Wird Apple den Regierungen Bitcoin-Private-Key-Backups über eine 80-Millionen-Dollar-iCloud-Hintertür bereitstellen?

Das Vereinigte Königreich erwägt Maßnahmen, die Apple dazu zwingen könnten, Zugang zu bestimmten iCloud-Daten zu gewähren. Dies wirft eine präzise Frage für Krypto-Nutzer auf, die Wallets auf iPhones und Macs speichern.

Wenn Gerätesicherungen und allgemeine Dateispeicher im Vereinigten Königreich ihren Ende-zu-Ende-Schutz verlieren, können Seed-Phrasen und private Schlüsselmaterialien leichter vom Gerät eines Nutzers an Orte gelangen, an denen ein rechtmäßiges Verfahren oder eine Technical Capability Notice darauf zugreifen kann.

Britische Behörden haben eine erneuerte Technical Capability Notice an Apple ausgestellt, die sich auf den iCloud-Zugang für britische Konten konzentriert. Apple hat zu dieser Anordnung keinen Kommentar abgegeben.

Das Innenministerium hat sich nicht zu einzelnen Mitteilungen geäußert, die aus Prinzip geheim sind. Im Februar hat Apple den Advanced Data Protection für britische Nutzer zurückgezogen – eine Einstellung, die ansonsten den Ende-zu-Ende-Schutz auf Kategorien wie Gerätesicherungen, iCloud Drive, Fotos und Notizen ausweitet.

iCloud Keychain bleibt standardmäßig Ende-zu-Ende-verschlüsselt, und Apple gibt an, niemals eine Hintertür für seine Produkte gebaut zu haben.

Diese Trennung ist wichtig, da Krypto-Wallets nicht nur innerhalb von iCloud Keychain existieren.

Nutzer machen häufig Screenshots von Seed-Phrasen und speichern sie in Fotos, notieren Wiederherstellungswörter in Notizen oder lassen Wallet-App-Daten in einer Gerätesicherung zurück. Wenn Advanced Data Protection nicht verfügbar ist, fallen diese Kategorien auf von Apple gehaltene Schlüssel zurück, die nach Authentifizierung oder unter einer rechtmäßigen Anordnung entschlüsselt werden können.

Die Änderung im Vereinigten Königreich betrifft nicht iCloud Keychain; jedoch ist der Inhalt außerhalb von Keychain betroffen. Historische Fälle zeigen reale Verluste, wenn Wallet-Tresore, die in iCloud-Backups geschrieben wurden, durch Phishing geleert wurden, einschließlich Vorfällen im Zusammenhang mit MetaMask-Warnungen.

Apple beschreibt, wie der Sicherungsschutz in seiner Übersicht zur iCloud Backup-Sicherheit funktioniert und erläutert den Schutz von Keychain. Die umfassendere Seite zur Advanced Data Protection zeigt, welche Kategorien Ende-zu-Ende-verschlüsselt werden, wenn die Funktion verfügbar ist.

Die zeitliche Abfolge der Richtlinien schafft ein kurzfristiges Zeitfenster, in dem sich das Wallet-Risiko verschiebt, ohne dass sich die Protokolle von Bitcoin oder Ethereum ändern. Die Verhaltenskodizes des Online Safety Act ermächtigen Ofcom, technologische Maßnahmen vorzuschlagen und zu akkreditieren, einschließlich clientseitiger Scan-Ansätze, und zu überwachen, wie Dienste diese einhalten.

Konsultationen im Jahr 2025 behandelten zusätzliche Sicherheitsmaßnahmen und potenzielle Technologie-Mitteilungen. Während die Details einer neuen britischen Anordnung bis zur Umsetzung vertraulich bleiben, ist die regulatorische Richtung für Nutzer und Entwickler klar genug, um ihre Bedrohungsmodelle jetzt zu aktualisieren.

Eine einfache Möglichkeit, das Ausmaß der Gefährdung zu bestimmen, besteht darin, den britischen Pool von iPhone-Nutzern zu schätzen, deren Inhalte auf von Apple gehaltenen Schlüsseln beruhen. Mit der Bevölkerungsschätzung des Office for National Statistics für Mitte 2024 von etwa 69,3 Millionen, einer Smartphone-Durchdringung von 90 bis 95 Prozent laut DataReportal und Ofcom, einem iOS-Anteil von 45 bis 55 Prozent und der Annahme, dass 60 bis 75 Prozent der iPhone-Nutzer iCloud-Speicher oder -Backups aktiviert haben, liegt der adressierbare Pool im Bereich von mehreren zehn Millionen.

Die folgenden Bereiche sind illustrativ und sollten als Bereiche und nicht als Punktprognose dargestellt werden.

Input Low High Source

UK population (mid-2024)	69.3m	69.3m	Office for National Statistics
Smartphone penetration	90%	95%	DataReportal
iOS share of smartphones	45%	55%	AP News market context
Share with iCloud backup/storage enabled	60%	75%	MacRumors
Implied iPhone users	~28m bis ~36m
Users relying on iCloud backup/storage	~17m bis ~27m

Diese Nutzer sind nicht alle dem Risiko eines Wallet-Verlusts ausgesetzt; jedoch zeigt der Pool das Ausmaß des Risikos, wenn von Apple gehaltene Schlüssel und ein ausschließlich britischer Zugangspfad koexistieren.

Ein Stresstest hilft, die Diskussion zu verankern.

Wenn 1 bis 3 Basispunkte dieses Pools innerhalb eines Jahres durch eine Mischung aus Missbrauch rechtmäßigen Zugriffs, Social Engineering nach Datenoffenlegung oder gezielten Angriffen auf die Kontowiederherstellung kompromittiert würden, weil mehr Inhalte entschlüsselbar sind, liegt die Zahl bei etwa 1.700 bis 8.000 Nutzern.

Bei mittleren Hot-Wallet-Guthaben in einem konservativen Bereich von $2.000 bis $10.000 könnten direkte Verluste insgesamt $3 Millionen bis $80 Millionen betragen. Die Mathematik spricht nicht für eine Unvermeidbarkeit, verdeutlicht jedoch die Größenordnung und wie sich Anreize ändern, wenn Backups und allgemeine Dateispeicher nicht Ende-zu-Ende-verschlüsselt sind.

Der Kanal, über den Schlüssel durchsickern, ist ebenso bedeutsam wie die politische Frage.

iCloud Keychain bleibt Ende-zu-Ende-verschlüsselt, sodass dort gespeicherte Passwörter und Passkeys keine Schwachstelle darstellen. Die Schwachstellen treten dort auf, wo Nutzer Bequemlichkeit der Segmentierung vorziehen. Fotos und Notizen sind ohne Advanced Data Protection von Apple entschlüsselbar.

App-Daten, die in iCloud Backup verbleiben, sind von Apple entschlüsselbar. Optionale Cloud-Backup-Funktionen, die in einigen Wallets integriert sind, einschließlich der Coinbase Wallet-Dokumentation, die ein optionales Backup der Wiederherstellungsphrase beschreibt, hängen von der Stärke der Nutzer-Passphrase und der Implementierung des Anbieters ab und übernehmen jede Änderung der umgebenden Cloud-Bedrohungslandschaft.

Laut Apples Materialien sollten Geheimnisse in der Secure Enclave mit angemessener Zugriffskontrolle gespeichert werden, und Entwickler können Dateien so markieren, dass sie vom iCloud Backup ausgeschlossen werden.

Drei Szenarien helfen zu verdeutlichen, wie sich die nächsten 12 bis 18 Monate entwickeln könnten.

Erstens bleibt eine ausschließlich britische Ausnahmeregelung bestehen, wobei Apple weiterhin von Apple gehaltene Schlüssel für Backups und allgemeine Speicher verwendet und interne Prozesse anpasst, um jeder erneuerten Mitteilung zu entsprechen. Das Wallet-Risiko für Privatnutzer bleibt erhöht, wenn Seeds mit diesen Speichern in Berührung kommen.

Zweitens kehrt Advanced Data Protection ins Vereinigte Königreich zurück, entweder nach rechtlichen oder politischen Kehrtwenden, und das Risiko kehrt zum globalen Ausgangsniveau von Phishing, Geräte-Diebstahl und allgemeinen Infostealern zurück.

Drittens wird von Ofcom akkreditierter clientseitiger Scan auf dem Gerät vor der Verschlüsselung ausgeweitet, dargestellt als Maßnahme, die eine formelle Schlüssel-Hinterlegung vermeidet. Diese Debatte spiegelt die laufende Diskussion der Europäischen Union über Chat-Scanning wider.

Dieser Weg vergrößert dennoch die Angriffsfläche, da neue Scan-Codepfade und Überprüfungs-APIs zu Zielen werden und die Inspektion von Geräteinhalten normalisiert wird, die zuvor für den Dienst undurchsichtig waren.

Entwickler haben eine begrenzte Anzahl von Kontrollmöglichkeiten, um die Gefährdung unabhängig von der Richtlinie zu verringern.

Die praktischen Schritte sind, Seed-Material aus jedem cloud-synchronisierten Speicher herauszuhalten, Geheimnisse und Tresore mit „nicht sichern“-Attributen zu kennzeichnen, sich für den Schutz von Schlüsseln auf die Secure Enclave zu verlassen und für alle optionalen Cloud-Backup-Funktionen Einstellungen mit hohen Kosten für die Schlüsselableitung zu verlangen, sodass schwache Passphrasen abgelehnt werden.

Nutzer haben einen parallelen Weg: Seed-Speicherung vollständig vom Gerät und aus der Cloud entfernen, Screenshots und Notizen für Wiederherstellungswörter vermeiden und die Wiederherstellung der Apple-ID sowie die Zwei-Faktor-Authentifizierung verstärken, da die Übernahme von Konten wertvoller wird, wenn mehr Cloud-Daten entschlüsselbar sind.

Laut Coinbase Wallet-Anleitung ist das Cloud-Backup optional und mit einem vom Nutzer gewählten Passwort verschlüsselt, was die Verantwortung für die Passwortqualität auf den Nutzer überträgt, wenn er die Funktion auswählt.

Der breitere Marktkontext hilft zu erklären, warum eine britische Richtlinienänderung auch außerhalb des Vereinigten Königreichs Resonanz findet.

Apple und Google kontrollieren den mobilen Stack für nahezu alle Nutzer, sodass eine auf eine große Plattform angewandte Ausnahmeregelung sowohl einen Codepfad als auch einen Präzedenzfall schafft.

Australiens Assistance and Access Act und Indiens Section 69 zeigen, wie gezielte Anordnungen im Laufe der Zeit an Umfang gewinnen. Die Debatte der Europäischen Union über clientseitiges Scannen, oft als Chat-Kontrolle bezeichnet, zeigt den Kampf, Sicherheitsziele mit Ende-zu-Ende-Verschlüsselung in Einklang zu bringen.

Selbst wenn eine britische Mitteilung nur britische Konten bindet, erhöht jede technische Umgehung der Verschlüsselung an einem Ort den Druck, das Ergebnis anderswo zu replizieren, und lädt Gegner dazu ein, den neuen Weg zu studieren.

Apples öffentliche Position bleibt, dass keine Hintertüren gebaut werden, und die Dokumentation listet Datenkategorien auf, die weiterhin Ende-zu-Ende-verschlüsselt bleiben.

Laut Apples Angaben verwenden iMessage und FaceTime weiterhin Ende-zu-Ende-Verschlüsselung, und iCloud Keychain schützt weiterhin Geheimnisse im Ruhezustand.

Die Frage für Krypto-Nutzer ist nicht, ob Apple überall die Ende-zu-Ende-Verschlüsselung abschaltet, sondern ob häufig genutzte Speicherkategorien außerhalb von Keychain und die rechtlichen Prozesse, die sie regeln, einen praktischen Weg zur Wallet-Kompromittierung schaffen, wenn Seeds oder Schlüsselmaterial jemals diese Orte berühren.

Die kurzfristigen Fakten sind eindeutig.

Das Vereinigte Königreich hat eine geheime Anordnung erneuert, um Zugang zu iCloud-Daten für britische Nutzer zu erhalten. Apple hat Advanced Data Protection im Februar für neue britische Nutzer zurückgezogen.

Apple hat detailliert, welche Kategorien in seiner britischen Support-Mitteilung und der Advanced Data Protection-Dokumentation weiterhin Ende-zu-Ende-verschlüsselt bleiben.

Ofcom verfeinert weiterhin, wie der Online Safety Act durchgesetzt wird und wie proaktive technologische Maßnahmen akkreditiert und angewendet werden.

Diese Fakten reichen aus, um klare Bedrohungsmodelle zu erstellen und die Gefährdungsbereiche zu quantifizieren.

Was als Nächstes passiert, hängt davon ab, ob das Vereinigte Königreich Methoden vorschreibt, die die Verschlüsselung umgehen, oder den Ende-zu-Ende-Schutz für Backups, Fotos, Notizen und andere wichtige Speicher wiederherstellt.

Der Beitrag Will Apple give governments Bitcoin private key backups via $80M iCloud backdoor? erschien zuerst auf CryptoSlate.