Anfang diesen Jahres stand der Cambridge-Analytica-Skandal in voller Blüte. Auch Google stellte fest, dass Entwickler von Drittanwendungen hunderttausende private Nutzerdaten von Google Plus abgreifen können. Das Unternehmen schwieg ein halbes Jahr dazu, nun soll Google Plus schließen.

Am 26. Mai 2018 veröffentlichte Google einen Text, der für entdeckte Schwachstellen in Software eine Disclosure-Frist von 90 Tagen einräumt. Der Text macht auch deutlich, dass die Frist für Google selbst zutrifft: “Wir bemühen uns darum, alle Anbieter strikt gleich zu behandeln. Google selbst erwartet, nach denselben Standards behandelt zu werden.”

Mut zur Lücke

Im März 2018 beschloss Google laut dem Wall Street Journal hingegen, ganz darauf zu verzichten, seine Nutzer über eine Lücke in Google Plus zu informieren. Diese erlaubte es externen Entwicklern zwischen 2015 und dem März 2018 potenziell, auf die Daten privater Profile zuzugreifen. Sie wurde offenbar im selben Monat entdeckt, indem die New York Times über den Datenskandal von Facebook und Cambridge Analytica berichtete.

Als Gründe für die Nicht-Veröffentlichung nannte das Wall Street Journal die Angst von Google vor regulatorischen Maßnahmen und vor dem Schaden für die eigene Reputation, weil der Skandal mit dem von Facebook assoziiert werden würde. Diese Strategie habe laut dem Artikel ein internes Komitee beschlossen, um dann den Google-CEO Sundar Pichai darüber zu informieren. Ein entsprechendes Memo liegt der Zeitung vor.

Licht ins Dunkel

Google reagierte gestern indirekt in einem Blogpost auf diese und andere Vorwürfe, indem es beschloss, Google Plus mit einer Übergangszeit von zehn Monaten zu schließen. Die Lücke wurde nur als einer der Schließungsgründe genannt, ein weiterer seien die geringen Nutzerzahlen.

Entdeckt habe die Lücke demnach ein Projekt namens Strobe. Dieses hatte Google “Anfang des Jahres” gestartet. Dieses Projekt habe unter anderem nach Bereichen geschaut, in denen “Entwickler womöglich einen zu weiten Zugriff [auf Daten; d.Red.] hatten”.

Tatsächlich habe man einen “Bug” in einer der “Google+ People APIs” gefunden und im März 2018 geschlossen. Dank diesem hatten Apps nicht nur auf die öffentlichen, sondern auch als privat markierten, optional ausfüllbaren Datenfelder in den privaten Profilen Zugriff. Und das sind laut einer Entwicklerseite eine ganze Reihe. Dazu zählen neben dem Namen, Geburtsdatum und dem Geschlecht auch der Arbeitsplatz, die Fähigkeiten und der Beziehungsstatus.

Da man die Logdaten des API zum Schutz der Privatsphäre nur zwei Wochen lang behalte, sei unklar, welche Nutzer dieser Bug betreffe. Im Rahmen der zweiwöchigen Phase vorgenommenen Analyse gehe man von bis zu 500 000 potenziell betroffenen Nutzerprofilen aus. 438 Anwendungen hatten Zugriff auf das API.

Was ich nicht weiß…

Dennoch habe man keinen Beweis, dass Entwickler den Bug kannten und ausgenutzt hätten oder dass Profildaten missbräuchlich genutzt wurden. Das Privacy & Data Protection Office habe sich die Lücke angesehen und dann entschieden, die Nutzer nicht zu informieren, da die Kriterien dafür nicht ausreichend gewesen seien. So habe es zum Beispiel keine Aktionsmöglichkeit für Entwickler und User gegeben, auf den Bug zu reagieren.

Das wundert nicht, denn laut Google wurde der Bug ja zu diesem Zeitpunkt behoben und waren die Nutzer außer Gefahr. Und was seit 2015 passiert ist, lässt sich im Nachhinein schwer nachprüfen. Theoretisch ist es also durchaus möglich, dass Entwickler den Bug ausgenutzt haben, ohne dass jemand davon erfahren hat. Es gibt bloß nichts mehr, was Nutzer nun dagegen tun könnten.

Wo wir schon dabei sind: Gmail und Android

Google hat im Zuge seiner Untersuchung offenbar noch weitere Sensibilitäten bei den Nutzern entdeckt und darauf reagiert. So berichtete das Wall Street Journal bereits am 2. Juli über Drittanbieter von freien Gmail-Apps, die sich das Recht herausnehmen, Googles Mailboxen zu durchsuchen. Konkret machte es die Geschichte an den Firmen Return Path und Edison Software fest, die Zugriff auf tausende E-Mails von hunderten Gmail-Nutzern hatten.

Google räumt nun als “Fundstück 3” ein, dass Nutzer wohl “bestimmte Anwendungsfälle” im Sinn haben, wenn sie Apps Zugriff auf Gmail einräumen. Das Unternehmen will die “Arten dieser Anwendungsfälle” nun reduzieren. Oder anders ausgedrückt: Die meisten Anwender wissen wohl nicht, dass sie Dritten mit der Installation solcher Apps das Recht einräumen, ihre E-Mails darin zu durchforsten. Das tritt offenbar auch auf Arbeitgeber zu, die über das API die E-Mails ihrer Angestellten mitlesen konnten. Auf diese Daten sollen künftig nur noch E-Mail-Clients, E-Mail-Backup-Dienste und Produktivitäts-Dienste (CRM, Mail-Merge-Dienste) Zugriff haben.

Auch bei Zugriffen von Android-Apps auf SMS, Kontakte und Telefon-Zugriffsrechte erwarten die Nutzer offenbar anderes als Google und die App-Entwickler damit meinen. Daher limitiert Google den Zugriff auf Anrufprotokolle und SMS-Zugriffsrechte und macht Kontakt-Interaktionsdaten nicht länger über das Contacts API von Android verfügbar.

Ob die spät eingeleiteten Schritt dazu taugen, Google vom Haken zu lassen, muss sich zeigen. Während Google in Europa aufgrund seines schlechten Datenschutzes schon länger in der Kritik steht, gibt es in den USA erst jetzt Anstrengungen, das Datensammeln des Unternehmens zu begrenzen. Google Plus zu schließen, wird die gravierenden, vermutlich aber legalen, Datenschutzprobleme jedenfalls nicht rückgängig machen.