Die Datenkrake Google schiesst mit ihrem Chrome-Browser den Vogel ab. Anscheinend will sich der Suchriese und weltgrösster Datensammler nicht mit seiner ohnehin schon mehr als bedenklichen Sammelwut an personenbezogenen Daten begnügen. Jetzt soll die Menschheit auch noch Googles Datenspion auf dem eigenen Computer installieren. Während einige in naiver Technikverliebtheit voll des Lobes sind, sind andere voll Sorge ob der schamlosen Missachtung der Privatsphäre durch Google, denn sie haben Google Chrome’s Anmerkung zum Datenschutz und die Google Chrome Nutzungsbedingungen aufmerksam gelesen. Angeblich kann man einige der Datensammelfunktionen deaktivieren – wenn man weiss wo und wie. Da dies niemandem auf die Nase gebunden wird, wissen es die wenigsten.
Googles Sorge um die Sicherheit der Benutzer wirkt schon fast höhnisch. Mit der Funktion „Sicheres Durchsuchen“ will Google seine Nutzer vor Phishing- und Malware-Websites schützen. Das heisst im Klartext, dass jede Adresse an Google (zur Prüfung) übermittelt wird, bevor sie effektiv aufgerufen wird, so diese auf der Liste der regelmässig heruntergeladenen Liste der gefährlichen Websites aufgeführt ist. Bedenklich ist, dass dabei vom Chrome Browser „eine verschlüsselte Kopie eines Teils der URL dieser Website an Google gesendet“ wird. Wozu die Verschlüsselung? Was will Google damit verbergen?
Weiter heisst es: „Ihre Kopie von Google Chrome enthält mindestens eine eindeutige Anwendungsnummer“. Auf klar Deutsch heisst das: „Jeder Anwender erhält eine eigene Identifikationsnummer“. Dies steht dann auch im Widerspruch zum letzten Satz des gleichen Abschnittes: „Es werden keine persönlichen Informationen an Google gesendet, wenn Sie über Google Chrome eine Verbindung mit Diensten von Google herstellen“. Anscheinend hat Google ein etwas anderes Verständnis von „persönlichen Informationen“ als der Rest der Welt. Weiter faselt Google sogar etwas von „anonym browsen“ und einem „anonymem Modus“, was beim Leser wohl absichtlich einen gänzlich falschen Eindruck hinterlassen und sein Vertrauen wecken soll. Damit ist aber noch nicht genug. Chrome speichert auch noch „Abbilder der meisten besuchten Seiten“ und alle Cookies sowie auch einen „Datensatz aller Downloads“ (was immer auch darunter zu verstehen ist) auf dem Rechner seines Benutzers, um später bei Bedarf jederzeit darauf zurückgreifen zu können. Auffällig ist zudem, dass Google seine allgemeine Datenschutzerklärung auf den Zeitpunkt der Veröffentlichung des Chrome Browsers hin noch etwas angepasst hat.
Bislang konnte nicht einmal Mozilla Firefox der marktbeherrschenden Vormachtstellung von Microsofts Internet Explorer etwas anhaben, auch wenn er es bereits auf einen weltweiten Marktanteil von über 25% gebracht hat. Nach Googles Ansicht ist es nun Zeit für mehr Konkurrenz, um den Wettbewerb zu beleben. Damit pinkelt Google seinem Rivalen aus Redmond mächtig ans Bein, denn in erster Linie geht es Google nicht darum, den Internet Explorer abzulösen, sondern über Chrome seine Online-Applikationen wie Google Text und Tabellen, den Google Kalender oder Google Mail als Microsoft Office Killer unters Volk zu bringen und so Microsofts Einnahmen aus dem Verkauf von Softwarelizenzen zu schmälern. Wenn Microsoft weniger einnimmt, hat Microsoft weniger Geld, das für die Entwicklung von Microsofts eigener Suchmaschine „Live Search“ oder anderen Konkurrenzprodukten zur Verfügung steht. Desweiteren erschliesst Chrome Google einen direkteren Zugang zum Rechner seines Nutzers, um dessen Nutzungsgewohnheiten besser auskundschaften und ihm personalisierte Werbung ungehindert (d.h. nicht durch Plugins wie den „Adblock Plus“ unterdrückt) auf den Bildschirm schicken zu können. Mit Chrome schlägt Google also gleich zwei Fliegen auf einen Schlag. Das verdient unser aller (wenn auch sehr zweifelhaften) Respekt!
Ich möchte allerdings nicht verheimlichen, dass mir die neuen Funktionen von Chrome aus rein technischer Sicht durchaus gefallen und mich teilweise sogar beeindrucken. Trotzdem darf das nicht über den bisher massivsten Eingriff Googles in unsere Privatsphäre hinwegtäuschen. Der Google Chrome Browser ist Spyware! Wie man sich unter anderem auch davor weitgehend schützen kann, habe ich bereits im Beitrag „Sicher im Internet unterwegs“ beschrieben.
Google Chrome sollte man keinerlei mer beachtung schenken, ist ja klar das Google mit Chrome das Verhalten des Users noch besser studieren möchten.
Aus einem Haufen „lächerlicher Datensätze“ lassen sich ein ganzer Haufen an Informationen ableiten, die wiederum mit anderen Informationen verknüpft werden. Du hast wohl noch nie in dieser Branche gearbeitet.
Warum macht sich eigentlich kaum einer Gedanken darüber, wozu Google sich den Hashwert einer URL oder sonstige Daten schicken lässt, die für die eigentliche Funktion völlig überflüssig ist? Kann man wirklich so naiv sein? Die Verknüpfung dieser Infos erfolgt über die sogenannte Application ID, die in Wahrheit eine User ID ist. Google will auch hier mit einem Wortspiel von der Wahrheit ablenken. Es ist nicht immer leicht, Googles wahre Absichten zu erkennen, auch wenn sie immer dem gleichen Muster folgen.
Man nehme OpenSource Code, baue daraus einen eigenen Browser, würze ihn mit Spyware und Adware – dem Pfeffer und Salz der Datensammler – und nenne das Ergebnis „Chrome“. Um sich der zu erwartenden Kritik an Fehlfunktionen und Sicherheitslücken zu entziehen, deklariere man das Ergebnis als Beta-Version und gebe den Trojaner der Allgemeinheit zum Testen frei. Man freue sich über die zahlreichen Downloads und sammle die „lächerlichen Datensätze“, die automatisch eintrudeln. Es ist nicht alles Chrom, was glänzt!
1) Entschuldige, ich habe deinen Satz etwas fälschlich Interpretiert.
Hashwerte zum Testen gegen Black/Whitelists sind vollkommen üblich. Doch verschiedene URLs können den selben Hash Wert haben, wenn dies der Fall ist darf nicht einfach die URL nach google übertragen werden, da diese private Informationen (passwörter, etc) enthalten könnte. Daher wird der Hash übertragen.
Google könnte die passenden blacklist URLs zu den hashes speichern, was ein rückschluss auf die besuchten Blacklist Seiten einer bestimmten IP erlauben würde. Doch mal im ernst.. das sind lächerliche Datensätze wenn man bedenkt was Google allgemein sonst protokollieren könnte.
2) Warum genau man solche unique application numbers wirklich braucht erschließt sich mir auch nicht. Es ist jedoch nicht unüblich (Firefox, Microsoft allgemein) solche nummern in automatisierten Update Diensten zu verwenden. Der Updater von Google prüft nicht beim Programmstart, sondern alle 25 stunden. Es steht dir frei die offline install oder nightly build zu verwenden welche den updater nicht enthalten -> keine app id.
Ich bezweifle nur die Nutzbarkeit dieser Information. Nicht jeder ist 24h online, und für ordentliche statistische Auswertungen braucht man ansatzweise sichere Daten und die kann man hieraus nur für kurze Zeiträume gewinnen.
3) Im Gegensatz zu manch anderen Browsern informieren sie wenigstens genau darüber. Interpretationsspielraum hat man in vielen juristischen Texten, aber es ist immer noch besser als nix zu diesem Thema zu sagen.
4) Das ist keine Fehlinformation, das ist vollkommen richtig. Der Browser selbst wird aus dem selben source kompiliert welcher als Chromium veröffentlich wird. Dazu zählt jedoch nicht z.B. der updater welcher ein eigenständiges Programm ist.
5) Wie gesagt, es gibt installer komplett ohne diesen Updater.
6) Fehlinterpretertion deiner bewusst undurchsichtig Formulierten Aussage zum Phishing Schutz, ja. Aber Halbwissen sicher nicht, danke.
Zu Adblock:
Jupp, Chrome fehlen noch einige Features die ihn zu einem vollwertigen Ersatz für anderen Browser machen könnten. Aber ich denke für einen ersten Release ist das wirklich ordentlich.
Grüße,
Dennis
@Dennis:
1) Zum Thema „Phishing Schutz“: Richtig, es wird nicht jeder Besuch einer Seite an Google gemeldet. Hättest du meinen Satz zu Ende gelesen, hättest du eventuell bemerkt das da noch eine Bedingung steht, die erfüllt sein will, bevor Chrome Daten zu Google schickt. Wenn Google den Hashwert nicht interpretieren könnte, hätte es wohl keinen Sinn, diesen an Google zu schicken. Daraus schliesst der Logiker, …
2) Es würde vollends genügen, beim Update die Nummer der aktuellen installierten Version zu übermitteln, damit das Delta nachgeladen werden kann. Wenn Google bei jedem Start von Chrome meine IP-Adresse mitgeteilt bekommt, kann Google recht genau verfolgen, welche Websites ich besuche, auch wenn ich keine sitefremden Cookies akzeptiere. Schliesslich beherbergt die grosse Mehrheit Google Analytics (weil’s halt kostenlos und so praktisch ist) oder bezieht Google Ads von den Google Syndication Servern (um mit Werbung ein paar Cents zu verdienen). Da auch vom ISP zugeteilten dynamisch IP-Adressen in der Regel 24 Stunden lang gültig sind, weiss Google recht genau, wo du dich so rumtreibst. Deshalb ist die Anwendungsnummer sehr gut zur Identifikation des Nutzers geeignet – und schliesslich ist das ihr einziger Zweck.
3) Googles Informationspolitik ist alles andere als vorbildlich! Es wird bewusst viel Interpretationsspielraum gelassen und die Wahrnehmung des Lesers in falsche Bahnen gelenkt. Wie du vielleicht bemerkt hast, habe ich dies in meinem Satz, den du unter Punkt 1) falsch interpretiert hast, genau gleich gemacht. Und du bist mir voll auf den Leim gegangen, weil du nicht richtig gelesen hast! So manipuliert auch Google die Wahrnehmung seiner Leser. Ich tu sowas sonst nicht, aber diesmal konnte ich es mir nicht verkneifen. Danke, dass du dich als „Opfer“ geoutet hast!
4) Dass der ganze Code des Chrome Browsers Open Source sei, ist ebenfalls eine Fehlinformation bzw. Fehlinterpretation! Richtig ist, dass Chrome Open Source enthält. Nicht der ganze Code von Chrome ist Open Source! „Chromium is the open-source project behind Google Chrome“. Man bemerke den feinen Unterschied! Ich verzichte an dieser Stelle auf weitere Ausführungen, denn dazu haben andere schon genug geschrieben: siehe http://www.standart-tolleranz-maschiene.de/archives/186-Google-Chrome-Es-ist-nicht-alles-Gold-was-glaenzt.html und http://www.datenschutzbeauftragter-online.de/google-chrome-ist-kein-open-source-projekt/.
5) Die automatische Updatefunktion kann ich beim Firefox mit einem einzigen Klick deaktivieren. Beim Chrome ist das unendlich mühsamer!
6) Die angeblichen „Fehlinformationen“, die du in meinem Beitrag aufgedeckt zu glauben scheinst, sind leider keine. Es liegt hier vielmehr eine Fehlinterpretation aufgrund von Halbwissen deinerseits vor.
Ein weiteres, für mich wesentliches Manko an Chrome ist, dass es (noch) kein Addon wie den „Adblock Plus“ gibt, mit dem ich mir nervende Werbeeinblendungen von Google und anderen vom Leib halten kann.
Google-Chrome ist sehr schnell, aber es gibt keine addons…. Firefox ist „the best“.
Ich sehe es bis jetzt auch noch nicht als großes Datenschutzproblem an. Der Code liegt offen und man kann sich auch den Hashing-Algo mal genauer ansehen. Dabei wird schnell auffallen, ob er umkehrbar ist.
Klar will Google damit MS weiter Marktanteile nehmen, aber von einem Krieg der Konzerne können Anwender erstmal nur profitieren. Die Investitionen steigen, es wird mehr entwickelt, Dienste bleiben vermehrt kostenlos, …
Ich warte mal ab, wie sich der Browser entwickelt. Frische Release-Versionen werde ich mir niemals installieren. Auch Google-Software ist niemals frei von Bugs. Also erstmal ein paar Monate abwarten ….
Gruß Diablo
Hallo LD,
es tut mir leid wenn das etwas falsch rübergekommen ist. Ich habe mir nur gedacht, dass es einfacher ist wenn du dir den Artikel in meinem blog anschaust. Denn dort steht genau das drin. Aber ich wiederhole es gerne nochmal um genauer darauf einzugehen :).
Zum Phishing Schutz:
Zum einen verwendet Firefox die selbe Technik. Zum anderen ist
„Das heisst im Klartext, dass jede Adresse an Google (zur Prüfung) übermittelt wird, bevor sie effektiv aufgerufen wird“ falsch.
Der Browser lädt regelmäßig eine Liste der potentiell gefährlichen Webseiten und prüft deine aufgerufenen URLs lokal mit dieser Liste.
Eine Anfrage an Google wird erst gemacht wenn du eine solche potentiell geführliche Seite aufrufst, um die vermutung zu bestätigen. Die Verschlüsselung ist genauer ein Hashing verfahren welches dazu dient die eigentliche URL nicht mehr aus dem Hash erkennen zu können.
Folglich wird
a) nicht jede Seite an google übertragen
b) potentiell gefährliche Seitenaufrufe bekommt google als Hashwert, und kann daraus nicht erkennen welche URL aufgerufen wurde.
Zur Anwendungsnummer:
Die wird nur vom updater verwendet. Wenn du in meinem Blog schaust wirst du einen Link finden chrome ohne updater zu installieren.
Eine ähnliche einduetige Installationsnummer wird ebenfalls von Firefox zum Update verwendet. Quellen hierzu findest du auch in meinem Blog Artikel.
die einzige Gefahr in der Anwendungsnummer besteht darin, dass der Updater einmal täglich nach Updates sucht. Hier könnte google deine IP Adresse mit der Anwendungsnummer verbinden. In Kombination mit anderen Datenbanken bei google könnte man hier auch den IP Adressen die Anwendungsnummern zuordnen.
Das Problem an der ganzen Sache ist: Google bekommt nur einmal täglich die Information welche IP adresse zur anwendungsnummer gehört. Die Zeitspanne innerhalb diese Zuordnung gültig (Stichwort dynamische IP Adressen) ist lässt sich kaum näher bestimmen. Was zu wenigen und unsicheren Daten führen würde. Und statistiken aus solchen Daten sind wertlos. Der Aufwand den man hier über stochastische Modelle machen müsste wäre enorm, für so wenige Informationen.
Daher bezweifle ich die Verwendung der Anwendungsnummer zur identifizierung.
Was an Abbildern der meisten besuchten Seiten schlimm sein soll weiß ich leider nicht. Diese existieren Lokal auf deinem Rechner und dienen dazu Volltextsuche in der History zu implementieren.
Zum anonymen Modus verhindert nur das speichern von Daten. Vorhandene Daten wie Cookies sind weiterhin für Lesezugriff gestattet. (Steht sogar beim Öffnen eines solchen Anonymen Fenster ganz groß im Fenster.)
Des weiteren finde ich es vorbildlich wie offen Google haarklein über die Transferierten und gespeicherten Daten informiert. Opera gibt sich da mit
„““Opera Software has taken much care in the development so that user privacy and security are not compromised. No personal information is collected or shared. The Opera user’s Web usage is not tracked.“““
zufrieden was per Definition eigentlich schon falsch ist. Ein Browser sammelt mittels Bookmarks, History, Passwörtern etc auf jeden Fall persönliche Informationen.
Und einige der „Features“ die an Chrome beklagt werden sind in Firefox genauso vorhanden (Phishing Schutz, Anwendungsnummer für Updates, autocompletion im Suchfeld (aber hier nicht in der Adressleiste)
So ich hoffe ich konnte dir aufzeigen wo ich die Fehlinformationen in deinem Artikel sehe und hoffe, dass ich ein etwas differentierteres Bild von google chrome fördern konnte.
freundliche Grüße,
Dennis
@Dennis: Dann wirst du bestimmt auch konkret bezeichnen können, was an meinen Ausführungen falsch sein soll, anstatt einfach pauschal eine Behauptung in den Raum zu stellen. Wenn du von „verbleibenden (minimalen) Datenschutzprobleme“n sprichst, zeigt mir das nur, dass du die ganze Problematik (noch) nicht ganz erfasst hast.
Aber immerhin konntest du gleich mit zwei Links für deinen Blog werben. Es gibt Blogger, die würden solche Kommentare als Spam klassieren und löschen. Ich bin da etwas toleranter.
Hi!
Also ich muss sagen, dass ich eine Menge Fehlinformationen in deinem Blog Post gefunden habe. Im Ansatz viel wahres, aber auch viel falsches. Besonders was die application number und den malware Schutz angeht. Falls du da näheres wissen möchtest kannst du gerne in meinen Blog post dazu schauen:
http://www.dennis-kempin.de/various/google-chrome-privacy/
Vielleicht auch ein Blick in diesen Artikel
http://www.dennis-kempin.de/various/the-silent-chrome-browser/
wenn du wissen möchtest wie man die verbleibenden (minimalen) Datenschutzprobleme auch noch los werden will.
freundliche Grüße,
Dennis