Dann wäre es gut gewesen, wenn Du darauf hinweist was Deine Beweggründe sind wenn Du einen Artikel verlinkst. Das macht es für Leser einfacher zu erkennen,. was Deine Intention dabei war und er muss nicht raten und vielleicht wie ich Dich dann versehntlich falsch zu verstehen.
Schönes Wochenende.
Ein Punkt wurde nicht erwähnt oder ich habe es übersehen:
Apple-Traffic, wie z. B. Push-Benachrichtigungen, App Store-Traffic und sogar Health-App-Daten, umgehen aktive VPN vollständig.
https://www.heise.de/news/Apple-raeumt-ein-iOS-Dienste-koennen-VPN-Tunnel-umgehen-7545702.html
Ist so von Apple gewollt… und eigentlich NoGo!
US-amerikanische Geräte unterliegen dem Zwang des „lawful acces by design“, deshalb ist es sehr glaubwürdig was Reuters veröffentlichte, nämlich, dass eine seriöse Verschlüsselung der iCloud seitens Apple „aufgrund von Gesprächen mit dem FBI“ unterlassen wurde (Fundstelle oben).
Vertreter von US-Sicherheitsbehörden drängen im Dialog mit der EU darauf, das Prinzip „Privacy by Design“ mit dem Pendant „Lawful Access by Design“ zu kontern.
Sämtliche EIGENE Meinungsäußerungen der EU basieren meines Erachtens auf Informationen und auf dem Drängen der Five Eyes.
Die EU hat mit Bezug auf Internetspionage kaum eigene technische Kompetenz. Die Five Eyes sind Vorreiter, üben permanent die perversesten Anwendungsszenarien wie Snowden belegte. Das ist ein ähnlich absurder Kampf wie der der Datenschützer gegen Microsoft, wo immer wieder klar wird, dass die Datenschützer VÖLLIG überfordert sind (35 Millionen Programmzeilen) und „Berater“ von Microsoft benötigen … mit dem entsprechenden Beratungsergebnis („alles ok“).
„lawful acces by design“ wäre dann einen Pfifferling wert, wenn es denn ein US-law gäbe, was uns schützt.
Es gibt insoweit nur einen alten völkerrechtlichen Vertrag, dessen wirkungslose Klausel jeden Juristen lachen lässt.
Lawful access bedeutet für uns:
US-Bürger sind geschützt, wir US-Ausländer sind vogelfrei, was unsere intimsten Daten angeht.
Die US-Behörden müssen sich nicht einmal an das per se lächerliche und wohl zum 3. Mal auch illegale „Safe Shield“ halten: Das gilt nur für die selbstzertifizierten (!) US-Datenkraken, denen aber wiederum gestattet ist, ihre AGB wie üblich zu gestalten:
„Der Schutz ihrer Daten ist uns wichtig. Wir übergeben ihre Daten an dritte nur, wenn a) … b) … c) uns eine Behörde oder ein Gericht rechtmäßig dazu auffordert … d) … e) …“
Wann ist eine solche Aufforderung rechtmäßig? Wenn sie nicht gegen ein Schutzgesetz verstößt. Für uns Nicht-US-Staatsbürger gibt es aber kein US-Schutzgesetz, weil die US-Rechtsordnung uns nicht als vollwertige Menschen anerkennt während wir das ausdrücklich tun - Art. 8 EU-Grundrechtecharta gilt für alle „Menschen“, jeder US-Bürger darf sich vor jedem Gericht der EU darauf berufen.
Also dürfen die Daten übergeben werden.
Still und heimlich.
Auch in Massen …
Ich frage mich, warum man Apple da mehr als anderen trauen sollte - oder gar sich selber, wenn man einen VPN z.B. mit WireGuard nach Hause oder zum eigenen Cloudserver selber betreibt!? 
In den Datenschutzerklärungen zu VPN mahnt Apple die eigenen Kunden überdies dazu, nur VPN-Dienste zu verwenden, denen sie vertrauen. Der VPN-Anbieter könne schließlich "Onlineaktivitäten einsehen, mitverfolgen und modifizieren. Mit dem iCloud Privat-Relay betreibt Apple einen eigenen Dienst, der die IP-Adresse des Nutzers vor Webseiten und Netzwerkbetreibern verbergen soll. Dieser Schutz greife nicht mehr, wenn eine VPN-Verbindung aufgebaut wird, so Apple.
Und ich frage mich, wenn ich DNS-Records/Domains mit meinem Pi-hole in meinem VPN blocke, dann geht doch auch nicht mehr „der Appe-Traffic“ am VPN vorbei, weil der gar nicht mehr stattfinden kann. Oder? 
Wenn Apple direkt eine Verbindung über IP aufbaut, dann nützt dir ein DNS-Blocker nicht viel, weil es ja nix zum Auflösen und damit zum Blocken gibt.
Und wenn Apple implementiert, dass bestimmte Daten an einem evtl. aktiven VPN-Tunnel vorbeigehen, dann ist das eben so implementiert, quasi eine Art Split-Tunneling von Apple. Und wenn das nur für Mobilfunk geht, dann kann man sich da auch nicht dazwischenschalten wie bei einem öffentlichen WLAN auch.
Wenn Verbindungen über IP-Adressen statt Hostnames aufgebaut werden, dann gebe ich dir auf jeden Fall Recht, dass der DNS-Blocker da nix mit zu tun hat 
Aber hat das jemand mal irgendwie nachgeschaut, was und wie genau Apple das anstellt? Wenn ich zuhause in meinem WLAN bin und einen Tunnel zu meinem WireGuard-Server aufbaue, dann sollte z.B. mein Router gar keinen Traffic mehr vom iPhone sehen
Das wäre schon ein starkes Stück, wenn Apple dies nur unter Mobilfunk so implementiert…
Aber wie wollen sie prüfen, ob ich nicht via Mobilfunk eine VPN Verbindung nutze?
Vermutlich können sie dass, da interne System VPNs oder Apps nur eine gewisse Schnittstelle nutzen, die Apple überwacht…
Apples iOS Betriebssysteme arbeitet stark mit sogenannten Per-App-VPNs, was wie ich vermute die Grundlage für verschiedene Kommunikation im und außerhalb des VPNs sein dürfte.
Bei einem Per-App-VPN wird einer App ein VPN-Tunnel zugewiesen durch den die diese dann kommuniziert. Apps auf demselben System können andere VPN-Tunnel oder auch eine direkte Kommunikation ins Netzwerk aufbauen und die Tunnel sind gleichzeitig auf dem iOS-System aktiv. Meines Wissens nach haben hierbei Per-App-VPNs eine höhere Priorität als ein systemweit konfigurierte VPN-Tunnel.
Der Grund für dieses etwas andere VPN-Design ist, dass iOS Geräte häufig parallel für einen dienstlichen (managed) und privaten (unmanaged) Kontext verwendet werden. Eine Firma kann über die Per-App-VPNs also dienstlichen Apps den Zugang zu den internen Firmeninfrastrukturen erlauben, während die privaten Apps der Mitarbeiter weiterhin direkt ins Internet gehen und beides quasi gleichzeitig auf demselben Gerät genutzt wird.
Meine Vermutung ist, dass Apple einige wichtige Systemprozesse ebenfalls über ebensolche eigene VPN- / Netz-konfigurationen ähnlich eines Per-App-VPN laufen lässt um deren Verfügbarkeit zu gewährleisten und dieses als „am Tunnel vorbei kommuniziert“ auffällt.
Vom Gesichtspunkt der vollständigen Kontrolle / Prüfung der Kommunikation, wie Sie hier typischerweise angestrebt wird, ist dieses Verhalten natürlich ungewünscht. Als Firma hingegen ist der Ansatz mit dem Per-App-VPN anstatt eines Per-Device-VPN mit allen Kommunikationsverbindungen jedoch bei einem gemischt dienstlich / privat genutzten Gerät jedoch hilfreich.
Hallo zusammen, ich wollte Mike mal fragen, ob er nach dem Zwischenfazit im ersten Post auch ein Endfazit ziehen kann, das über die ersten Erkenntnisse noch hinausgeht. Dieses grundsätzliche Thema der Betriebssystemwahl interessiert mich sehr, wie ich bereits in meinem ersten Post schrieb, in dem ich hoffte, dass da noch mehrere Artikel folgen würden. Bitte nicht als Aufforderung verstehen, nur als höfliche Nachfrage; mit einem Nein kann ich auch leben. 
Kleiner Hinweis:
Es wurde ausschließlich „iOS“ getestet, also Handy mit Mobilfunk und WLAN - und das in einer inzwischen veralteten Software-Version.
Auf meinem iPad läuft inzwischen iPadOS 18.1.1 und allein schon die Einstellungen sind noch umfangreicher geworden. Man kann nun per App einstellen, ob diese Daten in der iCloud sichern soll. Und nein, das iPad „vergisst“ diese Einstellungen nicht.
Ich schätze, auch der Datenschutzbericht für das OS und per App ist umfangreicher geworden. Da ich in letzter Zeit einiges ausprobiert habe, gibt es teilweise so viele Einträge für kontaktierte Gegenstellen, dass meine Augen beim Scrollen müde werden. Da man die Berichte nicht exportieren kann, habe ich kein gesteigertes Interesse, die Domains mit meinem Pi-Hole zu vergleichen. Die Möglichkeiten für ein vernünftiges Wireshark-Protokoll sind auch bei mir nicht gegeben.
Mein persönliches Fazit:
Wer - aus welchen Gründen auch immer (keine Diskussionen bitte) - ein i(Pad)OS verwenden muss, sollte nach jeder App-Installation immer alle Einstellungen kontrollieren.
Das gilt allerdings auch bei Android…
Dazu gehören Berechtigungen (sollte man besser nach dem ersten Start überprüfen), Einstellungen für den Datenschutz und Einstellungen für iCloud.
Bei Android ist es etwas einfacher, dafür sind die Einstellungen für unbedarfte User besser versteckt (falls vorhanden). Meiner Meinung nach.
Unter einer halben Stunde komme ich bei keinem Betriebssystem für die Ersteinrichtung weg und die Zeit sollte man sich auch nehmen.
Zuletzt hat sich Apple einen echten Fauxpas geleistet:
Mit iOS 18.2 hat Apple still und heimlich eingeführt, dass ALLE Mails der „Mail“-App über das Apple’sche Private-Relay abgeholt werden (das kann man unter Einstellungen->Apps->Mail->Datenschutz: „Mail-Aktivität schützen“ und „IP-Adresse verbergen“ wieder so umstellen, dass Mails nicht über Dritte geroutet werden). Bei mir führte das aus Datenschutzgründen (mein Pi-hole unterbindet das natürlich!) dazu, dass ich gar keine Mails mehr empfangen konnte (auch nicht nach meinem ausdrücklichen Wunsch hin dieses Verhalten sein zu lassen!) und erst mit iOS 18.3 werden Mails wieder direkt vom Mail-Server geholt.
Ging IIRC schon länger, dass man einzelne Apps von der iCloud abklemmen kann. Das Problem war eher, dass alles opt-out war (und noch immer ist), dass man also selbst aktiv werden und bei frisch installierten Apps noch vor dem Start aufpassen muss, ob das ins iCloud-Backup soll oder nicht.
Seit es Advanced Data Protection gibt, sehe ich das ein wenig entspannter: die lange erwartete Ende-zu-Ende-Verschlüsselung der iCloud (nicht für alle, aber die meisten Datentypen). Natürlich nicht open-source (wird’s bei Apple nie geben), aber AFAIK mit Security-Audit.
Nach Updates hatte mein iPad schon manchesmal seltsam veränderte Einstellungen … u.a. wird IMMER sofort nach Bluetooth-Geräten in der Umgebung gescanned (bestimmt nur zur Erhöhung deines beseren Lokalisierungserlebnisses 
) und sehr oft hatte ich eine blutrote Warnung in den Systemeinstellungen, mein System sei noch nicht fertigkonfiguriert: Ich hatte mich geweigert auf „ApplePay konfigurieren“ zu drücken. Warum? Weil ich kein ApplePay wollte. Aber so geht es nicht, du MUSST es konfigurieren, um die Warnung wegzubekommen. Das ist das Gegenteil von Opt-In … Du darfst bei Apple auch nicht „nein“ sagen, sondern immer nur „später“. So richtig schön dreist, us-amerikanisch eben: Wir sind alles, du bist nichts. WIR WISSEN, was gut für dich ist. ApplePay. 
Apple weist Dich darauf hin, dass aus dem Einrichtungsprozess noch übersprungene Funktion offen sind. Ich empfinde dieses eigentlich als hilfreich für Anwender die sich beim Einrichtungsprozess noch nicht entschieden haben.
Meine Erfahrung aus anderen Dialogen ist, dass Du diese Dialoge anstarten und wählen kannst, dass Du die Funktion nicht verwenden möchtest. Danach sind die Meldung meiner Erfahrung nach dauerhaft weg.
Ist das bei Apple Pay bei Dir wirklich anders, oder hast Du den Dialog wie Du schreibst einfach nicht gestartet und Deine Entscheidung getroffen?
Ich kann sagen, dass ich bei Sperrung folgender Domänen noch keine Probleme festgestellt habe:
@Galaga Dito
Apple selber beschreibt auf https://support.apple.com/en-us/101555 welche Domains im „Enterprise“-Umfeld für was genutzt werden, was recht hilfreich sein kann, was blocken oder auch nicht blocken angeht.
Ich wurde soeben noch einmal darauf hingewiesen, dass mein System nicht fertig konfiguriert ist. ROTE WARNUNG !! Kreisch!!?? 
Das dürfte etwa das fünfte Mal in den letzten Jahren gewesen sein.
Es ist schlicht irreführende Werbung für das eigene Zahlungssystem - NATÜRLICH nur zu meinem Besten!
Apple wieder gaaanzzz selbstlos.
Irreführend?
Ja, denn ‚mein System‘ ist auch ohne ApplePay voll funktionsfähig. Es liegt keine nicht beendete Konfiguration des Systems vor.
Vor allem WILL ich deshalb auch nicht auf einen Button drücken: „ApplePay konfigurieren“, werde aber dazu gezwungen. Juristisch könnte mir ein Richter entgegenhalten: „Aber durch das Drücken haben sie doch deutlich gemacht, dass sie es konfigurieren WOLLTEN!“
Nein, ich wurde dazu gezwungen, um es NICHT zu bekommen, so zu tun als hätte ich es konfigurieren WOLLEN.
Ähnlich einer Situation beim Pferdehändler:
Auch andere empfinden es so:
Apple Pay: iPhone drängt zur Einrichtung
EU-Wettbewerbskommissarin Margrethe Vestager.
Die EU-Kommission wolle klären, wie verschiedene Payment-Systeme möglich sein können, wenn das iPhone „ziemlich beharrlich“ auf die Einrichtung von Apple Pay dränge, erklärte Vestager gegenüber der Finanznachrichtenagentur Bloomberg.
Sie habe immer noch diese „roten Punkte“, so die Wettbewerbskommissarin in Anspielung auf die iOS-Hinweise zur Einrichtung von Apple Pay.
Auch Nutzer beklagen seit längerem, dass iOS prominent auf eine nicht vorgenommene Inbetriebnahme von Apple Pay verweist: Es taucht ein rotes Kennzeichen am Icon für die Einstellungen auf, das gewöhnlich ein System-Update oder ein Problem signalisiert. Auch in den Einstellungen wird mit rotem Kennzeichen darauf hingewiesen, dass die Einrichtung von Apple Pay noch aussteht. Der Trick besteht darin, das Setup von Apple Pay zu starten und direkt abzubrechen – erst dann verschwindet der Hinweis. Nach einem System-Update taucht der Hinweis auf Apple Pay aber möglicherweise erneut auf, auch im Einrichtungsassistenten, wie Nutzer berichten.
Werbung?
Ja, es ist ein Nudging der extremen Form hin zu einem konkreten weiteren Produkt. Warum wohl will Apple das so unbedingt, dass ich „alles von Apple“-nutze? Wo doch Datenschützer sagen: Nie alles bei einem Anbieter lagern, da dann die Datenmacht exponentiell steige. Wer sowohl deine Emails hat als auch deine Metadaten über dein Onlineverhalten, der weiß nicht nur beides, sondern durch Kombination das zehn Mal Zehnfache über dich.
Und, zusätzlich, vieles wüsste er sonst gar nicht.
Im Datenbereich gilt eben nicht: 1 + 1 = 2, sondern 1 + 1 = 111 !
Mach doch einfach mal die Gegenprobe: Würde Apple auf die Idee kommen, eine andere Zahlungs-App (alles ist eine App) eines anderen Softwareanbieters auf diesem Wege zu bewerben?
Sagen wir eine Datenschutz-App, eine App, die es möglich macht, Safari zu sagen, was sonst jeder Browser kann, nämlich die Tracking-Daten jeder Webseite automatisch nach Beendigung des Surfens einmal zu löschen?
(Ich ahne, warum Google jährlich ca. 20 Milliarden zahlt, wie Heise berichtet.)
Was anderes:
Aber einen Licht-, nein, ooops, Einblick gibt es seit meinen ca. fünfzehn erlebten iOS- und iPadOS-Updates, die mein Bluetooth aktivierten:
Es wurde nun, beim Update auf 18.04, erstmals nicht heimlich* aktiviert! Warum ist das erwähnenswert? Damit fällt mein obiger Versuch, es zu erklären/ zu entschuldigen, in den Mülleimer:
Nein, es diente offenbar doch nicht Körperbehinderten, ihre Geräte sofort wieder zugriffsfähig zu haben.
War auch eigentlich dumm von mir: Denn natürlich hätte Apple schon immer einfach dort Bluetooth aktivieren können, wo Bluetooth vor dem Update auch aktiviert war.
(Wie ja auch sonst viele, leider nicht zuverlässig alle, Einstellungen doch übernommen werden.)
Warum ist das datenschutzmäßig unanständig von Apple gewesen: Per Bluetooth speichert das Gerät Umgebungsdaten ohne sachlichen Grund. Diese Daten können für eine sehr genaue Lokalisierung und Individualisierung (wer ist zur selben Zeit in der Nähe) genutzt werden.
(Meiner Meinung mit ein Grund, warum man so irrsinnig schnell das Corona-Bluetooth auslieferte seitens Google/Apple: Gewöhnung an immer-an-Bluetooth, nachdem man uns an Immer-online-gewöhnt hat.)
Macht man nicht, ist evtl auch illegal, das Kleinstgedruckste mal beiseite gelassen, was dann meist auch illegal ist.
Natürlich kann man argumentieren:
Aber wenn die Daten doch nur auf deinem Gerät gespeichert werden!! Dann ist es doch keine Datenverarbeitung!! Das ist aber naiv. Die Geräte sind vernetzt, die Systeme nicht quelloffen und sie funken ständig verschlüsselt an ihre Hersteller OHNE dir eine Kopie deiner Daten, die versendet werden anzubieten (obwohl technisch trivial):
Du weißt nie sicher, ob nicht jetzt oder morgen, die Daten ausgelesen werden (können).
Im Übrigen: Ein kluger Ehepartner schaut auch einfach mal in die Bluetooth-Sammlung nach Löschung und fragt dann, ähm, räusper: „Warum hast du da in deiner Bluetooth-Liste u.a. einen „Dildo-Scanner“ oder „Whorehouse Connect“ eingetragen?“
Was nicht per DSGVO/BDSG illegal ist, kann immer noch ein Verstoß gegen das Grundrecht auf Informationelle Selbstbestimmung (Art. 1 und 2 GG) sein. Oder einfach, wie hier, unanständig.
Disclaimer: Google-Geräte sind für eine seriöse Nutzung meines Erachtens VÖLLIG indiskutabel. Könnte ich Punkte vergeben, würde ich Apple 95 von 100 möglichen Fehler- und Dreistigkeitspunkten geben, Google bekäme 99.
Mike hat sich mal grundsätzlich geäußert:
Am Ende geht es nicht darum, welches System »besser« ist. Es geht um Prioritäten. Meine liegen bei Transparenz, bei Privatsphäre, bei Kontrolle über mein eigenes Gerät. Ich möchte keine Plattform nutzen, die meine Entscheidungen einschränkt, mir digitale Bequemlichkeit als Fortschritt verkauft und mich dabei zur Datenquelle macht.
Deshalb ist iOS für mich keine Option – und deshalb setze ich auf GrapheneOS. Aus Überzeugung.
https://www.kuketz-blog.de/nicht-mein-system-warum-ich-ios-kritisch-sehe-und-grapheneos-waehle/
Ich finde das richtig und nachvollziehbar.
Dennoch bin ich derzeit selbst (ver-)Appel-n.
Was als Experiment nach Android, dann dem Vorgänger von LineageOS, dann LineageOS begann, endete bei iOS, weil es Empfangsschwierigkeiten gab (die sich durch den Wechsel nicht änderten) und ich grundsätzlich technisch neugierig bin, da ich haber hauptberuflich ziemlich eingespannt bin, und Apple eines wirklich kann, nämlich „verkaufen“, hänge ich hier nun fest: Meine Musiksammlung, meine Hörbücher, meine Filme, meine Bankenzugänge …
Und ich habe noch viel mehr technische Kritik als ich oben zuletzt schrieb, an iOS, das dümmliche-dreiste Fotografierenwollen des Nutzers (seit Jahren), wenn man mit Guthabenkarte auflädt, der sofortige Start des nicht-mehr-stopp-baren Datenuploads ALLER Daten ALLER Apps, wenn man versehentlich zu Anfang mal in die Nähe der iCloud klickt. (Ob Letzteres aktuell noch immer so brachial läuft, weiß ich nicht, ich mache den größtmöglichen Bogen um die iCloud, um das, was ich ca. vier Mal versehentlich auslöste, nicht mehr zu erleben: Sofort, bevor ich das Gerät ausschalten (!) konnte, waren alle Daten der Notizen-App in den USA … die werden zuerst übertragen und da es Text ist, geht es blitzschnell in großen Mengen) und es liegen für mich unerklärliche 120 kB noch immer in der iCloud, die offenbar nicht zu löschen sind etc. etc.
Bei mir steckt das iPhone/iPad zu 90 % des Tages auch hinter einer dicken Firewall bzw. Blacklist (dort unter anderem: icloud.com), sodass ich meinen Abschied noch guten Gewissens verzögere.
Ich tue derzeit ausreichend Gutes für Demokratie, Souveränität und Freiheit, indem ich im beruflichen Alltag ein freies und quelloffenes Linux nutze, bescheide ich mir.
Meine Bewertung habe ich oben schon klar gemacht: Unverschämt und dreist sind fast alle US-Systeme, gerade auch vor dem Hintergrund, dass ihr Rechtssystem über unser Grund- und Menschenrecht Privatheit lacht, weil wir dumme Ausländer sind, also: 99 Schäbigkeitspunkte für Google, 95 für Apple, wir haben bei den - nach den Kartellverfahren gegen Monopole - nun üblichen strategischen Duopolen die Wahl zwischen Regen oder Traufe.
Aber die PR- und Lobby-Arbeit der Konzerne ist immer gezielt gerade so perfekt (weil auch sehr teuer), dass sie für die gewünschten Profitzahlen, ausreichend sind.
Würden wir protestieren, würden sie nach viel Gegenwehr reagieren: Aber gerade soweit, wie es ihnen dringend nötig erschiene. Dafür gibt es zahlreiche Beispiele, man denke nur an Googles Zurückrudern bei der Vergabe einer individuellen Nutzernummer beim Chrome-Browser …
Das klappt heute, bei vollüberwachten Konsumenten hervorragend und hochgranular, ist Geschäftsmodell.
US-Produkte können deshalb immer ausreichend kaufbar sein, weil sie die Kundendaten, Apple vor allem die Kundenkaufkraft (deswegen die irre Gegenwehr gegen Öffnung des Systems derzeit) miteinpreisen.