Durch Mikes Unplug Trump Mastodon Posts und seine Nextcloud-Artikelserie, denken ich mal wieder darüber nach, ob es für Nicht-IT-Affine Anwender Alternativen zur sicheren Zusammenarbeit mit mehreren Geräten (PC, Smartphone, Tablet) zum Apple Ökosystem mit iCloud gibt.

Apples iCloud aus Benutzersicht

An Apples iCloud schätze ich für den Nicht-IT-Affinen Anwender, dass

(1) Mit einer Einrichtung eines Accounts wird die automatische Synchronisation der allermeisten App-Daten über iCloud die Nutzung verschiedener Gerätetype stark vereinfacht.

Es ist vergleichbar mit IMAP, bei dem jedes Gerät des Anwenders auf seine E-Mails zugreifen kann, nur dass dieses bei iCloud automatisch und ohne weitere Einrichtung für andere Apps wie Notizen, Fotos, Dokumente und auch komplexen Datenstrukturen wie App-Datenbanken zur Verfügung steht.

Beim Hinzufügen eines neuen Gerätes, stehen alle Daten automatisch auch auf diesem zur Verfügung. Dieses vereinfacht dem Anwender den Geräte-Umzug genauso wie das iCloud Backup für iPhone und iPad, welches den Geräteumzug stark vereinfacht.

(2) Mit einer zentralen Änderungen - der Aktivierung der Advanced Data Protection - kann der Anwender die Synchronisation nahezu aller iCloud-Daten von allen Apps auf Ende-zu-Ende-Verschlüsselung umstellen.

Daten wie Schlüsselbund- oder Gesundheitsdaten der Health App werden immer Ende-zu-Ende-verschlüsselt synchronisiert.

Hinweis: Nicht Ende-zu-Ende-Verschlüsselt sind die typischen PIM-Daten Mail, Kalender, Kontakte, Erinnerungen, da diese ansonsten nicht mehr mit alternativen Mail-Clients wie z. B. Outlook nutzbar wären.

Meine Erfahrungen mit Nextcloud

Parallel nutze ich seit Jahren auch Nextcloud. Zuerst auf einem eigenen Debian Server, seit kurzem basierend auf Hetzners StorageShare Produkt.

Diese nutze ich vor allem zur Synchronisation der nicht bei Apples iCloud Ende-zu-Ende-verschlüsselten Datentypen Kalender, Kontakte und Erinnerungen, sowie auch für die Synchronisation meines Passwort-Safes über alle meine Geräte.

(a) Nextcloud App / Synchronisationsclient (1. Anmeldung)

Dateien kann ich über die Nextcloud Anwendungen synchronisieren / zugreifen und diese für alle dateibasierenden Datenformate aus Dritt-Anwendungen / -Apps nutzen. Dieses ist die erste Anmeldung an der Nextcloud die ich als Anwender benötige.

(b) Cryptomator für Ende-zu-Ende-Verschlüsselter Dateiablage (2. Anmeldung)

Wenn ich jedoch eine Ende-zu-Ende-Verschlüsselung einsetzen möchte, dann verwende ich Cryptomator, der wiederum nach der Einrichtung die Nutzung für alle Dateibasierende Datenformate für Dritt-Anwendungen / -Apps geeignet ist. Cryptomator ist die zweite Anwendung, die ich getrennt für die Nextcloud authentisieren muss.

Für den Fall, dass ich eine normalerweise in Cryptomator abgelegte Datei für jemanden Dritten freigeben möchte, muss ich diese zuerst aus dem Cryptomator Speicherberich in den unverschlüsselten Nextcloud-Speicher verlagern.

(c) CardDAV Synchronisation von Kontakten (3. Anmeldung)

Für die Synchronisation von Kontakten über das CardDAV Protokoll benötigt jedes Gerät eine 3. Anmeldung. Diese Daten liegen in jedem Fall unverschlüsselt auf dem Server vor.

(d) CalDAV Synchronisation für Kalender und Erinnerungen (4. Anmeldung)

Für die Synchronisation von Kalender und Erinnerungen über das CalDAV Protokoll benötigt jedes Gerät eine 4. Anmeldung. Diese Daten liegen in jedem Fall unverschlüsselt auf dem Server vor.

(e) Weitere Apps mit eigenen Datenformaten benötigen weitere Anmeldungen

Des Weiteren muss ich für jeden weitere App, die Ihre Daten anstatt Dateibasiert über eine eigenes Datenformat synchronisiert, gesonderte Zugriffsberechtigungen konfigurieren, so die App denn überhaupt über die Nextcloud (WebDAV) synchronisieren kann.

Bei mir ist das vor allem der Passwort-Manager (5. Anmeldung) und die Scanner-App (6. Anmeldung). So lässt sich das dann fortsetzen für jede App, die Ihrerseits Daten synchronisieren muss.

Nur wenn die entsprechende App eine Ende-zu-Ende-Synchronisation vorsieht, können die Daten dann verschlüsselt im Synchronisationsdienst abgelegt werden. Wenn dieses der Fall ist muss man für die jeweilige App typischerweise noch das Verschlüsselungskennwort ergänzen.

Fragen an Euch:

(-) Gibt es aus Euer Sicht ein Ökosystem, bei dem eine zentrale Anmeldung im Betriebssystem an einem Synchronisationsdienst automatisch die Benutzerinhalte der installierten Apps sinnvoll zwischen den Geräten des Benutzers synchronisiert, ohne sich für jede App gesondert Gedanken über Synchronisierung und Datensicherung machen zu müssen?

(-) Kann man in diesem Ökosystem zentral die synchronisierten App-Daten Ende-zu-Ende-Verschlüsselt in der Cloud ablegen?

(-) Welche Aufwände sind bei Euren Ökosystemen notwendig, um eine möglichst automatisiertes Zusammenspiel der verschiedenen Geräten zu ermöglichen?

Ich bin gespannt, ob und wie weit die anderen Ökosysteme in diesem Aspekt der Einrichtung und Zusammenarbeit mehrere Geräte so ausfallen.

Gute Zusammenstellung von Argumenten, die auch mich umtreibt und meinem Workflow entspricht (Nextcloud, Cryptomator, KeepassXC, Joplin). Was ich an Apple zu schätzen weiß: die gute Verzahnung der Software (Notes und Reminders zum Beispiel). Was ich an Apple nicht mag: die enge Verzahnung mit der Hardware und die damit bewusst einhergehende Vernachlässigung von gut gemachten Web-Apps.

Was mir schon helfen würde bei den Problemen, die Du auflistest: mehr Biometrie auf dem Desktop, auch wenn das einige hier im Forum aus Securitysicht skeptisch sehen. Bitwarden, das sich zum Beispiel mit Windows Hello aufschließen lässt, geht da genau den richtigen Weg. Wenn Du von der Authentifizierung kaum was mit bekommst, brauchst Du nicht unbedingt ein ‚Ökosystem‘ mit einer Art Single-Sign-On, wie sie Apple anbietet.

Das Apps und/oder das System das Passwort für die weitere Nutzung lokal speichern (hoffentlich in einem sicheren Speicherbereich) ist ja bei den meisten Anwendungen gegeben. Hierdurch muss man die Einrichtung typischerweise nur einmal je Gerät vornehmen.

Dass man jedoch für jede Anwendung/App gesondert die komplexe Serveradressen wie

https:///remote.php/webdav/ (WebDAV)
https:///remote.php/dav/principals/users/username/ (CalDAV)
https:// (CardDAV)

sowie jeweils Benutzername und Passwort zur Einrichtung einer Synchronisation hinterlegen muss, ist einfach nicht benutzerfreundlich. Hier macht Apple es vor, wie man die Einbindung eines Cloud-Dienst benutzerfreundlich realisieren kann - eine Anmeldung des Gerätes an der Apple ID und alle Anwendungen/Apps nutzen standardmäßig diese iCloud-Einrichtung.

Sollte man dann bei Nextcloud sein Passwort tauschen wollen, muss dieses für jede einzelne Anwendung wieder manuell nachgezogen werden. Wenn man wie ich gerätespezifische Passwörter nutzt, um einem verloren gegangenen Gerät die Zugriffsrechte zu entziehen, erhöht sich die Komplexität der Einrichtung noch einmal.

Für Personen mit einem technischen Verständnis nervig aber nachvollziehbar. Eine Ende-zu-Ende-Verschlüsselung hingegen immer nur für einzelne Anwendungen/Apps individuell realisierbar.

Viele normale Anwender werden jedoch an dieser Komplexität scheitern. Die Folgen sind dann häufig Datenverluste bei Gerätedefekt,da einfach weder eine synchronisierte Kopie noch eine Datensicherung zur Verfügung steht, sowie die unverschlüsselte Datenablage auf dem Synchronisationsdienst der in den allermeisten Fällen auch bei einem Provider wie z. B. Hetzner stehen dürfte.

Ich wäre wirklich froh, wenn ich im Opensource-Umfeld ein Ökosystem vorfinden würde welches in der Usability dem Apple Ökosystem nahe kommt. Aber bisher scheint mir der Einsatz mit einem recht hohen Komplexitätsgrad für den Anwender gepaart mit dem häufigen Verzicht auf Ende-zu-Ende-Verschlüsselung oder alternativ dem vollständigen Verzicht auf viele Anwendungsfälle einherzugehen. Ich beobachte und suche jedoch weiter und hoffe, dass sich hier irgendwann einmal eine Alternative entwickelt.

Danke für die Zusammenstellung. Mich treibt das Thema auch gerade um. Aus meiner Sicht ist solch ein Ökosystem nur möglich, wenn ich einem (oder mehreren) Diensten vertraue. Oder ich behalte möglichst viele Daten in meinem direkten Einflussbereich, dann ist es aber weniger komfortabel.
Nach viel Ausprobieren in den letzten Wochen würde ich als einigermaßen komfortables Ökosystem mit E2EE-Fokus auf folgenden drei Diensten aufbauen:
Tuta Mail für Mail, Kontakte, Kalender
Filen für Daten und Notizen
Bitwarden (eu) für die Passwörter

Die Dienste funktionieren auf den meisten Plattformen (insbesondere auch Linux) und die Android-Apps gibt es auf F-Droid oder GitHub. Allerdings liegt damit auch alles in der Cloud. Aber wäre eigentlich wie bei Apple, nur nicht ganz so gut verzahnt.
Mein alternatives Basis-Setup ist:
Mailbox.org mit IMAP, CalDAV und CardDAV
Nextcloud und
KeepassXC/DX

Mehr Datenhoheit, aber wie bereits beschrieben deutlich mehr Konfigurationsaufwand.

@nanoq Danke für Deinen Beitrag.

Ich habe mir spontan mal tuta angeschaut in Hinblick auf verschlüsselte Kontakte und Kalender.

Leider gibt es anscheinend keine Möglichkeit die Kontakte in einem Bereich der Kontakte App des iPhones zu synchronisieren. Daher stehen die Kontakte nicht für andere Apps wie Messenger zur Verfügung und müssten für diese Zwecke ergänzend gepflegt werden. Gleiches gilt anscheind auch für den Kalender.

Filen scheint immerhin eine Einbindung ins Dateisystem der meisten, gängigen Betriebssysteme anzubieten, sodass eine Nutzung durch dateiorientierte Apps mit einer verschlüsselten Synchronisation möglich sein sollte. Für Apps die hingegen nicht dateiorientiert arbeiten ist Filen jedoch kein Synchronisationsort - höchstens wenn man selbst noch die WebDAV / S3 Bridge betreibt.

Insgesamt sind es jedoch drei getrennte Dienste, die jeweils ihre Aufgabe realisieren und für viele Anforderungen eine hinreichende Lösung bieten können. Aber von einem App-übergreifenden Ökosystem mit Ende-zu-Ende-Verschlüsselung leider noch weit entfernt.

Dto.

Ich mache fast alles selbst. Den Komfort würde ich als höher einstufen, denn ich muss keine Klimmzüge machen, auch nicht wenn ich Familienmitgliedern oder Freunden Zugriff geben will. Leiden tut mein Zeitbudget und die Verfügbarkeit, da bin ich halt nicht auf Cloud-Niveau.

Wesentlich ist m.E. noch der Gesichtspunkt, dass man auch bei E2E-Verschlüsselung dem Anbieter zumindest dahingehend vertrauen muss, dass er die Daten nicht ungefragt löscht oder verändert.

Bei den Kontakten sollte es gehen. Zumindest auf dem iPad werden die Tuta Kontakte auch in Apples Kontakte-App angezeigt. Aber Kalender geht (noch?) nicht.

Das „noch“ ist wichtig: Die verbesserte Integration ist bei Proton und Tuta seit Jahren auf der Roadmap und kommt voran, aber nicht wirklich zügig. Wo wir hier über Ökosysteme reden: Da ist Proton mit Mail, Docs, Drive, Pass, VPN eigentlich ganz gut aufgestellt (und Standard Notes haben sie auch noch aufgekauft).

Ich kann aber schon verstehen, dass es User gibt, die von zweistelligen Preisen fürs Monatsabo dann auch eine nahtlosere Integration und mehr Funktionalität wie zum Beispiel Volltextsuche erwarten. Das alles gibt es bei Apple, Google, Microsoft, nur halt um den Preis der Privatsphäre.

Es funktioniert tatsächlich. Die Einstellung ist in der Tuta Mail App am iPhone / iPad unter

„Zahnrad“ > „Kontakte“ > „Kontaktsynchronisierung“

ziemlich offensichtlich zu finden. Keine Ahnung warum ich vorhin daran vorbeigeschaut habe Danke für den Hinweis.

Proton werde ich mir dann wohl auch noch mal anschauen. Danke für diesen weiteren Tipp.

Mit ADP aktiviert ist es so sicher, wie kaum sonst irgendwo. Das darf man nicht vergessen!

Ich habe ein wenig mit den Lösungen Tuta und Proton gespielt. Mein primärer Fokus neben Mailing wäre die Verwaltung der Kontakte, die ich jedoch nicht nur für das Mailing, sondern eben auch aus anderen Apps nutzen wollte - die also in der Kontakte-Verwaltung des Betriebssystems synchronisiert werden sollten.

Tuta

Bei Tuta kann ich Kontakte in einen lokalen Kontakte-Speicher meines iPhone / iPad schreiben, damit Dritt-Apps wie Messenger diese nutzen können.

Was jedoch bei mir am iPad nicht funktioniert, ist einen lokal im Kontaktebereich von Tuta angelegten Kontakt auch wieder auf Tuta hochzusynchronisieren. Auf dem iPhone gab es bei der Aktivierung sogar eine Warnung, dass es noch einen anderen Dienst gibt, der Kontakte synchronisiert (in diesem Fall ein Kontaktsync über Phoneblock.

Auf dem Desktop hingegen (bei mir macOS) gibt es anscheinend gar keine Möglichkeit zur Kontakte-Synchronisation.

Proton

Für die Kontakte scheint es keine Möglichkeit eines Exports in die lokale Kontakte App des Smartphones / Desktop zu geben, damit Dritt-Anwendungen diese nutzen können.

Habt Ihr Tipps, wie man die Kontakte zwischen den beiden Anbietern und der Betriebssystem-Kontakte-Anwendung auf Mac, iPhone, iPad in beide Richtungen synchronisiert bekommt?

Stimmt – war ein bisschen unfair, Apple in derselben Liga aufzulisten… Wobei es im gesamten Thread ja (wie so häufig bei diesen Themen) um die schwierige Triangulation von Sicherheit, Datenschutz und Funktionalität geht. Das Anschalten von ADP geht zum Beispiel zu Lasten eines serverseitigen Indexes, womit die geräteübergreifende Volltextsuche erschwert wird.

Ähnlich bei Cryptomator, weswegen ich mir mit dem Open-Source-Tool DocFetcher eigens einen lokalen Suchindex zurechtfrickeln musste. Insofern hat @Reklow recht: Besagte Triangulation gelingt Apple eigentlich ganz gut, und es fällt schwer, adäquate Alternativen zu finden.

Ich hatte es schon befürchtet, dass Apple hier (leider) ein Alleinstellungsmerkmal hat - Ein einfach zu nutzendes Ökosystem, welches neben der Funktionalität einen recht hohen Sicherheits- und Datenschutz-Level für Nicht-IT-Experten erreicht.

Wie hoch der Privatsphäreschutz ausfällt kann ich abseits der Marketing-Aussagen Apples nicht abschätzen. Aber gegenüber Google und Microsoft sollte dieser meinem Gefühl nach besser ausfallen, auch wenn er natürlich keinem Systeme mit speziellem Fokus auf Privatsphäreschutz das Wasser reichen kann.

Ich bin gespannt, was noch Tipps kommen, mit welchen anderen Ökosystemen man noch eine Ende-zu-Ende-verschlüsselte Sychronisation von von möglichst umfangreichen App-Datenbeständen erreichen kann.