NZZ Online, 17. Februar 2012, 10:13

Google hat Apple überlistet

Unternehmen weist Vorwürfe zurück

Google hat Einstellungen des Apple-Browsers Safari ausgehebelt. (Bild: Montage/NZZ Online)

Der Suchmaschinenabieter und andere Unternehmen haben Einstellungen des Browsers Safari umgangen, die verhindern sollen, dass das Surfverhalten von Nutzern ausgewertet wird. Dabei wurde eine Lücke ausgenutzt, die bereits seit 2010 bekannt ist.

Google und die Werbenetzwerke Vibrant Media, Media Innovation Group und PointRoll haben Sicherheitseinstellungen von Safari umgangen, um Cookies auf Geräten zu placieren, deren Nutzer dies in den Einstellungen des Apple-Browsers nicht zugelassen haben. Cookies sind kleine Dateien, die es beispielsweise erlauben, das Verhalten von Usern im Web anonymisiert zu verfolgen, um passende Werbung präsentieren zu können. Die Unternehmen haben dabei eine Safari-Lücke ausgenutzt, auf die Entwickler Anant Garg bereits 2010 hinwies . Auch Stanford-Forscher Jonathan Mayer hat darauf aufmerksam gemacht.

Grob verkürzt, funktionierte das Ganze so: Falls ein Surfer ein Formular in einem Werbebanner ausfüllt, welches von einer fremden Site stammt, kann diese ein Cookie setzen, obwohl dies in den Einstellungen des Safari untersagt ist. Also wurde ein unsichtbares Formular eingesetzt, das Safari den Zugriff vortäuscht. Google soll entsprechenden Code im +1-Button versteckt, der in einige Anzeigen integriert wird.

Keine persönlichen Daten gesammelt

Ein entsprechender Bericht im «Wall Street Journal» ist laut einer Stellungnahme des Unternehmens eine Fehlinterpretation: «Wir haben bekannte Safari-Möglichkeiten genutzt, um Anwendern Funktionen zu bieten, die eingeloggten Google-Nutzer zur Verfügung stehen.» Genau diese Information – ob jemand bei einem Dienst des Suchmaschinenanbieters angemeldet ist – lieferte der Cookie. In der Mitteilung wird betont, dass die Werbe-Cookies keine persönlichen Daten sammeln. Zudem verfielen sie nach der unüblichen kurzen Zeit von 24 Stunden. Laut dem Bericht soll der Code auf 22 der in den USA 100 populärsten Websites zu finden gewesen sein, bei mobilen Seiten für den iPhone-Safari auf 23.

Ein Apple-Sprecher sagte der Zeitung, man arbeite an einer Lösung, die das Umgehen der Privatsphäre-Einstellungen des Browsers beenden soll. Bis vor kurzem liess Google Safari-Nutzer auf einer Website wissen, sie könnten sich auf die Einstellungen des Browsers verlassen, um der Verfolgung ihrer Web-Aktivitäten zu entgehen. Dieser Passus wurde am Dienstag entfernt. Nachdem der Suchmaschinist vom «Wall Street Journal» kontaktiert wurde, soll er die Umgehung der Safari-Einstellungen ausgesetzt haben.

Google beherrscht das Geschäft

Vibrant Media liess verlauten, es handle sich um einen Workaround, der Safari wie alle anderen Browsern funktionieren lasse. Wie Google betonte das Unternehmen, man sammle keine persönlichen Nutzerdaten. PointRoll gab an, einen zeitlich beschränkten Test durchgeführt zu haben, mit dem herausgefunden werden sollte, wie viele Surfer Websites von Werbekunden besuchten, nachdem sie Reklame gesehen hatten. Die Media Innovation Group verzichtete auf eine Stellungnahme. Von den Unternehmen ist Google der bei weitem wichtigste Anbieter von Web-Werbung: Beispielsweise haben in den USA gemäss ComScore Media Metrix im Dezember 93 Prozent der Internetnutzer mindestens eine von Google ausgelieferte Reklame gesehen.

Einige Facebook-Apps nutzen die Safari-Lücke auch aus – vorgeblich, um Anwendern das mehrmalige Eingeben ihrer Login-Daten zu ersparen. Das weltgrösste soziale Netzwerk liefert auf einer Hilfeseite auch einen Link zum Blogeintrag von Anant Garg. Ein Unternehmenssprecher sagte dazu nur: «Wir möchten unseren Entwicklern dabei helfen, den Anwendern in allen Browsern die gleichen Nutzungserlebnisse zu ermöglichen.»

Streit um Zusammenführung von Datenschutzbestimmungen

Zuletzt stand Google Anfang Februar in der Kritik. Denn zum 1. März werden die Datenschutzbedingungen vieler Dienste zusammengeführt. «Unsere neue Datenschutzerklärung stellt klar, dass Daten, die ihr in einem Google-Dienst angebt, gegebenenfalls mit Informationen aus einem anderen verwendeten Google-Dienst zusammengeführt werden, wenn ihr angemeldet seid», schrieb Alma Whitten , Director Privacy, Product & Engineering, Ende Januar in einem Blogeintrag, «mit anderen Worten: Wir behandeln den Nutzer als ein und dieselbe Person, auch wenn er verschiedene Google-Dienste verwendet – das macht die Nutzung unserer Produkte noch unkomplizierter und intuitiver.»

Nach Ansicht der Organisation Electronic Privacy Information Center (EPIC) verstösst Google damit gegen eine im vergangenen Jahr mit der US-Konsumentenschutzbehörde FTC getroffene Vereinbarung. Mit einer Anfang Februar eingereichten Klage will EPIC die FTC dazu zwingen, die vereinbarten Regeln durchzusetzen.