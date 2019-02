Stephan Wiesend

In der letzten Woche hat Apple erst bei Facebook und dann bei Google firmeninterne iOS-Apps gesperrt. Grund sind Verstöße gegen Apple-Vorgaben - wohl weniger der Datenschutz.

Vergrößern Für Facebook gibt es im App Store offenbar keine Sonderregeln. © Facebook

Letzten Mittwoch wunderten sich zehntausende Facebook-Angestellte mit Firmen-iPhone, warum ihre Kalender, Karten-Apps und weitere Unternehmen-Anwendungen nicht mehr funktionierten. Wie Firmenangehörige der NYT berichteten , waren sogar wichtige Kommunikationsanwendungen namens Workplace und Messenger betroffen. Möglich war Apple diese App-Blockade, da jede dieser iOS-Apps von Facebook ein gültiges Unternehmenszertifikat benötigt. Facebook installiert seine internen iOS-Apps nicht über den App Store, sondern darf sie dank eines speziellen Unternehmens-Zertifikats selbst auf den Firmen-iPhones aufspielen. Da Apple dieses aber für ungültig erklärt hatte, konnten die Apps nach kurzer Zeit nicht mehr starten – das ist ein wenig so, als würde man einem Mieter den Strom abstellen! Bereits am Donnerstag wurden aber die Fronten geklärt und die Apps waren wieder nutzbar.

Überraschend erlebten Google-Anwender kurz darauf die gleiche Situation. Auch hier widerrief Apple für fünf Stunden die Gültigkeit von Google-Unternehmens-Apps und legte viele iPhone-Nutzer bei Google lahm.

Was war passiert? Die Kurzfassung ist, dass sowohl Facbook und Google mit einigen Markforschungs-Apps gegen Apples Geschäftsbedingungen für Unternehmens-Apps verstießen und Apple daraufhin alle Unternehmens-Apps der Firmen sperrte.

Facebook übernimmt Onavo

Die Langfassung ist etwas komplexer und beginnt nach Medienberichten im letzten August bzw. noch früher. Das 2013 von Facebook übernommene Marktforschungsunternehmen Onavo und weitere Abteilungen der Firma treiben nämlich offensichtlich einen enormen Aufwand, um Daten über mobile Nutzer zu gewinnen. Dabei ist Facebook nicht nur für Werbezwecke an Informationen interessiert, sondern auch Konkurrenten wie Snapchat im Auge zu behalten und Übernahmekandidaten wie WhatsApp und Instagram zu erkennen.

Das in Israel gegründete und von Facebook übernommene Onavo geriet schon öfter durch aggressive Marktforschungsmethoden in Kritik, auf der Android-Plattform etwa durch die App Protect Free VPN+Data Manager. Der bekannteste Vorfall wurde schon vor einem Jahr publik, als Facebook für seine offizielle iOS-App eine neue Sicherheitsfunktion vorstellte, die VPN-App Onavo Protect. Wie eine herkömmliche VPN-App wie Cyberghost oder Avira Phantom kann diese App die Internetnutzung vor Malware und (fremden) Spionprogrammen abschirmen. Allerdings klärte Onavo die Nutzer nur unzureichend darüber auf, was Onavo für diesen Service bekam: Eine im Hintergrund laufende Erfassung aller Nutzeraktivitäten, sehr wertvoll für jeden Marktforscher. Aufgrund von Verstößen gegen die Datenschutzbestimmungen des Apple Store wurde die App deshalb im August von Apple aus dem App Store verbannt .

Onavo Protect gibt es seitdem nur noch im Android Store – hier ist die App übrigens sehr beliebt.

Kurz darauf verbreiteten Marktforscher von Facebook aber doch wieder eine iOS-App, die Onavo Protect stark ähnelt – wenn auch nur an eingeladene Testkunden und nicht über den App Store. Über Snapchat und Instagram akquirierte Onavo die 13 bis 35 Jahre alten Teilnehmer für eine Social-Media-Studie, denen monatlich 20 Dollar pro Monat angeboten wurde. Die Aktivitäten der Nutzer wurden komplett überwacht, vermutlich war dabei vielen Teilnehmern gar nicht klar, wie weitgehend. Über eine Webseite konnten Teilnehmer eine iOS-App herunterladen und eine VPN-App installieren – die laut dem Experten Will Strafach der alten App Onavo Protect sehr ähnlich. Die Überwachung der Nutzer war ungewöhnlich weitgehend: So stimmt Strafach zwar einer Stellungnahme von Facebook zu, dass auch Marktforscher wie Nielsen und Comscore ähnliche Projekte betreiben, keiner wäre aber so weit gegangen, von Nutzer die Installation eines VPN-Dienstes und Root Access auf das Netzwerk zu verlangen (also uneingeschränkten Zugriff).

Apple legt Facebook und Google lahm

Was aber Apple in Aktion brachte, war nach unserer Einschätzung weniger die Überwachung von Nutzern, als der Missbrauch des so genannten Enterprise Certificate. Dieses auf Antrag einem Entwickler ausgestellte Zertifikat erlaubt es einer Firma nämlich selbstentwickelte iOS-Apps auf Firmengeräten zu installieren – die Nutzung für die Installation auf Geräten von Nicht-Firmanangehörigen wie Studienteilnehmern ist aber streng untersagt. So nutzen auch Jailbreaker und Softwarepiraten diese Enterprise-Zertifikate, sie sind also eine große Gefahr für Apples Sicherheitskonzept und ein Missbrauch äußerst gefährlich.

Offensichtlich zog Apple dann die Notbremse und erklärte das Enterprise-Zertifikat von Facebook rigoros für ungültig. Gegenüber Tech Chrunch kommentiert Apple knapp: „Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.“ (Wir werden jedem Entwickler, der Apps an Endnutzer über die Firmenzertifikate verbreitet, sein Zertifikat entziehen. Genau das haben wir in dem Fall gemacht, um Nutzer und ihre Daten zu schützen). Die meisten Beobachter erstaunte aber zu Recht, dass offenbar für Facebook die gleichen Regeln gelten wie für alle anderen App-Entwickler auch.

Nach aktuellen Berichten wurde das Zertifikat aber nach zwei Tagen wieder für gültig erklärt, bzw. erhielt Facebook ein neues Zertifikat zugeteilt.

Noch erstaunlicher: Kurz darauf wurde auch Google mit Entzug seines Firmen-Zertifikats bestraft – fast als wolle Apple hier niemand bevorzugen. Denn auch Google hatte per Enterprise Certificate eine Marktforschungs-App verteilt: Ein Tool namens Screenwise Meter. Für etwa fünf Stunden waren dadurch alle Google-internen iOS-Apps nicht mehr nutzbar, offenbar wurden die Zertifikate bald wiederhergestellt. Gegenüber der Öffentlichkeit blieben Apple und Google da übrigens sehr zugeknöpft.

Fazit

Es ist nicht bekannt, welche Gespräche in den letzten Tagen zwischen den drei Konzernen Google, Apple und Facebook stattgefunden haben. Die Vermutung, beim Entzug des Zertifikats habe es sich um eine Bestrafung oder Machtdemonstration gehandelt, erscheint uns aber etwas übertrieben. Schließlich waren es ja einige übereifrige Marktforscher bei Google und Facebook, die für den Ärger gesorgt haben. Apple wollte in den beiden Fällen den beiden Konkurrenten aber anscheinend keine Sonderrechte gewähren – was erstaunlich genug ist.

Um Facebook selbst muss man sich ja dabei keine Sorgen machen: Pünktlich zu den negativen Schlagzeilen verkündete Facebook heute einen Quartalsgewinn von 6,9 Milliarden – 61 Prozent über dem Vorjahr. Auch die Kurse stiegen um elf Prozent. Trotz Kritik am Umgang mit Daten sind anscheinend auch die Nutzer wenig von den Negativberichten beeindruckt: Die Nutzerzahlen sind in Europa erstmals wieder gestiegen.