Wenn ich mir die hysterische Berichterstattung in den Blogs anschaue, die seit gestern rund um Chrome herrscht, dann wird mir ehrlich schlecht. Was wird dem Browser inzwischen schon alles angedichtet: Datenspionage, Keylogger-Funktionalität, speichern der Surf-Historie auf Google Servern, jeder ist eindeutig identifizierbar und anhand dieser Daten werden die besuchten Seiten zugeordnet… Hanebüchener Unsinn!

Versteht mich nicht falsch, ich will jetzt hier keine Lanze für Google brechen, aber ich finde es gelinde gesagt erschreckend, welche Paranoia gepaart mit absoluter Ahnungslosigkeit und Sensationsgier hier zu den unmöglichsten, sachlich einfach falschen Aussagen führt. Deshalb will ich, basierend auf meinen gestrigen Untersuchungen, mal einige falsche Aussagen richtig stellen. Ich werde hier allerdings keinen der Beiträge verlinken, die diese vollkommen haltlosen Aussagen verbreiten.

Aussage 1: Chrome sendet meine eMail-Adresse an Google-Server.

Falsch! In keinem meiner Mitschnitte war auch nur ansatzweise eine Mailadresse zu finden. Ich habe gezielt verschiedene Online-Formulare ausgefüllt (und die dort verwendeten Adressen dann natürlich auch im HTTP-Stream gesehen, sofern die Formulare nicht per SSL übermittelt wurden), darüber hinaus jedoch nichts dergleichen finden können.

Aussage 2: Chrome übermittelt alles, was ich in die Adresszeile tippe, an Google-Server.

Diese Aussage ist nur halb wahr. Richtig ist: Chrome sendet sämtliche Eingaben in der Adresszeile an die voreingestellte Suchmaschine. Und das auch nur dann, wenn die Autosuggest-Funktion aktiviert ist! Ja, es ist ungeschickt, diese Funktionalität als Opt-Out zu gestalten, also in der Grundeinstellung aktiv zu lassen. Allerdings, und da werden mir sicherlich viele zustimmen, das ist es nun mal, was Otto-Normaluser wünscht. Falsch ist definitiv, dass Chrome diese Eingaben immer an Google-Server übermittelt. Die Anfragen werden in jedem Fall nur an die Suchmaschine übertragen, die als Standard eingestellt wurde (bei der Installation wird da auch nachegefragt). Stelle ich hier Yahoo ein, ist keine Kommunikation mehr mit Google-Servern zu sehen, dafür plötzlich jede Menge Verkehr mit Yahoo-Servern. Logisch, wie sollte solch eine Funktion auch anders realisiert werden? Hier aber zu behaupten, alles was man eintippt, landet bei Google, ist sachlich einfach nicht richtig.

Im übrigen passiert exakt das gleiche, wenn man Firefox nutzt. Nicht bei der Eingabe im Adressfeld (hier greift der Firefox ja auf die Browser-Historie zu), aber bei der Eingabe im Suchfeld. Auch hier gehen exakt die gleichen Anfragen übers Netz – zur voreingestellten Suchmaschine.

Verwendet man die Auto-Vervollständigen-Funktion im Chrome, dann wird die letzte, endgültige Eingabe NICHT mehr an die eingestellte Suchmaschine gesendet.

Aussage 3: Google speichert meine Surf-Historie auf seinen Servern.

Ebenfalls vollkommen falsch! Um dies zu realisieren, müsste jeder angeklickte Link zu einem der Google-Server übertragen werden, anderenfalls entgingen Google Unmengen an besuchten Seiten. Dies geschieht jedoch faktisch nicht. Wie in 2. bereits beschrieben, werden lediglich Anfragen an die voreingestellte Suchmaschine gesendet, wenn man etwas in die Adresszeile eintippt und die Autosuggest-Funktion noch aktiv ist.

Aussage 4: Google sendet mit jeder meiner Anfragen eine Identifikationsnummer, anhand derer der Browser eindeutig zu identifizieren ist.

Falsch! Googles eindeutige Identifikationsnummer wird lediglich bei Update-Check durch den GoogleUpdater gesendet. In keiner weiteren Anfrage von Chrome konnte ich sie entdecken. Im übrigen, wie bereits geschrieben: Firefox macht exakt das gleiche (und nahezu jede andere Software auch). Siehe unter anderem auch hier und hier.

Also: sicherlich ist es schön zu sehen, dass das Bewusstsein für Privacy und Datensicherheit steigt. Keine Frage, vor nicht all zu langer Zeit sah das noch vollkommen anders aus. Es ist allerdings nicht mal im Ansatz hilfreich, aufgrund vollkommen falscher Behauptungen eine Hysterie zu erzeugen, so etwas gibt über kurz oder lang sämtliche Bemühungen in dieser Richtung der Lächerlichkeit preis. Denn es ist tatsächlich erschreckend zu sehen, wie uninformiert viele hier in die Diskussion einsteigen: Ein Löwe brüllt es falsch vor (ja, manche Löwen gestehen es selbst immer wieder ein, von der Technik nicht wirklich viel Ahnung zu haben) und die ganzen Kojoten heulen es nach. Sorry, das hilft auf keinen Fall dabei, eine sachliche Diskussion zum Thema zu führen.

Die WISO-Redaktion des ZDF hat offenbar im Rahmen ihrer Recherchen zum Thema Datendiebstahl eine Liste von 56.000 gestohlenen Accountdaten auf einem chinesischen Server entdeckt. In einer bislang so nie stattgefundenen Aktion wurden nun offenbar gestern alle in dieser Liste gefundenen eMail-Adressen angeschrieben und mit der folgenden Mail beglückt:

Hallo, Eigentümer der E-Mailadresse xxxxx,

Sie erhalten diese Mail von uns, weil wir auf einen datenschutzrechtlich problematischen Sachverhalt aufmerksam gemacht wurden, der Ihre E-Mail-Adresse betrifft.

Ihre E-Mail-Adresse und das Passwort *xxxx* (Zu Ihrer Sicherheit wurde das Passwort gekürzt) befinden sich nach unseren Recherchen auf einem im Internet frei zugänglichen, in China beheimateten Server.

Die Daten scheinen aus einem Datendiebstahl zu stammen, die Datendiebe haben versucht, sich mit Hilfe dieser Kombination aus Mail-Adresse und Passwort Zugang zu Online-Bezahldiensten zu verschaffen.

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen zu tun hat und bei der Sie sich in der Vergangenheit einmal angemeldet haben.

Möglicherweise nutzen Sie diese Kombination aus E-Mail-Adresse und Passwort für weitere Internet-Dienste, etwa für Ihren Mail-Account, zum Anmelden bei Online-Shops oder auf anderen Webseiten. In diesem Fall raten wir Ihnen dringend, auf jeder einzelnen dieser Seiten Ihr Passwort unverzüglich zu ändern, bevor irgendjemand aus dem Vorhandensein dieser Daten im Internet einen Vorteil ziehen kann.

Hinweise zur Verwendung von Passwörtern und für die sichere Passworterstellung erhalten Sie untenstehend.

Diese Mail geht zurück auf Recherchen der ZDF-Sendung WISO, die am Montag den 8. September ausführlich über diesen Datendiebstahl berichten wird. Informationen erhalten Sie spätestens dann auch unter http://www.wiso.de/  Bitte beachten Sie, dass wir keine Einzelfallberatung durchführen können – E-Mails an diese Versandadresse werden nicht beantwortet.

Wir werden die uns vorliegenden Daten nach Ausstrahlung des Beitrags löschen, Sie erhalten keine weitere Mail von uns an diese Adresse (es sei denn, Sie haben sich bei einem ZDF-Informationsdienst angemeldet.) Wir informieren das vom Datendiebstahl betroffene Unternehmen sowie die entsprechende für den Datenschutz zuständige Behörde von dem Vorfall. Allerdings haben wir keinen Einfluss darauf, die auf einem chinesischen Webserver liegenden Daten zu löschen.

Um über die Brisanz des Datendiebstahls qualifiziert berichten zu können bittet Sie die WISO-Redaktion, an einer kurzen Umfrage zum Datendiebstahl teilzunehmen, selbstverständlich anonym (Beachten Sie die Hinweise am Ende der Mail).
Ihre Angaben können dabei helfen, dass die Zuschauer der Sendung für Probleme rund um die Datensicherheit im Internet sensibilisiert werden.
http://vote.wiso.zdf.de/

Mit freundlichen Grüßen

Zweites Deutsches Fernsehen / Redaktion WISO

Solch eine Mail schockiert natürlich zunächst, viele gehen sicherlich auch von einer Phishing-Aktion aus, auch wenn hier typische Phishing-Elemente fehlen. Diese Mail ist allerdings echt. Einerseits bestätigt das inzwischen WISO, andererseits fanden viele Empfänger dieser Mail tatsächlich bis auf 2 ausge-X-te Stellen ihr Passwort in der Mail. Die Daten stammen offenbar aus der Registrierung für einen Online-Service. Robert und der EDV-Blogger haben inzwischen einige Details hierzu zusammen getragen. Es wurde offenbar tatsächlich in mehreren Fällen versucht, sich mit diesen Daten bei Paypal einzuloggen. Da viele Internetnutzer ein und das selbe Passwort für die unterschiedlichsten Online-Dienste verwenden, kann das in einigen Fällen also auch durchaus geklappt haben. Wer diese Mail also ebenfalls erhalten hat, sollte schleunigst sämtliche Passwörter ändern, die er/sie online benutzt.

Die Mail an sich ist äußerst ungewöhnlich, aber durchaus eine gute Idee der Redaktion. Ich persönlich hätte es allerdings besser gefunden, direkt auf eine Informationsseite zu verlinken, statt nur auf eine kommende Sendung zu verweisen und einen Link auf eine Voting-Seite zu setzen. Das hätte der Glaubwürdigkeit gut getan, so wirkte die Mail offenbar für viele als Spam.

Update: Inzwischen ist zu erfahren, dass die Daten bei PricewaterhouseCoopers geleaked sind. In einer Pressemitteilung heisst es unter anderem:

„Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.

Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern. …“

Angeregt durch die (verständlicherweise) entstehende Diskussion rund um Googles Chrome und Googles Datensammelwut habe ich mir jetzt mal ganz grob angeschaut, was Chrome denn so alles durch die Gegend sendet bzw. welche Anfragen neben den gewollten im einzelnen erfolgen.

Fakt ist zunächst eines: Egal, ob ich im normalen oder im anonymen Modus arbeite, Chrome sendet Anfragen an Google. Sobald man mal eine Weile nichts tut, erfolgen HTTP-Requests an static.cache.l.google.com. Angesichts der folgenden Pfadangaben (bspw. Request URI: /safebrowsing/rd/goog-phish-shavar_a_20001-20160) würde ich im Augenblick zunächst mal davon ausgehen, dass Chrome hier Signaturen für die Anti-Phishing Routinen herunter lädt. Allerdings doch recht häufig und in jedem Fall (ob anonym oder nicht) inkl. Übermittlung des Google-Cookies. Anonymität also offenbar nicht gegenüber Google…

Gebe ich im normalen Modus irgendetwas in die Adresszeile ein, beginnt Chrome mit seinen Anfragen an Google, die während der Eingabe regelmäßig neu gesendet werden, da sich ja die Anfrage an sich durch die Eingabe ändert. Auf diese Weise wird logischerweise die Suggest-Funktionalität realisiert. Auch hierbei werden die Cookie-Inhalte übermittelt, zusammen mit den Eingaben in der Adresszeile. Verhindern lässt sich das, indem man die Suggest-Funktion deaktiviert (rechter Mausklick in die Adresszeile, „Suchmaschinen bearbeiten“ anwählen und im folgenden Fenster den Haken bei „Automatische Vorschläge….“ entfernen). Nachtrag: Wurde eine andere Suchmaschine als Google zum Standard definiert, landen die Eingaben in der Adresszeile übrigens dann dort und nicht mehr bei Google.

Gibt man im anonymen Modus etwas in die Adresszeile ein, erfolgt keine Abfrage bei Google. Was (wie oben beschrieben) dennoch geschieht sind die regelmäßigen Anfragen nach den Signaturen. Über die Tatsache hinaus, dass die Inhalte des Cookies immer übermittelt werden ist nicht erkennbar, welche weiteren Informationen übermittelt werden, als Codeknacker habe ich mich nun nicht betätigt. Erkennbar ist allerdings eben, dass Daten übermittelt werden, wie Robert auch aus den Erklärungen von Google bereits heraus gelesen hat. Was dann davon letztlich auf Googles Servern gespeichert wird und bleibt, wird sicherlich nie zu erfahren sein. Und ja, mir ist auch klar dass die Aussage „Andere machen das auch“ natürlich niemanden darüber hinweg trösten wird, dass Chrome Daten übermittelt.

Ich denke in den nächsten Tagen werden eine Menge mehr Informationen darüber im Netz zu finden sein, was im Detail übertragen wird. Auch deshalb mache ich mir nun nicht die Mühe, alles auseinander zu nehmen. Andere können das besser.

Update: Die ersten Sicherheitslücken wurden bereits gefunden, das war zu erwarten. Macht Euch klar: Ihr benutzt eine beta! Da müsst ihr mit allem rechnen.

Update 2: Andere haben das Verhalten von Chrome bei einer Eingabe in die Adresszeile ebenfalls beobachtet, tun allerdings reichlich überrascht. Sorry, wenn ich diese Dramatik und das große Staunen nicht nachempfinden kann. Exakt mit diesem Verhalten muss ich rechnen, wenn ich Autosuggest nutze. Woher sollen die Ergebnisse letztlich kommen? Lediglich die Tatsache, dass diese Funktion per default aktiviert ist, finde ich persönlich daneben. Hier wird Google allerdings dem Otto-Normal-User gerecht: Der will nun mal die „tollen Features“ von Anfang an aktiviert sehen. Wichtig ist allerdings durchaus, dann auf die damit einhergehenden Verluste im Bereich Privatsphäre aufmerksam zu machen. Jeder muss dann für sich entscheiden, ob er diese in Kauf nehmen will.

Update 3: Die Aussage, Chrome würde die eMail-Adresse des Nutzers nach Hause senden, konnte ich bislang nicht bestätigen. Ich habe gezielt in diverse Formular Mailadressen eingegeben und übermittelt, außer an dieser Stelle tauchen sie nicht in der Kommunikation auf. Keine Ahnung, WAS da exakt beobachtet wurde, hier bei mir ist nichts dergleichen aufgefallen. Und ich suche gezielt danach.

Update 4: Die größte Aufregung basiert offenbar derzeit auf 2 Umständen: Chrome sendet für die Autosuggest-Funktion die Eingaben aus der Adresszeile an die Google-Server und Chrome beinhaltet die UAN, aufgrund derer der Browser eindeutig identifizierbar ist. Ersteres lässt sich wie oben bereits beschrieben ganz simpel deaktivieren, danach herrscht tatsächlich Ruhe. Zum Thema UAN wäre folgendes zu sagen: Die UAN wird durch den GoogleUpdater genutzt und übertragen. In den Anfragen, die Chrome sendet, ist die UAN nicht zu finden. Zudem ist dieses Verfahren keineswegs unüblich sondern wesentlich häufiger anzutreffen, als manche vermuten. Auch Firefox verwendet eine eindeutige ID („a unique numeric value to distinguish individual Firefox installs„) und übermittelt diese bei Update-Anfragen an die Mozilla-Server. Mehr dazu zum Beispiel auch hier.

Google ist recht fleißig derzeit, was die Softwareentwicklung angeht. Und bevor es im Hype um Chrome untergeht: von Picasa 3 ist ebenfalls eine beta verfügbar. Wer Picasa nutzt, wird sich sicherlich über eine Menge neue Features freuen. Habe selbst noch nicht getestet, wollte es aber zumindest schon mal erwähnen.