Technik
Wer nicht aufpasst gewährt App-Entwicklern ungewollt Zugriff auf seine Gmail-Nachrichten.
Wer nicht aufpasst gewährt App-Entwicklern ungewollt Zugriff auf seine Gmail-Nachrichten.(Foto: imago/ZUMA Press)
Mittwoch, 04. Juli 2018

Mit Googles Erlaubnis: Können viele Apps Gmail ausspionieren?

Google ermöglicht es angeblich Marketing-Apps und anderen Anwendungen, Gmail-Nachrichten auszuspionieren. Tatsächlich ist das nicht nur ein Gerücht. Nutzer müssen gut überlegen, wem sie vertrauen.

Ein Artikel des "Wall Street Journal" verursacht derzeit großen Wirbel und verunsichert Nutzer. Google gestatte es App-Entwicklern, die Nachrichten von Gmail-Nutzern auszulesen, heißt es darin. Hunderte Anwendungen könnten Millionen Posteingänge scannen und auswerten. Als Beispiele werden zwei Firmen genannt, bei denen in der Vergangenheit teilweise nicht nur Computer, sondern auch Mitarbeiter die Nachrichten auswerteten. Tatsächlich ist die Behauptung nicht aus der Luft gegriffen, aber die Situation ist vielleicht nicht ganz so dramatisch, wie sie das Journal darstellt.

Bequem, aber riskant

Es stimmt, dass Google Entwicklern eine Möglichkeit gibt, auf Gmail-Konten zuzugreifen. Wenn Nutzer ihr Google-Konto verwenden, um sich bei anderen Diensten anzumelden, geben sie ihnen unter Umständen selbst die Erlaubnis, dies zu tun. Es ist schnell passiert, denn es ist natürlich viel bequemer, sich mit wenigen Klicks zu authentifizieren, als neue Zugangsdaten einzugeben und zu bestätigen. Die Methode, die dabei zum Einsatz kommt, nennt sich OAuth. Statt E-Mail-Adresse und Passwort einzugeben, autorisiert der Nutzer den Dienst mit einem einmaligen Token.

Bevor eine App auf die Daten des Nutzers zugreifen kann, muss dieser dies allerdings in einem Fenster bestätigen, in dem alle Zugriffsrechte aufgelistet werden. Wenn dort "E-Mails lesen, senden, löschen und verwalten" steht, sollte man misstrauisch werden. Bei E-Mail-Clients sind diese Berechtigungen verständlich, sie würden sonst nicht funktionieren. Bei allen anderen Anwendungen beziehungsweise Diensten müssen aber die Alarmglocken schrillen und Nutzer sollten die Erlaubnis verweigern. Ähnliches gilt übrigens auch, wenn man sein Facebook- oder Microsoft-Konto zur Anmeldung verwendet.

Kontrolle ist gut, nicht vertrauen besser

Google schreibt zu den Vorwürfen in einem Blogpost, man überprüfe Entwickler und deren Apps gründlich, bevor man ihnen allgemeinen Zugriff gewähre. Unter anderem müsse eindeutig klar sein, welchen Zweck eine Anwendung verfolge und wie sie Daten verwendet. Außerdem dürfe sie nur Berechtigungen einfordern, die sie für ihre Aufgaben auch tatsächlich benötigt.

Das "Wall Street Journal" schreibt aber, Google sei bei den Überprüfungen zu lasch und Entwickler seien oft nicht offen, was ihre Aktivitäten und den Umgang mit Nutzerdaten betreffe. Außerdem wenden Kritiker ein, das Unternehmen schiebe die ganze Verantwortung dem Nutzer zu, der damit in der Realität oft überfordert sei. Und schließlich fehle eine Zustimmung derjenigen, die mit einem Gmail-Empfänger Nachrichten austauschen.

Zugriffsrechte überprüfen

Gmail-Nutzer, die wissen möchten, welche Anwendungen auf ihren Posteingang zugreifen dürfen, können dies in ihrem Google-Konto im Sicherheitscheck tun, indem sie den Zugriff durch Drittanbieter-Apps kontrollieren und gegebenenfalls die Zugriffsrechte entfernen.

Grundsätzlich sieht man an der Problematik, dass es ein Irrglauben ist, E-Mails als sicheren Kommunikationsweg zu betrachten. Man sollte daher niemals Passwörter, Geschäftsgeheimnisse oder andere vertrauliche Informationen verschicken. Um zu verhindern, dass Dritte mitlesen, muss man E-Mails verschlüsseln. Hundertprozentig sicher darf man sich aber auch dann nicht fühlen, wie kürzlich entdeckte Schwachstellen gezeigt haben.

Quelle: n-tv.de