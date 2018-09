Sicherheitsexperte kritisiert Login-Zwang – Google: Soll irreführende Situation ausräumen

Wer Chrome nutzt, tut dies meist in Verbindung mit einem Google-Account. Immerhin ergeben sich dadurch nicht nur gewisse nützliche Möglichkeiten, wie der automatische Abgleich zwischen mehreren Rechnern, der Softwarehersteller drängt auch seit Jahren immer offensiver zu diesem Schritt. Und doch war es bisher sehr wohl auch möglich, Google- und Chrome-Login zu trennen. Mit der aktuellsten Ausgabe des Browsers findet das nun aber ein Ende.

Verbindung

Wie Sicherheitsexperte Matthew Green in einem Blogposting ausführt, werden die Nutzer nun automatisch auch im Chrome eingeloggt, wenn sie bei irgendeinem Google-Dienst – etwa Gmail – eingeloggt sind. Ohne irgendeine öffentliche Kommunikation habe Google mit Chrome 69 die grundlegende Integration des Browsers mit den eigenen Diensten verändert, kritisiert Green, der darin einen massiven Vertrauensbruch sieht.

Eine öffentliche Stellungnahme von Google gibt es zu den Vorwürfen bisher zwar nicht, allerdings hat sich Chrome-Sicherheitsentwicklerin Adrienne Porter Felt via Twitter zu Wort gemeldet. Diese betont, dass man die Änderung bewusst vorgenommen habe, um ein gebräuchliches Sicherheits- und Privacy-Problem bei von mehreren Usern geteilten Rechnern auszuräumen. Diese hätten sich am Ende einer Sitzung oft einfach auf der Google-Webpage ausgeloggt, ohne sich bewusst zu sein, dass sie damit noch immer beim Chrome eingeloggt sind. Mit dem neuen User-Interface, das auch neben der Adresszeile anzeigt, mit welchem Account man gerade eingeloggt ist, werde dies nun deutlicher.

Nicht zufrieden

Eine Erklärung, die Green als unzureichend empfindet, er habe Chrome seit Jahren absichtlich von seinem Google-Account getrennt gehalten – dies sei nun nicht mehr möglich. Die einzige Möglichkeit sei noch der Incognito-Modus, bei dem man sich aber jedes Mal wieder frisch bei allen Diensten einloggen muss.

Porter Felt streicht zudem heraus, dass mit der neuen Version der Login in den Google-Account und der Browser-Sync getrennt sind. Die Synchronisierung der Daten mit dem eigenen Google-Account erfolge erst nach einer weiteren, expliziten Zustimmung durch die Nutzer. Insofern sei es weiter möglich, Chrome zu nutzen, ohne seinen Browserverlauf an Google zu schicken. Das bestätigt Green zwar, sieht darin aber keine ausreichende Erklärung. Die entsprechende Aufforderung sei ein geradezu typisches Beispiel für ein "dunkles Muster", mit dem die Nutzer dazu gebracht werden sollen, unbedacht ihre Daten zu teilen.

Wechsel

Für den Verschlüsselungsexperten ist all das jedenfalls der Tropfen, der das Fass zum Überlaufen bringt. Er habe sich geschworen, er werde dem Browser in dem Moment den Rücken kehren, in dem Google die damit vorhandene Macht missbrauche, das sei hier klar gegeben. Also sei es an der Zeit, sich nach einem neuen Browser umzusehen. (Andreas Proschofsky, 24.9.2018)