Datenschutz - auch dieser "Standpunkt Sicherheit" dreht sich wieder einmal um das schier unerschöpfliche Thema: Es geht natürlich um Googles neuesten Datensammler Chrome, außerdem gibt es auch Ergebnisse vom Datenschutzgipfel im Bundesinnenministerium.

Google findet alles - auch Fettnäpfchen

Google veröffentlicht einen eigenen Webbrowser, natürlich als Beta-Version (was außer der Suchmaschine ist bei Google eigentlich nicht Beta?) - und setzt sich damit richtig in die Nesseln. Während bisher die Beta-Versionen von Google-Produkten relativ ausgereift waren, scheint man diesmal tatsächliche Bananensoftware ausgeliefert zu haben. Besonders beachtlich: Google stolpert gleich zwei Mal über altbekannte, längst erledigte Probleme.

Google weiß alles?!?

Google unterhält vermutlich die größte Informationssammlung auf diesem Planeten (vielleicht mal abgesehen von den verschiedenen Geheimdiensten, aber da ist ja alles so geheim, dass der eine nicht weiß, was der andere weiß) - und trotzdem wiederholt man dort zwei Fehler, die eigentlich sogar ohne Suchmaschine noch nicht vergessen sein sollten. Da ist zum einen die alte Schwachstelle im Webkit. Die wurde ursprünglich in Safari gefunden und so breit getreten, dass jeder Browserentwickler davon gehört haben sollte, sofern er nicht den Sommer auf einer einsamen Insel verbracht hat. Vor allem, wenn er die gleiche Grundlage wie Safari verwendet: Webkit. Bei Google scheint man davon aber nichts mitbekommen zu haben. Peinlich, oder?

Noch peinlicher ist aber der zweite Fehler: "Alle ihre hiermit erstellten Daten gehören uns", der Meinung war Adobe Ende März, als bei der Veröffentlichung von Photoshop Express ziemlich "einnehmende" Nutzungsbedingungen verwendet wurden. Es dauerte nicht lange, und Adobe musste zurückrudern: War ja alles gar nicht so gemeint. Auch davon scheint man bei Google nichts mitbekommen zu haben. Scheint ja ein ziemlich müder Haufen zu sein, oder wie soll man das sonst erklären? Nun, wer die Geschichte verpennt, muss sie eben wiederholen - und genau das hat Google mit den Nutzungsbedingungen von Chrome gemacht. Inzwischen rudert auch Google zurück: Das "Alle erstellten Daten gehören uns" wurde aus den Nutzungsbedingungen von Chrome gestrichen, das gilt nur für einige andere Google-Dienste (schlimm genug, oder?).

Google ist nicht böse

Meint Google. Das haben aber wohl auch fast alle anderen Bösewichte der Weltgeschichte von sich behauptet, oder? Mal schauen, was Google alles erfährt, wenn man Chrome verwendet:

"Bei der Verwendung von Google Chrome an Google gesendete Informationen
Zum Verwenden und Herunterladen von Google Chrome müssen keine persönlichen Informationen angegeben werden."

Das ist auch gar nicht notwendig, denn...

"Falls Sie Google Chrome herunterladen oder zum Herstellen einer Verbindung mit den Servern von Google verwenden, empfängt Google nur standardmäßige Protokollinformationen wie die IP-Adresse Ihres Computers und einige Cookies."

... jeder, der einen Google-Account hat, identifiziert sich über seinen Cookie.

"Sie können Google Chrome wie hier erläutert so konfigurieren, dass keine Cookies an Google oder andere Websites gesendet werden."

Gilt das auch für das erste Herunterladen von Chrome? Es würde mich ja brennend interessieren, wie man Chrome gleich beim ersten Mal mit Chrome herunterlädt... Magie?

"Darüber hinaus werden von einigen Funktionen von Google Chrome begrenzte weitere Informationen an Google gesendet:

In die Adressleiste eingegebene URLs oder Suchanfragen werden an Google gesendet, damit von der Vorschlagsfunktion automatisch gesuchte Begriffe oder URLs empfohlen werden können. Falls Sie Nutzerstatistiken an Google senden möchten und Sie eine vorgeschlagene Suchanfrage oder URL akzeptieren, sendet Google Chrome diese Information ebenfalls an Google. Sie können diese Funktion wie hier erläutert deaktivieren."

Wie viele Benutzer werden wohl dieses nützliche Feature abschalten?

"Von Ihnen aufgerufene nicht vorhandene URLs werden möglicherweise an Google gesendet, damit wir Ihnen bei der Suche nach der gewünschten URL helfen können. Sie können diese Funktion wie hier erläutert deaktivieren."

Was geht es Google an, welche nicht existierenden URL angesurft werden? OK, kann man abschalten, aber... s.o. Und wann ist 'möglicherweise' - immer, außer jeden dritten Sankt-Nimmerleins-Tag, wenn der auf einen Freitag den 13. fällt? Schwammiger gehts wohl kaum.

"Die Funktion "Sicheres Durchsuchen" stellt regelmäßig eine Verbindung zu den Servern von Google her, um die aktuellste Liste bekannter Phishing- und Malware-Websites herunterzuladen. Zusätzlich wird, wenn Sie eine Website besuchen, die eine Phishing- oder Malware-Website sein könnte, von Ihrem Browser eine verschlüsselte Kopie eines Teils der URL dieser Website an Google gesendet, sodass wir weitere Informationen über diese potentiell gefährliche URL senden können. Google kann die reale URL, die Sie besuchen, aus diesen Informationen nicht bestimmen. Weitere Informationen erhalten Sie hier."

Hey, das ist gut: "Sicheres Durchsuchen". Ist der Bundestrojaner bereits fester Bestandteil von Chrome? Wurde die Entwicklung von Chrome vom Bundesinnenministerium gesponsert? Nein, keine Angst, im Original heißt das "SafeBrowsing" - Google Translate ist halt noch nicht perfekt (ist ja auch noch Beta), und für einen menschlichen Übersetzer war bei der Überarbeitung wohl keine Zeit.

"Ihre Kopie von Google Chrome enthält mindestens eine eindeutige Anwendungsnummer. Diese Nummern und Informationen zur Installation des Browsers (z. B. Versionsnummer, Sprache) werden bei der erstmaligen Installation und Verwendung der Anwendung und bei der automatischen Update-Prüfung von Google Chrome an Google gesendet. Falls Sie Nutzungsstatistiken und Ausfallberichte an Google senden, werden uns diese Informationen sowie eine eindeutige Anwendungsnummer vom Browser übermittelt. Ausfallberichte enthalten Informationen aus Dateien, Anwendungen und Diensten, die zum Zeitpunkt eines Problems ausgeführt wurden. Mithilfe von Ausfallberichten können Browserprobleme diagnostiziert und behoben werden."

Was würde das wohl für ein Geschrei geben, wenn das nicht das gute Google, sondern das böse Microsoft machen würde? Eine eindeutige ID, die munter mit allen Daten verknüpft wird, die der Browser sonst noch so nach Hause telefoniert...

"Sie können Google mithilfe von Google Chrome als Suchmaschine festlegen und Sie können mit Google Chrome auch auf andere Dienste von Google zugreifen, wie z. B. Google Mail. Die Datenschutzbestimmungen von Google Mail oder anderen Diensten gelten unabhängig vom verwendeten Browser, sobald sie auf diese Dienste zugreifen. Es werden keine persönlichen Informationen an Google gesendet, wenn Sie über Google Chrome eine Verbindung mit Diensten von Google herstellen."

Was sollte da auch noch zusätzlich übertragen werden? Die Daten hat Google doch schon längst.

Also mir fällt kein einziger Grund ein, warum ich Chrome verwenden sollte. Dafür aber reichlich viele, warum ich es nicht tun sollte. Und sollte ich jemals den unbezähmbaren Drang spüren, mich ganz dringend ausspionieren lassen zu wollen, dann doch bitte vom Bundestrojaner - soviel Patriotismus muss sein. Außerdem kann ich dann sicher sein, dass der BND die US-Geheimdienste ausführlich informiert, dafür sorgt unser Innenminister schon. Ob aber die US-Dienste den BND in vollem Umfang informieren, da bin ich mir nicht so sicher.

Das BSI warnt: Chrome gefährdet Ihre Daten!

Die bekannt gewordenen Schwachstellen und Nutzungsbedingungen reichen aus, um eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) auszulösen. Das hat, soweit ich mich erinnere, bisher noch keine Nicht-Schadsoftware geschafft - Herzlichen Glückwunsch, Google!

Dr. Schäuble, übernehmen Sie!

Nein, nicht die Datensammlung von Google. Obwohl er das sicher gerne tun würde. Aber zurzeit ist unser Bundesinnenminister in anderer Mission unterwegs: Die Stärkung des Datenschutz ist angesagt. Zur Verhinderung weiterer Datenschutzskandale sollen persönliche Daten in Zukunft nur noch mit Zustimmung der Betroffenen gehandelt werden dürfen. Wunderbar, das sollte die unerlaubte Weitergabe der Daten ja wohl verhindern. Allerdings sehe ich da zwei Probleme: Zum einen muss die Zustimmung irgendwie erfasst werden - was vermutlich wieder verklausuliert im kleinstgedruckten Kleingedruckten erfolgt, direkt neben der Einwilligung zum Telefonspam. Da, wo dann "Wenn nicht erwünscht, bitte streichen" steht... deutlich zu lesen, nachdem man den Vertrag unters Elektronenmikroskop gelegt hat. Und dann ist da die angedachte Kennzeichnungspflicht mit einem Herkunftsnachweis - im Prinzip eine gute Idee, und in Form von digitalen Wasserzeichen z.B. in Bilddateien auch sehr gut umsetzbar. Aber in Adressdaten etc. dürfte eine solche Kennzeichnung schwierig werden. Mit einem Wasserzeichen ist da nicht viel zu machen, und fügt man die Information einfach als Klartext an, kann sie manipuliert oder entfernt werden. Bliebe noch die Möglichkeit, Daten und Herkunftsnachweis digital zu signieren - aber das ist ein ziemlicher Aufwand, und ich bezweifle, das man sich dazu durchringen wird. Aber warten wir erst einmal ab, bis die jetzigen Ideen durch die Mühlen der Gesetzgebung durch sind. Vielleicht bleibt dann ja gar nichts mehr übrig, was man noch in neue Gesetze gießen und umsetzen muss...

Carsten Eilers