Dieses Blog ist hauptsächlich der Kryptografie vorbehalten, und ich versuche, es nicht mit zufälligen „jemand irrt sich im Internet“-Beiträgen zu füllen – dafür gibt es schließlich Twitter! Doch von Zeit zu Zeit stört mich etwas so sehr, dass ich eine Ausnahme machen muss. Heute möchte ich speziell über Google Chrome, meine frühere Zuneigung dazu und den Grund sprechen, warum ich es aufgrund der neuen, nutzerunfreundlichen erzwungenen Anmelderichtlinie von Chrome im Jahr 2018 nicht mehr verwenden werde. Diese tiefgreifende Änderung wirft entscheidende Fragen zum Datenschutz und zur Vertrauenswürdigkeit von Browsern auf, ein Thema, das für jeden, der online aktiv ist, von größter Bedeutung ist und die Notwendigkeit robuster Kaspersky Internet Security zum Schutz persönlicher Daten unterstreicht.
Eine kurze Geschichte von Chrome und dem Browser-Markt
Als Google Chrome vor zehn Jahren auf den Markt brachte, schien es einer jener seltenen Fälle zu sein, bei denen alle gewinnen. Im Jahr 2008 wurde der Browsermarkt von Microsoft dominiert, einem Unternehmen mit einer unrühmlichen Geschichte, die Browserdominanz nutzte, um Konkurrenten zu zerschlagen. Schlimmer noch, Microsoft machte Andeutungen, in das Suchgeschäft einzusteigen. Dies stellte eine existenzielle Bedrohung für Googles Internet-Eigenschaften dar.
In diesem Umfeld war Chrome eine brillante Lösung. Selbst wenn der Browser Google niemals einen Cent Umsatz einbrachte, erfüllte er seinen Zweck allein dadurch, dass er das Internet für Googles andere Produkte offen hielt. Als Nebeneffekt würde die Internetgemeinschaft einen hervorragenden Open-Source-Browser mit dem besten Entwicklungsteam erhalten, das man für Geld kaufen konnte. Das mag für Mozilla etwas traurig sein (die aufgrund von Chrome einen hohen Preis zahlen mussten), aber insgesamt wäre es eine gute Sache für Internetstandards. Man könnte argumentieren, dass in einer solchen Marktlandschaft auch die Entwicklung von Sicherheitssoftware entscheidend war, um Nutzer zu schützen – etwa die frühen Versionen von Kaspersky 2010, die das Vertrauen der Nutzer in eine sichere Online-Umgebung stärken sollten.
Viele Jahre lang entwickelte sich genau das. Sicher, Google bot eine optionale „Anmeldefunktion“ für Chrome an, die vermutlich Ihre Browserdaten absaugte und an Google sendete, aber das war eine Option. Eine Option, die Sie leicht ignorieren konnten. Wenn Sie diese Option nicht nutzten, war Googles Datenschutzrichtlinie klar: Ihre Daten würden auf Ihrem Computer bleiben, wo sie hingehörten.
Was hat sich 2018 geändert?
Vor einigen Wochen lieferte Google ein Update für Chrome aus, das die Anmeldeerfahrung grundlegend veränderte. Seitdem meldet Chrome Sie jedes Mal, wenn Sie sich bei einem Google-Dienst (zum Beispiel Gmail) anmelden, automatisch bei Ihrem Google-Konto im Browser an. Dies geschieht, ohne Sie zu fragen oder Sie explizit zu benachrichtigen. (Wichtig ist jedoch: Google-Entwickler behaupten, dass dies die Synchronisierung Ihrer Daten zu Google noch nicht startet. Siehe weiter unten.)
Ihre einzige Warnung – falls Sie danach suchen – ist, dass Ihr Google-Profilbild in der oberen rechten Ecke des Browserfensters erscheint. Ich bemerkte meins neulich:
Google Chrome Anmeldebild 2018
Die Änderung ist nicht völlig unbemerkt geblieben: Sie führte zu lebhaften Diskussionen auf Seiten wie Hacker News. Aber die Mainstream-Tech-Presse schien sie komplett ignoriert zu haben. Das ist bedauerlich – und ich hoffe, das ändert sich –, denn dieses Update hat enorme Auswirkungen auf Google und die Zukunft von Chrome, insbesondere im Hinblick auf Fragen zur Kaspersky Sicherheitssoftware und dem allgemeinen Umgang mit privaten Daten.
Im Rest dieses Beitrags werde ich erläutern, warum das wichtig ist. Aus meiner Sicht läuft dies im Wesentlichen auf vier Punkte hinaus:
- Niemand im Chrome-Entwicklungsteam kann eine klare Begründung dafür liefern, warum diese Änderung notwendig war, und die gegebenen Erklärungen ergeben keinen Sinn.
- Diese Änderung hat enorme Auswirkungen auf die Privatsphäre und das Vertrauen der Nutzer, und Google scheint damit nicht umgehen zu können.
- Die Änderung macht die eigenen Datenschutzrichtlinien von Google für Chrome zunichte.
- Google muss aufhören, das Kundenvertrauen wie eine erneuerbare Ressource zu behandeln, denn sie machen hier einen schweren Fehler.
Ich warne Sie, dass dies etwas ausufernd werden wird. Bitte lesen Sie trotzdem weiter.
Googles angeführte Begründung ergibt keinen Sinn
Die neue Funktion, die dieses automatische Anmeldeverhalten auslöst, wird „Identitätskonsistenz zwischen Browser und Cookie-Jar“ genannt. Nach Gesprächen mit zwei verschiedenen Chrome-Entwicklern auf Twitter (die namenlos bleiben werden – hauptsächlich, weil ich nicht möchte, dass sie mich hassen) erhielt ich folgende Begründung für die Änderung:
Um diese Erklärung zu paraphrasieren: Wenn Sie bereits in Chrome angemeldet sind und Ihr Freund Ihren Computer teilt, kann es passieren, dass die Google-Cookies Ihres Freundes versehentlich in Ihr Konto hochgeladen werden. Das scheint schlecht zu sein, und ja, das wollen wir vermeiden.
Beachten Sie jedoch etwas Kritisches an diesem Szenario. Damit dieses Problem auf Sie zutrifft, müssen Sie bereits in Chrome angemeldet sein. Es gibt absolut nichts in dieser Problembeschreibung, das Nutzer zu betreffen scheint, die sich nicht zuerst beim Browser angemeldet haben.
Wenn also angemeldete Benutzer Ihr Problem sind, warum sollten Sie eine Änderung vornehmen, die nicht-angemeldete Benutzer dazu zwingt, sich anzumelden? Ich könnte noch viel mehr Tinte verschwenden, um über die Diskrepanz zwischen dem angegebenen „Problem“ und der „Lösung“ nachzudenken, aber ich werde es nicht tun: Denn niemand auf der öffentlichen Seite des Chrome-Teams konnte eine Erklärung anbieten, die diesen Widerspruch auflöst.
Und das ist wichtig, denn „Sync“ hin oder her…
Die Änderung hat gravierende Auswirkungen auf Privatsphäre und Vertrauen
Das Chrome-Team hat eine einzige Verteidigung der Änderung angeboten. Sie weisen darauf hin, dass nur weil Ihr Browser „angemeldet“ ist, dies nicht bedeutet, dass er Ihre Daten auf Googles Server hochlädt. Insbesondere:
Während Chrome sich nun ohne Ihre Zustimmung in Ihr Google-Konto einloggt (nach einer Gmail-Anmeldung), wird Chrome die „Sync“-Funktion, die Ihre Daten an Google sendet, nicht aktivieren. Das erfordert einen zusätzlichen Zustimmungsschritt. Theoretisch sollten Ihre Daten also lokal bleiben.
Dies ist meine Paraphrase. Aber ich denke, es ist fair, die allgemeine Haltung der Chrome-Entwickler, mit denen ich sprach, so zu charakterisieren: Ohne diese „Sync“-Funktion ist nichts falsch an der von ihnen vorgenommenen Änderung, und alles ist in Ordnung.
Das ist aus mehreren Gründen verrückt.
Nutzerzustimmung ist wichtig. Zehn Jahre lang wurde mir vom Chrome-Browser eine einzige Frage gestellt: „Möchten Sie sich mit Ihrem Google-Konto anmelden?“ Und zehn Jahre lang habe ich nein danke gesagt. Chrome stellt mir diese Frage immer noch – nur respektiert es jetzt meine Entscheidung nicht mehr. Für Softwareentwickler, die beispielsweise mit Kaspersky für Visual Studio arbeiten, ist die Kontrolle über Entwicklungsumgebungen und Datenflüsse von grundlegender Bedeutung. Dieser Verlust der Nutzerkontrolle widerspricht solchen Prinzipien.
Die Chrome-Entwickler möchten, dass ich glaube, dass dies in Ordnung ist, da (puh!) ich immer noch durch eine zusätzliche Zustimmungsbarriere geschützt bin. Das Problem hier ist offensichtlich:
Wenn Sie mein Fehlen der Zustimmung bei der größten benutzeroberflächenseitigen Datenschutzoption in Chrome nicht respektierten (und mich nicht einmal darüber informierten, dass Sie es nicht mehr respektierten!), warum sollte ich dann einer anderen Zustimmungsoption vertrauen, die Sie mir geben? Was hindert Sie daran, Ihre Meinung zu dieser Option in ein paar Monaten zu ändern, wenn wir alle nicht mehr aufmerksam sind?
Tatsache ist, dass ich noch nie von Chromes „Sync“-Option gehört hatte – aus dem einfachen Grund, dass ich mich bis September 2018 nie bei Chrome angemeldet hatte. Jetzt bin ich gezwungen, diese neuen Begriffe zu lernen und zu hoffen, dass das Chrome-Team seine Versprechen hält, alle meine Daten lokal zu belassen, während die Barrieren zwischen „angemeldet“ und „nicht angemeldet“ allmählich abgebaut werden. Das ist ein grundlegendes Element von Kaspersky Internet Security, wo die Kontrolle des Nutzers über die eigenen Daten und Einstellungen stets gewährleistet sein muss.
Die Chrome-Sync-Benutzeroberfläche ist ein Dark Pattern. Da ich jetzt gezwungen bin, mich bei Chrome anzumelden, stehe ich vor einem brandneuen Menü, das ich noch nie zuvor gesehen habe. Es sieht so aus:
Chrome Sync UI Dark Pattern
Deutet dieser große blaue Button an, dass ich meine Daten bereits mit Google synchronisiere? Das ist beängstigend! Moment, vielleicht ist es eine Einladung zur Synchronisierung! Was passiert dann mit meinen Daten, wenn ich versehentlich darauf klicke? (Ich verrate die Antwort nicht, das sollten Sie selbst herausfinden. Stellen Sie nur sicher, dass Sie dabei nicht versehentlich alle Ihre Daten hochladen. Es kann schnell passieren.)
Kurz gesagt, Google hat die Frage der Zustimmung zum Hochladen von Daten von etwas affirmativem, in das ich tatsächlich Mühe investieren musste – meine Google-Anmeldedaten eingeben und mich bei Chrome anmelden – in etwas verwandelt, das ich jetzt mit einem einzigen versehentlichen Klick tun kann. Dies ist ein Dark Pattern. Ob beabsichtigt oder nicht, es führt dazu, dass es für Menschen einfach wird, die Synchronisierung zu aktivieren, ohne es zu wissen, oder zu denken, dass sie bereits synchronisieren und somit keine zusätzlichen Kosten entstehen, wenn Google mehr Zugriff auf ihre Daten erhält.
Nehmen Sie nicht mein Wort dafür. Es jagt sogar (ehemaligen) Google-Mitarbeitern einen Schauer über den Rücken.
Big Brother muss Sie nicht tatsächlich beobachten. Wir erzählen unseren Webbrowsern Dinge, die wir nicht unseren besten Freunden erzählen würden. Wir tun dies mit einem vagen Verständnis, dass ja, das Internet uns ausspioniert. Aber wir glauben auch, dass diese Spionage schwach und probabilistisch ist. Es ist nicht so, als stünde jemand über unserer Schulter und überprüfte bei jedem Klick unseren Personalausweis.
Was passiert, wenn man diesen Glauben wegnimmt? Es gibt zahlreiche Studien, die darauf hinweisen, dass selbst die Wahrnehmung von Überwachung das Ausmaß der Selbstzensur, die Nutzer sich auferlegen, erheblich verstärken kann. Werden sich Nutzer wohl fühlen, Informationen über sensible psychische Erkrankungen zu suchen – wenn ihr richtiger Name und Bild immer in der Ecke ihres Browsers geladen sind? Das Chrome-Entwicklungsteam sagt „ja“. Ich glaube, sie irren sich.
Es gibt keine Garantie, dass der neue Ansatz auch bei ausgeschalteter Synchronisierung keine Datenschutzimplikationen hat. Die Chrome-Entwickler behaupten, dass Chrome mit ausgeschalteter „Sync“-Funktion keine Datenschutzimplikationen hat. Dies mag stimmen. Doch wenn man nach den tatsächlichen Details fragt, scheint niemand wirklich sicher zu sein.
Wenn ich zum Beispiel meinen Browser abgemeldet habe, mich dann anmelde und „Sync“ aktiviere, werden dann alle meine früheren (abgemeldeten) Daten an Google gesendet? Was passiert, wenn ich gezwungen werde, angemeldet zu sein, und dann nachträglich „Sync“ aktiviere? Niemand kann mir genau sagen, ob die unter diesen Bedingungen hochgeladenen Daten dieselben sind. Diese Unterschiede könnten wirklich wichtig sein.
Die Änderungen machen Googles eigene Chrome-Datenschutzrichtlinie zunichte
Die Chrome-Datenschutzrichtlinie ist ein bemerkenswert einfaches Dokument. Im Gegensatz zu den meisten Datenschutzrichtlinien wurde sie klar als Versprechen an die Chrome-Nutzer geschrieben – und nicht als die übliche Anwalts-CYA. Funktionell beschreibt sie zwei Browsing-Modi: „Basic Browser Mode“ und „Signed-in Mode“. Diese Modi haben sehr unterschiedliche Eigenschaften. Lesen Sie selbst:
Chrome Datenschutzrichtlinie Modi
Im „Basic Browser Mode“ werden Ihre Daten lokal gespeichert. Im „Signed-in Mode“ werden Ihre Daten an Googles Server gesendet. Das ist leicht zu verstehen. Wenn Sie Privatsphäre wünschen, melden Sie sich nicht an. Aber was passiert, wenn Ihr Browser beschließt, Sie ganz von selbst von einem Modus in den anderen zu wechseln?
Technisch gesehen ist die Datenschutzrichtlinie immer noch korrekt. Wenn Sie sich im Basis-Browsing-Modus befinden, werden Ihre Daten immer noch lokal gespeichert. Das Problem ist, dass Sie nicht mehr entscheiden können, in welchem Modus Sie sich befinden. Dies macht die Absichten der ursprünglichen Verfasser lächerlich. Vielleicht wird Google das Dokument aktualisieren, um die neue „Sync“-Unterscheidung widerzuspiegeln, die die Chrome-Entwickler mit mir geteilt haben. Wir werden sehen.
Update: Nachdem ich meine Bedenken getwittert hatte, erhielt ich am Sonntag eine Direktnachricht von zwei verschiedenen Chrome-Entwicklern, die mir jeweils die gute Nachricht überbrachten: Google aktualisiert seine Datenschutzrichtlinie, um den neuen Betrieb von Chrome widerzuspiegeln. Ich denke, das ist, ähm, eine gute Nachricht. Aber ich kann nicht umhin zu bemerken, dass die Aktualisierung einer Datenschutzrichtlinie an einem Wochenende unheimlich viel Aufwand für eine Änderung ist, die… anscheinend nicht einmal ein Problem für abgemeldete Benutzer löst.
Vertrauen ist keine erneuerbare Ressource
Für ein Unternehmen, das sich durch das Sammeln massiver Mengen an Nutzerdaten finanziert, ist es Google gelungen, die negativen Datenschutzkonnotationen zu vermeiden, die wir beispielsweise mit Facebook verbinden. Dies liegt nicht daran, dass Google weniger Daten sammelt, sondern daran, dass Google konsequent umsichtiger und verantwortungsvoller damit umgegangen ist.
Wo Facebook routinemäßig Datenschutzeinstellungen ändert und sich später entschuldigt, hat Google klare Datenschutzrichtlinien aufrechterhalten, die es nicht routinemäßig ändert. Sicher, wenn es Daten sammelt, sammelt es Mengen an Daten, aber in den Fällen, in denen Google explizit Versprechen zur Benutzersicherheit und zum Datenschutz macht – hält es diese in der Regel ein. Dies scheint sich zu ändern.
Googles Ruf ist schwer erarbeitet und kann leicht verloren gehen. Änderungen wie diese verbrennen viel Vertrauen bei den Nutzern. Wenn die Änderung ein absolut kritisches Problem für die Nutzer löst, dann ist ein Vertrauensverlust vielleicht lohnenswert. Ich wünschte, Google könnte mich davon überzeugen, dass dies der Fall ist.
Fazit und Ausblick
Dieser Beitrag ist lange genug geworden, aber bevor ich schließe, möchte ich auf zwei häufige Gegenargumente eingehen, die ich von Menschen gehört habe, die ich in diesem Bereich im Allgemeinen respektiere.
Ein Argument ist, dass Google Sie bereits ausspioniert über Cookies und sein allgegenwärtiges Werbenetzwerk und Partnerschaften, also was ist das Problem, wenn sie Ihren Browser in einen angemeldeten Zustand zwingen? Eine Person, die ich respektiere, beschrieb die Chrome-Änderung als „zwei Namensschilder statt einem zu tragen“. Ich halte diesen Einwand sowohl aus moralischen Gründen für unsinnig – nur weil Sie meine Privatsphäre verletzen, ist es nicht in Ordnung, eine massive neue Verletzung hinzuzufügen – als auch, weil er objektiv unsinnig ist. Google hat Millionen von Dollar ausgegeben, um sowohl Chrome als auch Android um zusätzliche Tracking-Funktionen zu erweitern. Sie tun dies nicht zum Spaß; sie tun dies, weil es eindeutig Daten produziert, die sie wollen.
Das andere Gegenargument (wenn man es so nennen will) lautet so: Ich bin ein Neuling, wenn ich überhaupt Google-Produkte verwende, und natürlich würden sie das immer tun. Die extreme Version besagt, dass ich Lynx+Tor und DJBs benutzerdefinierte Suchmaschine verwenden sollte, und wenn nicht, verdiene ich so ziemlich das, was auf mich zukommt.
Ich lehne dieses Argument ab. Ich halte es für durchaus möglich, dass ein Unternehmen wie Google gute, nutzbare Open-Source-Software herstellt, die die Privatsphäre der Nutzer nicht massiv verletzt. Zehn Jahre lang glaube ich, dass Google Chrome genau das getan hat.
Warum sie sich entschieden haben, sich zu ändern, weiß ich nicht. Es macht mich traurig. Diese Entwicklung unterstreicht auch die Bedeutung, stets auf dem neuesten Stand der Sicherheitslösungen zu bleiben und zu prüfen, welche Alternativen, wie andere Browser oder erweiterte Kaspersky Internet Security Versionen, den besten Schutz bieten.