Google Chrome Erweiterungen und Datenschutz

Googles Browser „Google Chrome“ hat sich in der Liga der beliebtesten Browser nebst IE, Firefox und Opera etabliert. Der geschätzte Marktanteil beträgt zwischen 10%-20%, laut Larry Page nutzen weltweit 160 Millionen Menschen den Browser (Aussage auf der letzten Quartalsergebnisbesprechung II/2011 getroffen). Eingeführt wurde der Browser Ende 2008 und bietet seit der Version 4 die Möglichkeit an, Zusatzprogramme – sog. „Extensions“ – zu installieren. Mit Hilfe dieser Erweiterungen kann der User den Browser entsprechend seinen Bedürfnissen individueller nutzen. Beispiel? Hover Zoom erübrigt den Klick auf Facebook- und flickr-Bilder, um sie in voller Größe zu sehen.

Jeder der will, kann sich die Zusatzprogramme installieren, jeder der kann und mag, kann Zusatzprogramme für Google Chrome entwickeln und in den Chrome-Katalog hochladen. Hierzu lernt der Entwickler auch etwas über „Permissions requested by apps, extensions, and themes„. Jedes Zusatzprogramm wird mit einem bestimmten Berechtigungsprofil ausgestattet. Vom Entwickler, nicht etwa von Google. Die Berechtigungen ermöglichen es dem Entwickler, sein Zusatzprogramm mit Nutzerdaten so zu füttern, damit es überhaupt laufen kann.

Welche Zugriffsrechte sind das?
All data on your computer and the websites you visit
(= „NPAPI plug-ins can do almost anything, in or outside of your browser. For example, they could use your webcam, or they could read your personal files“ = viel Spaß…)
Your data on all websites
Your data on {list of websites}
Your list of installed apps, extensions, and themes
Your bookmarks
Your browsing history
Your physical location
Eine Vorschau der Daten, die das Programm auslesen kann, werden dem Nutzer nicht angeboten! Die Zugriffsrechte sind umfassend. Natürlich taucht eine Zugriffsbox beim Installieren auf, die der User zu bestätigen hat (siehe Permission Warnings). Und natürlich extrem schnell gestattet sind, ein Klick und ciao, da die Installation einer Extension kinderleicht ist, zumal die Zugriffsrechte nur am Rande bei diesem Prozess auftauchen, den Kunden kaum störend auffallen. Was ja schließlich das Ziel von Google ist, die Kundenerfahrung mit dem Produkt Google Chrome zu verbessern,

Beispiele von Zugriffsrechten für bestimmte Extensions?

Evernote – eine sehr beliebte Extension – kommt mit einer der höchsten Zugriffsrechte daher: „Your data on all websites“. Evernote begründet dieses Zugriffsrecht wie folgt: This applies to the fundamental functionality of the extension. Whenever you clip content from any site, that webpage (or portion thereof) is sent into Evernote and saved in your account. Evernote does not store anything other than content that you choose to clip.
Welche Berechtigungen verlangt Evernote insgesamt? Ihr findet diese Information rechterhand auf der Extension-Seite, schaut mal selbst nach;) „Ihre Daten auf allen Websites“, „Liste Ihrer installierten Anwendungen, Erweiterungen und Designs“, „Ihre Tabs und Browseraktivitäten“. Evernote erklärt löblicherweise, warum es welche Berechtigung benötigt und was es mit den eingesammelten Daten macht.

Hover Zoom, eine weitere sehr beliebte Extension, erwartet folgende Bestätigung vom User, wenn er sich diese Extension installieren möchte: „Ihre Daten auf allen Websites“, „Ihre Tabs und Browseraktivitäten“, „Ihr Browserverlauf“. Erklärt Hover Zoom, wozu es die Daten benötigt? Auf einer eigenen Google-Seite („Google Code“ = Entwickler können dort ihren Programm-Code ablegen, wie auch eine Doku dazu erstellen) in denkbar knappen Worten. Der Entwickler nennt sich Romain Vallet. Die übliche Google-Suche liefert einige passende Treffer.

Ein anderer Entwickler hatte sich mal den Spaß gemacht und eine Extension entwickelt, die spaßeshalber Login-Daten ausliest: Stealing login details with a Google Chrome extension. Sinn und Zweck? Zu demonstrieren, wie einfach es wäre, wenn.

Woher soll nun ein an einer Extension interessierter User erfahren, ob man dem Entwickler bzw. der Firma trauen kann? Google bietet hierzu keine besonders zeitsparenden Möglichkeiten an. Name des Anbieters, Homelink, Beschreibungsfeld zur App und Bewertungen zur App. Bewertungen für die Extension als Vertrauenssignal? Die dienen höchstens zur Sortierung beliebter Zusatzprogramme im Google Chrome Katalog, maximal dem Querlesen der hinterlassenen Userkommentare zur jeweiligen App. Eine explizite Vertrauensbewertung für den Anbieter existiert nicht!

Aber Google wird doch sicherlich mit Hilfe seiner Milliardeneinnahmen irgend etwas anbieten, das die User schützt? Etwas, das man vielleicht mit eBay vergleichen kann? Was sagt Google dazu?

Apps and extensions you install may have access to your data. You might also see a warning dialog when an already installed extension or app is updated, if the item requests new or different permissions. A warning doesn’t mean that the extension does do something dangerous, just that it could. Don’t install an app or extension unless you trust its creator. Check the item’s ratings and reviews to determine if it’s trustworthy.

Sprich? Google meint, der Nutzer solle es selbst herausfinden. Explizite Vertrauensmechaniken hat Google nicht wirklich eingebaut.

Es verhält sich beim Installieren von Zusatzprogrammen in Google Chrome wie bei Facebook (siehe: Facebook Apps: Welche Daten man als User freigibt) und an vielen anderen Stellen. Es gibt weder Standards noch rechtlich explizite Vorgaben, Nutzerinteressen zu schützen. Obgleich sich Google gerne als der Beschützer und verantwortlicher Hüter von Nutzerdaten präsentiert. Gerade Google sollte es besser als Facebook machen.

So bleibe ich bei meiner Forderung, dass
1. der Gesetzgeber Nachholbedarf hat,
2. Unternehmen die Aufgabe nicht überlassen werden kann,
3. der Anbieter deutlichere Hinweise und Begründungen zu liefern hat und
4. bessere Auswahlmöglichkeiten gegeben sein sollten (momentan: Entweder man installiert die App oder lässt es, einzelne Punkte kann man nicht abwählen).