Es ist kein Bug, es ist ein Feature: Die Spotlight genannte Suchfunktion in Apples neuen Betriebssystemen OS X 10.10 Yosemite und iOS 8 sendet mitunter sensible Nutzerdaten an Apple und an Microsoft.

Spotlight ist eine Suchmaschinen-App, die bisher nur lokal nach Dateien suchte, nämlich in den eigenen Dokumenten, Ordnern, E-Mails oder auch im Kalender. Mit der Einführung von Yosemite und iOS 8 wurde sie erweitert. Nun sucht die App auch im Internet nach passenden Dateien beziehungsweise Informationen. 

Dazu schickt sie standardmäßig alle Suchbegriffe der Nutzer an Apples Server, außerdem den Standort des Rechners sowie eine individuelle Identifizierungsnummer. Manche Suchbegriffe leitet Apple zudem weiter an Microsofts Suchmaschine Bing, wo sie aber nicht gespeichert werden. Die Standortdaten werden schon in dem Moment gesendet, in dem Nutzer die Spotlight-Suche öffnen.

Sinn und Zweck des Ganzen ist es laut Apple, die Vorschläge von Spotlight "relevanter" zu machen und "andere Apple-Produkte und -Dienste zu verbessern". Zumindest kann man Apple nicht vorwerfen, das Ganze heimlich zu machen:

  • Wer Spotlight zum ersten oder zweiten Mal aufruft, wird in einem Pop-up-Fenster auf die Datenübertragung hingewiesen, danach offenbar aber nicht mehr.
  • Wer in Spotlight unten auf das Feld Spotlight-Vorschläge und Datenschutz klickt, bekommt eine verständliche Erklärung zu sehen.
  • Wer sich die Mühe macht, Apples Datenschutzrichtlinie zu lesen, findet auch zumindest einen Hinweis, dass sich bei Spotlight etwas geändert hat. Wer in dem Dokument dann nach Spotlight sucht, wird aber nicht weiter fündig.
  • Apple hat zudem am 17. Oktober ein Dokument veröffentlicht, in dem die Änderungen in Spotlight erklärt werden.
Pop-up in Spotlight, das die Neuerungen kurz beschreibt © Screenshot ibtimes.co.uk

Aber reicht das für ein Unternehmen, dessen CEO gerade erst betonte, "wir sagen Ihnen von vornherein, was mit Ihren persönlichen Informationen geschieht und bitten um Ihre Erlaubnis, bevor Sie diese mit uns teilen"? Ein Pop-up, das nur zweimal gezeigt wird und eine Reihe von Dokumenten, die mit ziemlicher Sicherheit praktisch niemand freiwillig liest?

Der Sicherheitsforscher Ashkan Soltani jedenfalls nennt die Standardeinstellung "das wahrscheinlich schlechteste Beispiel für 'privacy by design', das ich bisher gesehen habe". Soltani ist Koautor eines Artikels in der Washington Post, für den er die Datenübertragung an Apple untersucht hat. Demnach können die Standortdaten extrem präzise sein und sogar das Gebäude verraten, in dem sich ein Nutzer befindet. Der Grund dafür ist, dass Yosemite für die Standortbestimmung "Informationen lokaler WLAN-Netzwerke" verwendet. Noch genauer ist die Lokalisierung natürlich in iOS 8, denn iPhones haben ja ein GPS-Modul.

Apple selbst hält die Datenübertragung für wenig brisant: Standortdaten würden von Spotlight so verschleiert, dass eine genaue Lokalisierung nicht möglich sei. Die Identifikationsnummer werde alle 15 Minuten geändert, sodass Apple kein Profil eines Nutzers anlegen könne. IP-Adressen würden gar nicht erst übertragen. Und Microsoft bekomme von Apple nur allgemeine Suchbegriffe weitergeleitet. Die Standortdaten gingen nur bis zur Ebene der jeweiligen Stadt hinunter.

In Safari muss Spotlight separat angepasst werden

Nutzer können die Datenübertragung zudem komplett abstellen. Der Software-Entwickler Landon Fuller hat die Anleitung dazu auf seiner Website fix-macosx.com veröffentlicht. Dort steht auch, dass Apples Safari-Browser eine eigene Spotlight-Suche mit Vorschlagsfunktion hat, die in der Standardeinstellung ebenfalls Daten an Apple sendet. Auch das können Nutzer verhindern. Sie müssen also an zwei Stellen die Voreinstellungen ändern, wenn sie Spotlight die Datenweitergabe untersagen wollen.

Fuller hat nun das Projekt Yosemite Phone Home (Yosemite telefoniert nach Hause, eine Anspielung auf den Film E.T.) gestartet, in der er und seine Mitstreiter weitere Funktionen finden wollen, mit denen Apple auf Nutzerdaten zugreift.

Eine Verbesserung hat Apple selbst bereits in Aussicht gestellt: Standortdaten sollen künftig erst an die Server übertragen werden, wenn Nutzer wirklich eine Suchanfrage in Spotlight getippt haben, nicht schon beim Öffnen der App.