigungen über neue Aktivitäten erhalten und anzeigen können. Gleichzeitig müssen Smartphones sparsam mit Strom und Daten umgehen. Deshalb läuft nicht jede App immer und wartet aktiv auf Neuigkeiten. Sondern die großen Smartphone-Anbieter betreiben zentrale Push-Dienste für alle Apps und Nutzer:innen.

Alle iPhones verbinden sich mit Apple-Servern, fast alle Android-Geräte mit den Servern von Google oder Huawei. Diese Dienste weisen jedem Gerät eine ID zu, über die sie erreichbar sind. Will eine App ihre Nutzer:innen benachrichtigen, schickt die App diese Information an die großen Tech-Firmen – und diese leiten sie an das Endgerät.

Nutzen auch verschlüsselte Messenger

Das tun fast alle Apps, nicht nur Spiele und soziale Medien, sondern auch verschlüsselte Messenger. Ob Signal, Threema oder Wire: Auf iPhones verschicken alle Messenger-Apps Benachrichtigungen über den Push-Dienst von Apple. Die meisten Android-Geräte haben Google-Dienste, dann erfolgen die Benachrichtigungen über den Push-Dienst von Google, auch bei Signal, Threema und Wire. Threema bietet Android-Geräten von Huawei an, Benachrichtigungen über den Push-Dienst von Huawei zu schicken.

Ist ein Android-Gerät nicht bei Google oder Huawei eingeloggt, verschicken diese Messenger die Benachrichtigungen auch selbst an die Endgeräte. Android ohne Google nutzen aber nur sehr wenige Menschen: Es ist kompliziert einzurichten und schränkt viele Features ein.

Wir haben Signal, Threema und Wire gefragt, wie viele Nutzer-Accounts sie haben und wie viele davon die Push-Dienste von Apple, Google, Huawei verwenden. Threema und Wire wollen keine Zahlen zu Accounts oder Push-Diensten herausgeben, auch keine relativen Angaben. Signal hat auf unsere wiederholte Presseanfrage nicht geantwortet.

Die drei sicheren Messenger verweigern Auskunft darüber, wie oft sie Push-IDs an Behörden herausgegeben haben. Auch in ihren Transparenzberichten machen sie dazu keine Angaben.

Von Messenger-ID zu Google/Apple-Account

Vor einem Jahr haben wir die Messenger-Anbieter schon einmal danach gefragt. Damals sagte ein großer Anbieter, dass er über Push-Dienste nicht öffentlich reden möchte. Es sei nicht in ihrem Interesse, „das Thema an die große Glocke zu hängen oder ins Detail zu gehen, da die Sorge besteht, es den Behörden damit nur leichter zu machen“. Doch Polizei und Geheimdienste wissen von den Push-Diensten.

Viele Messenger werben damit, keine Kommunikationsinhalte sowie nur wenige Meta- und Bestandsdaten ihrer Nutzer:innen zu kennen. Doch die Messenger-Anbieter haben zu fast jedem Nutzer-Account einen „Push-Token“. Und die Push-Anbieter verknüpfen diese Push-IDs mit einem Nutzerkonto bei ihnen. So wird aus einer pseudonymen Messenger-ID ein Google- oder Apple-Account. Und die beinhalten jede Menge personenbezogene Daten.

Behörden fragen Push-Dienste

Der Technologe Raphael Robert hat das Verschlüsselungsprotokoll Messaging Layer Security mitentwickelt. Davor war er bei Wire für die Sicherheit verantwortlich. Robert hat erlebt, dass Ermittlungsbehörden bei Messenger-Anbietern explizit nach Push-Tokens fragen. Er bezeichnet sie als „langlebige Nutzer-IDs“. Mit dieser Information können sie dann zu Apple und Google, um weitere Nutzerdaten zu erhalten.

Gegenüber netzpolitik.org kommentiert Robert: „Technologien zum Schutz der Privatsphäre finden immer mehr Verbreitung. Aber ihre Wirkung wird durch die Art und Weise, wie Google und Apple Push-Benachrichtigungen umsetzen, stark eingeschränkt. Wir brauchen hier dringend mehr Transparenz und, wo diese möglich sind, auch technische Änderungen.“

Transparenz dringend notwendig

Wir haben uns erkundigt, wie oft Google und Apple solche Anfragen erhalten und dazu Daten herausgeben. Bisher leider erfolglos.

Also haben wir uns an das Büro des US-Abgeordneten Ron Wyden gewandt. Apple und Google mauern aber auch gegenüber dem US-Parlament. Deshalb wendet sich Wyden heute per Brief an den US-Justizminister. Wir veröffentlichen eine Übersetzung des Briefs. Das Ministerium soll Apple und Google erlauben, diese Daten transparent zu machen.

Apple hat bereits reagiert. Gegenüber Reuters äußerte sich das Unternehmen schriftlich: „Nun, da diese Methode öffentlich ist, aktualisieren wir unsere Transparenzberichte, um diese Art von Anfragen detailliert darzustellen.“ Hoffen wir, dass die anderen Anbieter sich ein Beispiel nehmen und ihr Schweigen ebenfalls brechen.


Hier der Brief aus dem PDF befreit und maschinell übersetzt:


  • Datum: 6. Dezember 2023
  • Von: Ron Wyden, Senator, USA
  • An: Merrick B. Garland, Generalstaatsanwalt, Justizministerium, USA

Sehr geehrter Generalstaatsanwalt Garland:

Ich schreibe, um das Justizministerium zu bitten, Apple und Google zu erlauben, ihre Kunden und die Öffentlichkeit über Forderungen nach Smartphone-App-Benachrichtigungsdaten zu informieren.

Im Frühjahr 2022 erhielt mein Büro einen Hinweis, dass Regierungsbehörden im Ausland von Google und Apple Aufzeichnungen über Smartphone-„Push“-Benachrichtigungen verlangen. Meine Mitarbeiter sind diesem Hinweis im vergangenen Jahr nachgegangen und haben sich unter anderem an Apple und Google gewandt. Als Antwort auf diese Anfrage teilten die Unternehmen meinen Mitarbeitern mit, dass Informationen über diese Praxis von der Regierung nicht veröffentlicht werden dürfen.

Bei Push-Benachrichtigungen handelt es sich um Sofortbenachrichtigungen, die von Apps an Smartphone-Benutzer gesendet werden, z. B. eine Benachrichtigung über eine neue Textnachricht oder ein Nachrichten-Update. Sie werden nicht direkt vom App-Anbieter an die Smartphones der Nutzer gesendet. Stattdessen laufen sie über eine Art digitales Postamt, das vom Anbieter des Betriebssystems des Telefons betrieben wird. Bei iPhones wird dieser Dienst von Apples Push Notification Service bereitgestellt, bei Android-Telefonen ist es Googles Firebase Cloud Messaging. Diese Dienste sorgen für eine rechtzeitige und effiziente Zustellung von Benachrichtigungen, aber das bedeutet auch, dass Apple und Google als Vermittler im Übertragungsprozess fungieren.

Wie bei allen anderen Informationen, die diese Unternehmen für oder über ihre Nutzer speichern, können Apple und Google, da sie Push-Benachrichtigungsdaten liefern, insgeheim von Regierungen gezwungen werden, diese Informationen herauszugeben. Wichtig ist, dass App-Entwickler nicht viele Möglichkeiten haben. Wenn sie wollen, dass ihre Apps auf diesen Plattformen zuverlässig Push-Benachrichtigungen liefern, müssen sie den von Apple bzw. Google angebotenen Dienst nutzen. Folglich befinden sich Apple und Google in einer einzigartigen Position, um die staatliche Überwachung der Nutzung bestimmter Apps zu erleichtern. Zu den Daten, die diese beiden Unternehmen erhalten, gehören Metadaten, aus denen hervorgeht, welche App wann eine Benachrichtigung erhalten hat, sowie das Telefon und das zugehörige Apple- oder Google-Konto, an das die Benachrichtigung zugestellt werden sollte. In bestimmten Fällen können sie auch unverschlüsselte Inhalte erhalten, die von Backend-Richtlinien für die App bis hin zum tatsächlichen Text reichen können, der einem Nutzer in einer App-Benachrichtigung angezeigt wird.

Apple und Google sollten die Möglichkeit haben, die gesetzlichen Anforderungen, die sie erhalten, insbesondere von ausländischen Regierungen, transparent zu machen, so wie die Unternehmen ihre Nutzer regelmäßig über andere Arten von staatlichen Datenanforderungen informieren. Diese Unternehmen sollten die Erlaubnis haben, generell offenzulegen, ob sie gezwungen wurden, diese Überwachungspraxis zu unterstützen, Gesamtstatistiken über die Anzahl der bei ihnen eingehenden Anfragen zu veröffentlichen und, sofern sie nicht vorübergehend von einem Gericht geknebelt werden, bestimmte Kunden über Anfragen nach ihren Daten zu informieren. Ich möchte das DOJ bitten, alle Maßnahmen aufzuheben oder zu ändern, die diese Transparenz behindern.

Ich danke Ihnen für Ihre Aufmerksamkeit in dieser dringenden Angelegenheit. Wenn Sie Fragen haben oder eine Klärung wünschen, wenden Sie sich bitte an Chris Soghoian in meinem Büro.

Mit freundlichen Grüßen,

Ron Wyden, Senator der Vereinigten Staaten

18 Ergänzungen

  1. Die Push Benachrichtigungen hängen nicht vom Google Konto ab, die laufen auch dann über Google, wenn das Gerät nicht mit einem Konto bei Google eingelogged ist. Dafür müssen nur die Google Play Dienste auf dem Gerät vorhanden sein.

    1. Welchen Informationsgehalt haben die Push-Nachrichten? Ist das nur eine Info für die Messenger-App, dass eine neue Nachricht abgerufen werden kann oder enthält sie auch Metadaten über den Absender etc.?

      1. Die Push-Benachrichtigungen sind nur kleine Datenpakete (bei Google > Firebase Cloud Messaging) mit wenigen Bytes (Google: max. 4000 Bytes). Technisch gesehen ist der Inhalt frei, da auch kryptierte Daten übertragen werden, welche dann die App interpretieren muss.
        Guter Stil wäre somit: Beim Einrichten der App tauscht die App mit dem Server des App-Anbieters (Telegram, Bank, Signal, …) einen Schlüssel aus & mit diesem werden die Nachrichten kryptiert. Somit kann der Cloud-Anbieter (Google) nur sehen, WANN und an welches GERÄT eine Nachricht vom Server aus ging.
        Schlechter Stil, aber leider oft genutzt (spart jedoch Rechenleistung beim Client), ist: Inhalt wie Text, Absendername, etc. im Klartext zu übertragen. Dann jedoch kann Google alles mitlesen.

        Analoge Darstellung gilt für die Push-Dienste von Apple.

  2. Der Autor schreibt:
    > Ist ein Android-Gerät nicht bei Google oder Huawei eingeloggt, verschicken diese Messenger die Benachrichtigungen auch direkt an die Endgeräte. Das nutzen aber nur sehr wenige Menschen: Es ist kompliziert einzurichten und schränkt viele Features ein.

    Zumindest für Threema stimmt das überhaupt nicht. In so einem Fall wird automatisch Threema Push aktiviert. Der Nutzer muss überhaupt nichts einrichten und die Funktionalität ist auch nicht eingeschränkt. Wenn man die Threema-Version aus F-Droid (Threema Libre) benutzt, wird immer Threema Push benutzt, auch wenn die Google-Dienste vorhanden sind.

    1. Nur wenn jede App jetzt wieder selbst pusht, dann kostet das viel Akku. Eine Lösung wäre https://unifiedpush.org/
      Selbst gehostet mit Nextcloud, damit die Daten bei dir bleiben. Wird halt leider bis jetzt nur von ganz wenigen Apps unterstützt.

  3. > Als Antwort auf diese Anfrage teilten die Unternehmen meinen Mitarbeitern mit, dass Informationen über diese Praxis von der Regierung nicht veröffentlicht werden dürfen.

    Das nennt man gag order (also known as a gagging order or suppression order). It is an order, typically a legal order by a court or government, restricting information or comment from being made public or passed onto any unauthorized third party. The phrase may sometimes be used of a private order by an employer or other institution.

    Das könnte bedeuten, dass die messaging services zur Kooperation mit Behörden verpflichtet wurden und nicht darüber sprechen dürfen. Gäben die Firmen das zu, so wäre das desaströs für deren Ruf.

  4. Wie sehr wir „lost“ sind wurde mir in dem Moment klar, als ich verstanden hatte, dass sämtliche Mobilgeräte entweder nur von Apple- oder Google-Servern für die Zustellung von Push-Nachrichten erreichbar sind. Das ist, als wenn es auf der Welt nur 2 DNS-Anbieter oder nur 2 Telefongesellschaften geben würde. Es ist mir absolut unverständlich, wie man sich so ein Problem eintreten konnte. Es ist überfällig, dass Apple und Google gezwungen werden, die Wahl des Push-Dienst-Anbieters dem Anwender zu überlassen.

    https://f-droid.org/de/2022/12/18/unifiedpush.html

  5. @Chris@Simon – Die Aussagen widersprechen sich da offenbar. Der Brief oben intendiert „keine Wahl“ zu haben. Die Funktion in Threema ist erst 1 Jahr alt. Als Standard wird aber der google Push Dienst aktiviert. Wer nicht weiter forscht, wird sich damit wohl kaum weiter rumschlagen. Warum ist das in der EU kein Thema? Was sagen unsere Datenschutzbeauftragten zu der mindestens möglichen Super-Massenüberwachung? Würden sich Apple und Google entgehen lassen die enorm wertvollen Bezugsdaten auszuwerten? Machen sich Google und Apple strafbar?
    Ist den Konzernen klar, dass sie diese Service abschalten müssen, um nicht mit vielleicht weltweiten Klagen überzogen zu werden?

    1. @blue – Threema Push ersetzt das Polling, welches Threema schon seit Bestehen als Alternative angeboten hat. Dass standardmäßig der Google Push-Dienst genutzt wird, wenn die Google Play-Dienste auf dem Handy installiert sind, macht Sinn. Offenbar scheint es den Nutzer ja prinzipiell nicht zu stören, seine Daten an Google auszuhändigen. Aber dass man bei Threema schon von Anfang an daran gedacht hat, eine brauchbare Alternative anzubieten, finde ich vorbildlich. Würde mir das von Signal auch wünschen. Wobei bei letzterem die Push-Tokens eh das kleinere Übel sind, die haben ja meine Handynummer. Wieso sollen die Behörden den mühsamen Umweg über das Token und Google/Apple machen, wenn Sie direkt den Inhaber der Nummer erfragen können?

      1. Push-Benachrichtigungen von Signal funktionieren wunderbar ohne Google-Dienste, bei Huawei oder sonstigen Geräten (z.B. Pixel oder Fairphone) auf denen ein Google-freies Betriebssystem installiert wurde. Ob Signal auch dann auf den eigenen Push-Dienst zurückgreift, wenn die App auf einem Gerät mit Google-Diensten betrieben wird, aber jenseits Play/Aurora bezogen wurde, kann ich nicht sagen. Eine aktive Auswahlmöglichkeit gibt es leider nicht.

  6. Chapeau! Die News gerade in diversen Medien gesehen um am Ende herauszufinden, dass das ganze von euch initiiert wurde. Dafür lohnt sich der monatliche Spendenauftrag liebe Mitleser.

    Aber wieso die Unternhmen die Metadaten der Mitteilungen ,bzw diese selbst speichern ist mal wieder völlig Banane.
    Nachricht zugestellt? Ja -> entferne aus dem System!
    Dazu noch rotierende „Push-IDs“ und die Zuordnung von Nachrichten zu Accounts wäre auch nur begrenzt möglich.
    Schon würde man nur begrenzt, bis keine Daten herausgeben müssen. Aber gut, das müsste man ja wollen.

  7. Es gibt Berufsgruppen, die – wie auch immer – an eine Schweigepflicht gebunden sind. Das betrifft, z.B. Juristen, Ärzte, Seelsorger, Behördenmitarbeiter usw.
    Eine hypothetische Frage:
    Sind die „Standard-„IT-Endgeräte (hier: Smartphones), welche sie sich teilweise auch selbst kaufen (müssen), überhaupt „sicher“ genug?

    Ich erinnere mich an eine Presseveröffentlichung des BfDI Prof. U. Kelber:

    https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/17-Berlin-Group-Telemetrie.html

    Zitatauszug:
    „[…] Unter dem Stichwort Telemetrie sammeln Apps und Betriebssysteme oftmals große Mengen an personenbezogenen Daten. Häufig werden die Nutzer dabei nicht ausreichend informiert und Datenschutz-Grundsätze wie Zweckbindung und Datenminimierung nicht eingehalten […] Die IWGDPT ruft alle beteiligten Akteure dazu auf, sich bewusst zu machen, dass die Grundsätze des Datenschutzes selbstverständlich auch für Telemetrie- und Diagnosedaten gelten. […]“

    Ob die o.a. Berufsgruppen das Arbeitspapier der „Berlin Group“ verstehen und umsetzen können?

  8. Apple verdient beim Thema Push-Dienst noch eine extra Negativwürdigung.

    Unter iOS kann man seit ein paar Jahren nicht einmal mehr einen alternativen Push-Dienst installieren, weil iOS den Dienst im Hintergrund abwürgt. Apple muss sich also auch deshalb mit Diktaturen arrangieren.

    Huawei oder andere auf Android aufbauende Hersteller, die von Google-Diensten ausgeschlossen sind, können nur deshalb einen alternativen Push-Dienst anbieten, weil das unter Android noch grundsätzlich möglich ist.

  9. Da werden Sie geholfen: https://learn.microsoft.com/de-de/xamarin/android/data-cloud/google-messaging/firebase-cloud-messaging

    Zitat:

    Absender-ID : Die Absender-ID ist ein eindeutiger numerischer Wert, der zugewiesen wird, wenn Sie Ihr Firebase-Projekt erstellen. Die Absender-ID wird verwendet, um jeden App-Server zu identifizieren, der Nachrichten an die Client-App senden kann. Die Absender-ID ist auch Ihre Projektnummer; Sie erhalten die Absender-ID aus der Firebase-Konsole, wenn Sie Ihr Projekt registrieren. Ein Beispiel für eine Absender-ID ist 496915549731.

    API-Schlüssel : Der API-Schlüssel gewährt dem App-Server Zugriff auf Firebase-Dienste. FCM verwendet diesen Schlüssel, um den App-Server zu authentifizieren. Diese Anmeldeinformationen werden auch als Serverschlüssel oder Web-API-Schlüssel bezeichnet. Ein Beispiel für einen API-Schlüssel ist AJzbSyCTcpfRT1YRqbz-jIwp1h06YdauvewGDzk.

    App-ID : Die Identität Ihrer Client-App (unabhängig von einem bestimmten Gerät), die sich registriert, um Nachrichten von FCM zu empfangen. Ein Beispiel für eine App-ID ist 1:415712510732:android:0e1eb7a661af2460.

    Registrierungstoken : Das Registrierungstoken (auch als Instanz-ID bezeichnet) ist die FCM-Identität Ihrer Client-App auf einem bestimmten Gerät. Das Registrierungstoken wird zur Laufzeit generiert. Ihre App empfängt ein Registrierungstoken, wenn sie sich zum ersten Mal bei FCM registriert, während sie auf einem Gerät ausgeführt wird. Das Registrierungstoken autorisiert eine instance Ihrer Client-App (die auf diesem bestimmten Gerät ausgeführt wird) zum Empfangen von Nachrichten von FCM. Ein Beispiel für ein Registrierungstoken ist fkBQTHxKKhs:AP91bHuEedxM4xFAUn0z … JKZS (eine sehr lange Zeichenfolge).

    1. Threema verharmlost die Massenüberwachung in ihrem Artikel sehr und stellt es gar als Mythos dar. Die Snowden-Enthüllungen und alle nachfolgenden haben hingegen immer wieder gezeigt, dass alles zur Überwachung genutzt wird, was technisch möglich ist. Meine Vermutung ist, dass sich Threema dadurch in ein besseres Licht zu stellen und ihre eigenen Nutzer im Glauben lassen möchte, dass das Problem bei Threema gelöst sei.

      Zwei Quellen, die das Problem besser beleuchten:
      https://www.kuketz-blog.de/android-abhilfe-gegen-staatliche-ueberwachung-durch-push-nachrichten/
      https://blog.phnx.im/privacy-of-push-notifications/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.