Identitätsmanagement
Endpunkt-Management
Endpunkterkennung und -reaktion
Schwachstellen-Management
Compliance-Automatisierung
Vertrauenszentrum
Was ist iCloud Private Relay?
Wenn es um den Schutz der Privatsphäre geht, war es schon immer einer der größten Schwachpunkte des Internets, dass Internetanbieter aufgrund der Funktionsweise des DNS-Systems nachverfolgen können, welche Websites Sie besuchen. iCloud Private Relay ist ein Dienst von Apple, der Teil von iCloud+ ist und dieses Problem beheben soll, indem er die Nachverfolgung von Nutzern erschwert, wenn sie den Safari-Browser von Apple verwenden. Er maskiert die DNS-Einträge und IP-Adressen eines Nutzers. Dadurch wird auch die Verfolgung von Aktivitäten über Netzwerkanbieter und Websites hinweg verhindert, was wiederum Werbe- oder Phishing-Angriffe verhindert, die auf der Erstellung von Nutzerprofilen basieren. Das System ist so konzipiert, dass niemand außer dem Nutzer selbst seine Online-Aktivitäten überwachen kann.
Was macht iCloud Private Relay?
iCloud Private Relay schützt Ihre Internetaktivitäten, indem es Ihre IP-Adresse vor den Websites verbirgt, die Sie besuchen. Der Dienst verschlüsselt außerdem Ihre Daten, wenn sie Ihr Gerät verlassen, um eine Überwachung durch Dritte zu verhindern und sicherzustellen, dass alle von Ihnen angeforderten Daten privat bleiben. iCloud Private Relay hält Ihre Website-Anfragen privat, indem es Ihre DNS-Anfragen verschleiert.
Wie funktioniert Private Relay?
iCloud Private Relay trennt Anfragen nach Internetressourcen von der Identität des Anfragenden. Dazu werden die Anfragen über zwei sichere "Hops", d. h. Internet-Relais, gesendet.
Ihre IP-Adresse bleibt für Ihren Netzbetreiber und auch für das erste Relais, den so genannten "Ingress Server", der von Apple betrieben wird, sichtbar. Die Inhalte werden dann jedoch über ein zweites Relais (den "Egress-Server") gesendet, das von einem externen Content Delivery Network (CDN) betrieben wird. Dazu gehören Akamai, Cloudflare und Fastly.
Dieses zweite Relay sieht eine verschlüsselte DNS-Anfrage, weiß aber nichts darüber, wer diese Anfrage stellt. Die DNS-Einträge sind verschlüsselt, und die tatsächliche IP-Adresse ist von der Anfrage getrennt, so dass niemand in der Kette Ihre Aktivitäten verfolgen kann. Wenn eine Anfrage gestellt wird, kann der Zielserver nur sehen, dass die Anfrage vom Egress-Server kommt, der eine temporäre IP-Adresse bereitstellt, die nichts mit dem Benutzer zu tun hat.
Bei der Verwendung ändern sich diese temporären IP-Adressen im Laufe der Zeit, um zusätzlichen Schutz zu bieten, und können auch an ein anderes CDN zur Bearbeitung weitergegeben werden, was die Nachverfolgung des Benutzers noch schwieriger macht. Die Antwort wird an den Egress-Server gesendet, der sie dann in verschlüsselter Form an den von Apple kontrollierten Ingress-Server weiterleitet. Die Daten, z. B. die Website, die der Nutzer besuchen möchte, werden dann an den Nutzer geliefert.
Apple weiß nie, welche Inhalte angefordert wurden; es weiß nur, an wen die Daten zu senden sind, während der Egress-Server eines Drittanbieters nie die IP-Adresse des Nutzers erfährt. Eine Ausnahme besteht, wenn ein Nutzer regional spezifische Inhalte anfordert. In diesen Fällen verlangen die Server manchmal eine IP-Adresse. Um dies zu handhaben, gibt iCloud Private Relay den spezifischen Standort nicht weiter, sondern stellt eine IP-Adresse bereit, die für die Region steht, in der sich der Benutzer befindet.
Wie schützt iCloud Private Relay Ihre Daten?
iCloud Private Relay nutzt eine Vielzahl von Internet-Transport- und Sicherheitsprotokollen, um seine Aufgaben zu erfüllen. Zwei Schlüsseltechnologien sind das QUIC-Protokoll (Quick UDP Internet Connections), das für die Verarbeitung mehrerer Datenströme verwendet wird, und Oblivious DNS over HTTPS (ODoH). Letzteres wurde gemeinsam von Apple, Cloudflare und Fastly entwickelt. Technisch gesehen leitet Apples Ingress-Server die Daten über eine Mask-iCloud-URL (z. B. mask.icloud.com), normalerweise über Port 443.
Wie implementieren Benutzer iCloud Private Relay?
iCloud Private Relay erfordert, dass der Benutzer iOS 15, iPadOS 15 oder macOS 12 oder höher verwendet. Außerdem ist ein iCloud+ Abonnement erforderlich. Ein Benutzer, der diese Voraussetzungen erfüllt, kann Private Relay im iCloud-Abschnitt der Einstellungen (iPad/iPhone) bzw. Systemeinstellungen (Mac) aktivieren. Bei der Aktivierung von iCloud Private Relay können Nutzer wählen, ob sie ihren allgemeinen Standort beibehalten möchten, was die beste Einstellung für den Zugriff auf Websites ist, oder ob sie nur Land und Zeitzone freigeben möchten, was den Standort eines Nutzers unklarer macht, aber bedeutet, dass einige Websites für diesen Nutzer nicht funktionieren.
iCloud Private Relay ist möglicherweise nicht immer die beste Sicherheitslösung. Es funktioniert zum Beispiel nicht, wenn ein Benutzer ein Land besucht, in dem der Dienst nicht angeboten wird. Dazu gehören China, Weißrussland, Kolumbien, Ägypten, Kasachstan, Saudi-Arabien, Südafrika, Turkmenistan, Uganda und die Philippinen. Private Relay benachrichtigt Sie, wenn es nicht verfügbar ist und wenn es wieder aktiv ist, aber während es deaktiviert ist, können Netzbetreiber und Websites Ihre Aktivitäten in Safari wieder überwachen.
Wie unterscheidet sich iCloud Private Relay von einem VPN?
iCloud Private Relay bietet zwar einen gewissen Schutz vor der Verfolgung und Erstellung von Nutzerprofilen, ist aber kein Virtual Private Network (VPN). Das System ist nicht nur so konzipiert, dass es nur innerhalb von Safari funktioniert, sondern es funktioniert auch an einigen Orten nicht.
Ein weiteres Problem ist, dass aufgrund der Architektur von iCloud Private Relay einige Websites, z. B. solche, die auf IP-Filterung, Überwachung oder Ratenbegrenzung angewiesen sind, ohne Ihre IP-Adresse möglicherweise nicht funktionieren. Als Reaktion darauf kann ein Benutzer den Schutz vollständig deaktivieren, um die Website zu besuchen. Es ist jedoch auch möglich, Private Relay auf einer spezifischen Basis pro Website zu deaktivieren:
- Mac: Navigieren Sie zu der Website und wählen Sie im Menü Ansicht von Safari die Option Neu laden und IP-Adresse anzeigen.
- iPhone/iPad: Navigieren Sie zu der Website, tippen Sie auf die Schaltfläche "Seiteneinstellungen" und dann auf "IP-Adresse anzeigen".
Einige Programme, darunter VPNs und Internet-Filtersoftware, erfordern möglicherweise Einstellungen oder Erweiterungen, die mit dieser Funktion nicht kompatibel sind.
Ist iCloud Private Relay sicher?
Nichts ist in der Technik jemals völlig sicher. Wenn es um iCloud Private Relay geht, leitet der Dienst Internet-Datenanfragen, die über Safari gestellt werden, über Private Relay weiter, aber dieser Schutz ist nicht absolut sicher. So können Apple und seine Partner beispielsweise auf den Inhalt der besuchten Seiten zugreifen, wenn diese über HTTP und nicht über HTTPS geladen werden. Dass der Dienst außerhalb von Safari oder in einigen Ländern nicht funktioniert, macht ihn außerdem zu einer weniger sicheren Alternative zu klassischen VPN-Diensten.
Ein weiteres Problem ist, dass iCloud Private Relay erkennen lässt, dass eine Anfrage von einem iPhone, iPad oder Mac kommt und suggeriert, dass die Anfrage von einem Nutzer mit einem iCloud+ Abonnement stammt.
Verwalten von iCloud Private Relay
In einigen Fällen muss die IT-Abteilung die Verwendung von iCloud Private Relay auf verwalteten Geräten zugunsten des offiziellen Unternehmens-VPNs einschränken. Manche Unternehmen haben auch eine Richtlinie, die eine Überprüfung des gesamten Netzwerkverkehrs vorschreibt. Obwohl jedes Gerät, das Private Relay verwendet, von vornherein bestätigt, dass es sich um ein iPhone, iPad oder Mac handelt und der Benutzer ein iCloud+ Abonnement hat, können Netzwerkadministratoren die Funktion mithilfe von MDM auf Geräteebene deaktivieren. Während die Implementierungen variieren, verhindert das Steuerelement Disallow iCloud Private Relay (verfügbar im Restrictions Panel in Kandji) die Nutzung des Dienstes. Apple hat zusätzliche Informationen für Server- und Netzwerkadministratoren veröffentlicht.