Foto: Andy Wong / AP

Datenskandal bei Google? Aufregung um Apps, die Mails der Nutzer lesen

3. Juli 2018, 09:01

Manche Berichte ziehen Analogien zu Cambridge Analytica – Bei näherer Betrachtung bleibt aber wenig von den Vorwürfen übrig

Hat Google nun auch seinen Cambridge-Analytica-Skandal? Ein aktueller Blick in die Schlagzeilen der weltweiten IT-Presse legt dies zumindest nahe, gleich mehrere namhafte Seiten ziehen sogar direkt diesen Vergleich. Google soll Drittentwicklern Zugriff auf die Mails von Gmail-Nutzern gegeben haben, so der Vorwurf, der auf einem Bericht des "Wall Street Journal" fußt. Das Problem dabei: Selbst bei einer schnellen Recherche bleibt davon reichlich wenig übrig.

Spurensuche

Doch worum geht es eigentlich konkret? Basis des Ganzen ist Googles App-System, über das externe Programme tatsächlich Zugriff auf die in einem Google-Account abgespeicherten Daten erhalten können. Will eine App Zugriff auf diese Daten, müssen die Nutzer allerdings explizit zustimmen, der zugehörige Dialog weist zudem unmissverständlich darauf hin, dass die App in der Folge Mails lesen und verschicken kann. Und genau das ist natürlich auch notwendig, um einen externen Mail-Client für Gmail überhaupt verwenden zu können.

Google betont dabei, dass man generell nur ausgewählten Partnern überhaupt erlaubt, Apps anzubieten, die Zugriff auf sensible Daten im Google-Account erhalten können. Dabei werde etwa die Privacy-Policy des Unternehmens überprüft sowie die Identität der Betreiber. Diese verschärften Regeln wurden eingeführt, nachdem es in der Vergangenheit immer wieder Probleme mit Apps gab, die tatsächlich versucht haben, die Nutzer auszuspionieren und private Daten abzugreifen. Darum geht es im vorliegenden Fall aber nicht.

Menschen statt Maschinen

Die Geschichte hat freilich auch einen realen Nukleus: So hat das "Wall Street Journal" zwei Apps gefunden, bei der auch menschliche Mitarbeiter Einblick in die Mails der Nutzer genommen haben. Konkret geht es dabei um den Mail-Client Edison Mail und ein E-Mail-Marketing-Tool von Return Path, bei denen die Anbieter nach eigenen Angaben von Zeit zu Zeit manuell Mails durchforsten, um Fehler in den eigenen Algorithmen auszubessern – etwa wenn ein Mail von den Systemen falsch klassifiziert wird. Einen Vorwurf, dass die Daten missbräuchlich verwendet oder gar weitergegeben wurden, gibt es dabei nicht.

Dass hier nicht nur Maschinen, sondern zum Teil Menschen mitlesen können, ist für viele Nutzer sicherlich überraschend, auch wenn die Privacy-Policy der Unternehmen dies abdeckt. Trotzdem wäre es fraglos besser, wenn in solchen Autorisierungsdialogen künftig klargemacht wird, wenn ein App-Entwickler die erteilte Berechtigung auch für menschliche Interaktion mit den eigenen Mails nutzt.

Hintergrund

Angemerkt sei, dass solch ein menschlicher Zugang zu den Mails potenziell nicht nur bei Gmail gegeben ist, sondern bei jedem beliebigen Maildienst. Administratoren haben prinzipiell immer Zugriff auf alle am Server gespeicherten Mails, jeder verwendet Mail-Client – wenig überraschend – auch. Google selbst betont ebenfalls, dass man Zugriff auf die Mails seiner Nutzer hat, dies aber nur mit einer nochmals erteilten, expliziten Genehmigung tut, etwa wenn ein Support-Fall vorliegt. Trotzdem bleibt all dies natürlich immer eine Frage des Vertrauens. Wer wirklich sicherstellen will, dass niemand die eigene Kommunikation mitlesen kann, muss zu Verschlüsselungs-Tools wie PGP greifen oder gleich auf sicherere Formen der Datenübertragung – wie es etwa verschlüsselte Messenger sind – zurückgreifen.

Apps aufräumen

So überzogen die aktuelle Aufregung sein mag, sie hat aber auch ihr Gutes: Immerhin dient sie als Erinnerung daran, dass man Apps nicht leichtfertig Zugriff auf den eigenen Google-Account – oder andere sensible Daten – geben soll. Zudem lohnt es sich regelmäßig zu überprüfen, welchen Apps man bereits eine solche Erlaubnis erteilt hat und diese wieder zu entziehen, wenn sie nicht mehr benötigt wird. Bei Google können diese Aufräumarbeiten über eine eigene Seite erledigt werden, zudem ist das Ganze Teil des Privacy-Check-ups, zu dem das Unternehmen seinen Nutzer regelmäßig rät. (Andreas Proschofsky, 3.7.2018)