UK schaltet Apples Advanced Data Protection ab: der IPA wirkt
Apple hat am 21. Februar 2025 Advanced Data Protection für britische iCloud-Nutzer abgeschaltet, nachdem das UK-Innenministerium eine technical capability notice erlassen hat. Der erste öffentliche IPA-Praezedenzfall.
Was ist neu
Apple hat am 21. Februar 2025 Advanced Data Protection (ADP) für neue britische iCloud-Nutzer abgeschaltet und bestehenden ADP-Kunden 30 Tage Zeit zur Deaktivierung gegeben. Hintergrund ist eine technical capability notice des britischen Innenministeriums auf Basis des Investigatory Powers Act 2016, die Apple laut Berichten zum Einbau eines Backdoor-Zugangs in die Ende-zu-Ende-verschlüsselten iCloud-Backups verpflichtet hat. Apple hat sich entschieden, das Feature abzuschalten, statt die Backdoor einzubauen.
Was sich praktisch aendert
Britische iCloud-Backups sind nicht mehr Zero-Knowledge; Apple hat bei Bedarf Zugriff. Die Gag-Klausel des IPA verbietet Apple offiziell, das Ersuchen zu bestätigen oder zu verneinen; Apple hat den Schritt selbst kommentiert, aber den konkreten Anlass nicht. Der Fall ist der erste öffentliche Beleg dafür, dass Section-253-Anordnungen nach IPA gegen grosse US-Anbieter durchgesetzt werden koennen, und zwar extraterritorial: die Anordnung zielte auf globale Apple-Infrastruktur, nicht nur auf UK-Server.
Einordnung
Der Hauptartikel Warum deutsche Jurisdiktion für Cloud-Daten zaehlt hatte den IPA als dritten Hebel neben CLOUD Act und FISA 702 benannt. Der Apple-ADP-Fall ist die deutlichste Demonstration, was eine technical capability notice konkret bewirken kann. Für Organisationen, die britischen Zugriff strukturell ausschliessen wollen, ist die praktische Konsequenz: weder Hauptsitz noch EU-Tochter eines britischen Anbieters reichen. Die Daten muessen bei einem Anbieter mit rein EU-Gesellschafterstruktur liegen, dessen Muttergesellschaft weder dem IPA noch dem CLOUD Act unterliegt.