ifun.de — Apple News seit 2001. 39 488 Artikel

Anonymisierung zwischengeschaltet

Privatsphäre im Internet: Apples iCloud Privat-Relay erklärt

Artikel auf Mastodon teilen.
37 Kommentare 37

Der Internet-Dienstleister Cloudflare hat eine Erklärung von Apples iCloud Privat-Relay veröffentlicht. Anhand der in dem eigentlich auf Administratoren zugeschnittenen Dokument enthaltenen Grafiken lässt sich das zugrunde liegende Prinzip vergleichsweise einfach und auch für weniger mit dem Thema verbundene Nutzer verständlich darlegen. Zudem macht Cloudflare auf verschiedene Eigenheiten und mögliche Probleme im Zusammenhang mit der Nutzung von Privat-Relay aufmerksam, derer man sich zumindest bewusst sein sollte.

Die grundlegenden Funktionsweise der iCloud-Funktion erschließt sich aus dem Vergleich gewöhnlicher Netzwerkverbindungen mit solchen, die über Apples Privat-Relay abgewickelt werden. Normalerweise gibt euer Rechner oder Smartphone beim Zugriff auf Onlinedienste stets auch seine IP-Adresse und die Namen der die Anfrage übermittelnden Server sowie damit verbunden meist relativ exakt auch euren Standort preis.

Cloudflare Icloud Privat Relay 1

Während die Grafik oben eine Standard-Internetverbindung zeigt, ist in der folgenden Grafik zu sehen, wie diese Informationskette durch Privat-Relay unterbrochen wird. Die Anfragen werden zwar wie zuvor abgeschickt, allerdings von einem Apple-Server abgefangen, der diese dann mit neutralisierter Absenderkennung an einen weiteren zwischengeschalteten Server weiterreicht.

Cloudflare Icloud Privat Relay 2

Der erste Apple-Server sieht zwar, woher die Anfrage stammt, kann den Inhalt beziehungsweise das Ziel jedoch nicht entschlüsseln. Der zweite Server ist dagegen zwar in der Lage, die Zieladresse zu entschlüsseln, hat dafür aber keinen Zugriff mehr auf die ursprünglichen Absenderinformationen.

Damit dies alles korrekt funktioniert, muss nicht nur Apple seinerseits die entsprechende Infrastruktur bereitstellen, sondern es müssen auch Dienstleister wie Cloudflare oder teils auch die Onlineanbieter selbst entsprechende Vorkehrungen und Einstellungen treffen.

Direkter Einfluss auf Standortdienste

Direkt betroffen sind beispielsweise die Standortdienste. Mithilfe von Online-Datenbanken kann der Standort eines Computers anhand der genutzten IP-Adresse teilweise extrem genau ermittelt werden. Ihr merkt dies, wenn ihr bei Google nach „Pizza in der Nähe“ sucht. Während man hier ohne aktiviertes Privat-Relay in der Regel passende Vorschläge aus dem eigenen Ort erhält, kann die gleiche Suche mit aktivierter Adressverschleierung durch Apple schon mal ein ganzes Stück daneben liegen.

Hintergrund ist die Tatsache, dass Apple ja gewollt eure tatsächliche Adresse verschleiert und diese durch ungenauere Ortsdaten in Form von eigenen IP-Adressen ersetzt, die oft allerdings nur auf den Nachbarort oder die nächstgelegene größere Stadt verweisen. Eine Liste der aktuell von Privat-Relay genutzten IP-Adressen inklusive der zugehörigen Standorte hält Apple hier im CSV-Format bereit.

Icloud Privat Relay Mac Einstellungen

Apple bezeichnet diese verwässerte Angabe als „allgemeinen Standort“. In den Einstellungen zu Privat-Relay lässt sich dieser bei Bedarf auch noch weiter verallgemeinern, indem man statt dem allgemeinen Standort die Option „Land und Zeitzone verwenden“ aktiviert.

Privat-Relay kommt mit iCloud+

iCloud Privat-Relay ist Bestandteil von iCloud+. Dementsprechend steht die Option nur jenen Apple-Kunden zur Verfügung, die mindestens 0,99 Euro im Monat für eines der von Apple angebotenen Speicherpakete bezahlen. Dann lässt sich Privat-Relay über die Einstellungen des Mac oder iOS-Geräts aktivieren. Ihr findet die Option im Einstellungsbereich „iCloud“.

Die Funktion wird aktuell von Apple noch als Beta gekennzeichnet, der Anbieter weist damit verbunden insbesondere darauf hin, dass es bei Anmeldeprozessen zu zusätzlichen Schritten und zu den oben angedeuteten Problemen mit der Standortfunktion kommen kann.

03. Mrz 2022 um 10:38 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    37 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Joar… mit gewissen Hürden. Eine Whitelist-Funktion fände ich nicht verkehrt mit einem eventuell Hinweis, dass Private-Relay für diese Anwendung / Webseite / Dienst / … gerade nicht angewendet wird. Oder das man es temporär kurz mal eben ausschalten kann, anstatt den langen weg über die Einstellungen gehen zu müssen.

  • In der Theorie schön, hatte es auch schon im Einsatz – doch es gibt Massive Probleme mit PayPal. Eine Erfolgreiche Anmeldung ist nicht (immer) möglich! Im Supportforum von PayPal findet man diverse Meldungen dazu.
    Hoffe die bekommen das hin, denn von der Idee her klingt das ganz interessant.

    • Ich bin mir nicht sicher, aber ich glaube, es wäre irgendwie ungünstig, wenn Paypal oder ein anderer Zahlungsdienstleister oder eine Bank einen offensichtlich verschleierten Login erlauben würden.
      Nur so eine Idee.

      • Die Anmeldung bei der DKB, Barclays, Amex etc. funktioniert – egal ob per Webseite oder App, nur PayPal zickt bei Privat Relay.

  • Das Prinzip gefällt mir. Die Frage die sich mir stellt ist: funktioniert es nur für Safari und Apple Apps oder auch für ALLE anderen Verbindungen wie für WhatsApp, YouTube oder FireFox etc. ?

    • Mit Safari und allen Apps, die eine Verbindung über HTTP aufbauen. Läuft eine App über HTTPS, greift das Privat Relay nicht. Hier könnte man zusätzlich aber noch ein Profil für DNS Ober HTTPS einpflegen, möchte man dies. Greift das Private Relay mal nicht. Wird das Profil genutzt.

  • derDatenschützer

    Ich würde das Apple Private-Relay ja gerne mit meinem lokalen DNS Server (AdGuard Home oder PiHole) nutzen. Leider hab ich dazu noch nichts gefunden. Hat jemand von euch da schon Erfahrung?

    • Ich bin mir nicht sicher, ob ich dein Problem verstanden habe, vielleicht hilft dir diese Info:
      Ich habe auf allen mobilen Geräten (alles, was das private Netzwerk physisch verlassen kann, und damit den Gang durch unser pihole) mit einem sogenannten Profil versehen, dass das Gerät zwingt, sobald es feststellt in einem anderen Netzwerk zu sein ein VPN zum Heimnetz aufzubauen. Dadurch schleust man den Datenstrom auch wieder durchs piHole. Das ganze habe ich weltweit getestet. Es klappt sogar in China.
      Das PrivateRelay baut sich genauso auf. Egal ob VPN oder nicht.
      Das piHole war nicht mein Haupttreiber, der positive Nutzen kam als Sahnehäubchen oben drauf. Das Wichtigste ist für mich meine Daten per VPN vor neugierigen Augen zu verbergen, sei es das kostenlose Wlan im Café oder z.B. in China im geheimdienstlich überwachten Hotel.

      Das Profil kann man mit kostenloser AppleSoftware selbst erstellen. Dazu lohnt es sich ein wenig zu googlen. Das Tolle: meine Profile sind seit Jahren unverändert und vollkommen automatisch. Man kann sie im Notfall deaktiveren (es erscheint ein Reiter „VPN“ in den Einstellungen, dort ist dann für jeden VPN-Dienst ein Schalter. Ich musste das aber nie tun.
      Sie überleben jegliches Update von macOS, iPadOS oder iOS.

      • Ausserdem bekomme ich dann Festnetzanrufe am iPhone, als wenn ich zu Hause bin und kann alle IOT Geräte ohne fremde Cloud bedienen. Denn ich bin ja immer im gleichen Netzwerk. Nie mehr ohne automatischem VPN!!! ;-)

      • Ich hab das ganze mit PiVPN und WireGuard so gelöst, dass ausschließlich die DNS-Anfragen über den Pihole zu Hause laufen. Alle anderen Daten dann über das Mobilfunknetz oder fremde WLAN. So bin ich unabhängig von der Internetgeschwindigkeit zu Hause und Vodafone Pass funktioniert auch. Aber Werbung und Co. werden überall ausgeblendet und Heimnetzverbindungen funktionieren genauso, als wäre ich zu Hause im WLAN.
        Private Relay kann man dann zwar trotzdem nicht nutzen, aber der Schutz ist so ganz ähnlich.

    • Wie habt ihr das Problem gelöst. Wenn man ein Profil VPN über das iPhone nach Hause zum Pihole oder Adguard Home aufbaut, wird nach dem das iPhone den Bildschirm dunkel macht, die VPN Verbindung deaktiviert.

    • derDatenschützer

      Hi, Danke für eure Rückmeldungen schon mal. Genau so habe ich es bei mir auch bisher gelöst. Intern (wenn bestimmtes WLAN) ohne VPN; Extern dann VPN (VPNonDemand). Trotzdem wird als Endpunkt ja meine „private“ IP Adresse bekanntgegeben. Diese möchte ich durch den Apple Proxy (nichts anders ist es ja technisch gesehen) verschleiern. Also in dem PiHole Einstellungen müsste ich ja als Up-Stream DNS Server den Apple Proxy angeben.

      Aktuell ist es so, wenn ich Apple Private-Relay aktiviere, dann wird der PiHole umgangen.

      Die Frage ist daher, wie kann ich die Schutzfunktion von Apple Private-Relay und die Funktionen von PiHole miteinander kombinieren?

      • Zusammen wird das es technisch glaube nicht funktionieren. Denn es wird ja eine DNS Anfrage bei Pihole verarbeitet. Wenn du davor die DNS Anfrage über Apples Proxy machst wird der Pihole gar nicht berücksichtigt. Das gleiche ist wenn du in deinem Netzwerk einen Client den Tor Browser nutzt kannst du auch den pihole umgehen, weil der Tor Browser die DNS Anfrage über seinen Internet Ausgang (Port oder separate Bridge/Brücke) beantwortet.

  • Schade, dass die 1Blocker Firewall nicht mit dem Privat Relay kompatibel ist. ACHTUNG, 1Blocker selbst behauptet, es gelöst zu haben, dem ist aber nur zu 50 % so. Ist man in einem WLAN, klappt es. Ist man im mobilen Netz unterwegs, geht es nicht und alles läuft über den DNS des Mobilfunkanbieter.

  • Da die von mir genannten Probleme mit PayPal leider ein zu großes Ärgernis waren, bin ich wieder zu meiner bewährten Kombi umgestiegen:

    • In der Fritzbox: AdGuard DNS als DNS-Server
    • iPhones: Wipr als Adblocker + AdGuard DNS (per Profil)
    • MacOS: AdGuard for Mac (Desktopversion)

    AdGuard sitzt in Zypern, die Server stehen hauptsächlich in Amsterdam und Entwickler teils in der Ukraine (aber es gibt auch noch Büros in Moskau).

  • Frage: ich hab mal in der Excel nach DE,DE gesucht. Da kommen 8242 Einträge. Wie geht das, wenn mehr Personen gleichzeitig den Dienst nutzen. Es kann eine IP doch immer nur einmal zur gleichen Zeit verwendet werden?!

  • Alexander Krampmann
    • Keinen, würde dir lieber empfehlen einen eigenen zubauen und zu nutzen. Um Geoblocking zu umgehen könnte man es ähnlich machen. Man muss nur im Ausland der Wahl einen System mit VPN aufsetzen und sich mit dem verbinden.

    • Wenn du eine FRITZ!Box hast, hast du dir auch einen VPN-Service mitgekauft. Nutze ich persönlich gerne, bin ich beruflich im Hotel.

      • Aber leider nur ipsec Protokoll.
        Bekannt ist das ipsec nicht so sicher ist und kein guten Datendurchsatz bietet. OpenVPN oder Wireguard wäre besser wo AVM gerade in den Labor Versionen arbeitet.

      • WireGuard kommt bei den FRITZ!Boxen mit dem nächsten, größeren Update. In dem Labor-Version ist es bereits vorhanden.

  • Funktioniert bei https eh nur bei Apple Apps.

    Zudem nutze ich NextDNS per DoT Profil. Das funktioniert nicht zusammen.
    Ist für mich also nicht nutzbar.

  • Wird in manchen asiatischen Ländern leider nicht unterstützt. Z. B. Thailand

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39488 Artikel in den vergangenen 8463 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven