Aufregung um Gmail Nein, es können nicht irgendwelche Entwickler einfach so Ihre E-Mails lesen

"Fremde können eure Nachrichten bei Gmail mitlesen": Solche Schlagzeilen versetzen gerade Nutzer von Googles E-Mail-Dienst in Aufregung. Ist die Panik berechtigt? So prüfen Sie, ob bei Ihnen jemand mitliest.

Gmail-Postfach auf einem Smartphone
Google LLC

Gmail-Postfach auf einem Smartphone

Von


Geht es nach dem "Wall Street Journal", hat die Tech-Branche ein "schmutziges Geheimnis". Eine Recherche der US-Zeitung über den E-Mail-Dienst Googlemail (Gmail) und mögliche Mitleser macht derzeit weltweit Wirbel: Teils wird sie mit reißerischen Überschriften wie "Fremde können eure Nachrichten bei Gmail mitlesen" nacherzählt. Ein Twitter-Account einer großen Nachrichtenseite fragte Mittwochvormittag: "Wussten Sie nicht, oder doch? Falls Sie Gmail nutzen, sollte Ihnen klar sein, dass Drittfirmen in Ihren Nachrichten lesen. Offenbar ganz legitim."

Ganz so simpel, ganz so schmutzig ist es aber nicht. Das "Wall Street Journal" berichtet zwar, dass die Mitarbeiter einiger dritter Tech-Firmen tatsächlich und in Ausnahmefällen sogar händisch die E-Mails von Gmail-Nutzer analysieren, etwa um ihre Algorithmen zu optimieren. Der Artikel macht aber auch klar, dass nicht pauschal jeder Nutzer von Googles E-Mail-Dienst betroffen ist.

Die durchaus bedenkliche Praxis der E-Mail-Scans steht nämlich nur Firmen offen, die sich dafür vom Nutzer eine Erlaubnis geholt haben - oder die sich diese Erlaubnis über Umwege wie Tochter- oder Partnerfirmen besorgt haben.

So sieht eine Leseerlaubnis aus

Wie es aussieht, wenn man einem Dienst (und damit potenziell auch dessen Mitarbeitern) das Lesen seiner Gmail-Nachrichten erlaubt, zeigt beispielhaft dieser Screenshot aus dem Anmeldeprozess von Earny, einem Dienst, der im "Wall Street Journal"-Text erwähnt wird:

Hinweis bei der Verbindung des Gmail-Kontos mit Earny
SPIEGEL ONLINE

Hinweis bei der Verbindung des Gmail-Kontos mit Earny

Der Nutzer stimmt der Berechtigung "E-Mails lesen, senden, löschen und verwalten" zu, heißt auf dem Bildschirm. Nachdem wir auf "Zulassen" geklickt haben, kam in unserem Testfall von Google auch noch eine E-Mail an das verbundene Gmail-Konto, in der es noch einmal und unmissverständlich heißt: "Earny wurde mit Ihrem Google-Konto verknüpft [...] Hallo X, Earny kann jetzt auf Ihr Google-Konto x@gmail.com zugreifen. Earny kann: E-Mails lesen, senden, löschen und verwalten".

Earny muss auf die E-Mails zugreifen

Und auch wenn man App-Berechtigungen mitunter dazu neigt zu hoffen, dass die Apps nicht wirklich alles machen: Man sollte sich auf diese Hoffnung nicht blind verlassen. Zumal Earny sogar ein Dienst ist, der darauf basiert, Mails seiner Kunden zu analysieren. Earny verspricht nämlich, Rechnungen aus den Postfächern seiner Nutzern auszuwerten und dann zu schauen, ob es die gekauften Artikel irgendwo günstiger gibt. Ist das so, versucht Earny für den Nutzer eine Gutschrift zu besorgen, von der wiederum Earny 25 Prozent abbekommt.

Sobald Earny Zugriff aufs Gmail-Postfach hat, fragt der Dienst übrigens noch nach dem Amazon-Konto-Login. Klickt man "Überspringen", poppt ein Banner auf, mit dem Text "Überspringen Sie das nicht: Das Überspringen dieser Seite verhindert, dass Earny Ihre Amazon-Käufe schützt. Bitte denken Sie noch einmal darüber nach!" Earny scheint ein besonders rabiater Zugangssammler zu sein.

Zur Illustration des E-Mail-Mitlese-Problems ist der Fall trotzdem interessant, denn in Earnys Datenschutzrichtlinien heißt es noch, der Dienst teile Informationen - insofern man dem nicht explizit widerspricht - auch mit seiner Mutterfirma Return Path. Die wiederum verwende die Informationen dann auf Basis ihrer eigenen Datenschutzrichtlinien.

Das Unternehmen Return Path spielt im "Wall Street Journal" eine zentrale Rolle, da die Firma den Recherchen zufolge mit zahlreichen Web-Diensten verbandelt ist. Und über Return Path heißt es auch: "Einmal, vor rund zwei Jahren, haben Mitarbeiter von Return Path ungefähr 8000 unbearbeitete E-Mails gelesen, um die Software ihrer Firma zu verbessern, sagen Personen, die mit der Sache vertraut sind."

Vorsicht, wem Sie was erlauben

Nutzern, die um die Sicherheit ihrer Gmail-Daten besorgt sind, lässt sich auf Basis des US-Artikels eigentlich nur raten: Erteilen Sie Dritt-Diensten am besten grundsätzlich nicht die Berechtigung, ihre Mails lesen zu dürfen. Und wenn sie das doch tun müssen - etwa, weil sie Ihre Gmail-Nachrichten mit einer anderen Mail-App verwalten wollen -, entscheiden Sie sich für einen Dienst, dem Sie vertrauen (und dessen Betreiber den Zugriff vielleicht nicht gleich mit weiteren Unternehmen teilt).

Wenn Sie sich unsicher sind, ob Sie Dritt-Apps den Zugriff auf Ihr Gmail- oder ein anderes Google-Konto bereits erlaubt haben, können Sie dies bei Google eingeloggt unter myaccount.google.com überprüfen. Unter "Apps mit Kontozugriff" bekommen Sie einen Überblick der Apps mit entsprechenden Freigaben.

Hier sehen Sie, wie Earny in unserem Test-Account auftaucht:

SPIEGEL ONLINE

Wenn Sie auf einen Dienst und danach auf "Zugriffsrechte entfernen" klicken, können Sie Freigaben, die Ihnen dubios erscheinen, auch wieder zurücknehmen.

Wann Google selbst auf Gmail-Nachrichten zugreift

Google selbst hat Gmail-Nachrichten übrigens über Jahre hinweg auf Schlagworte hin analysiert, um Gmail-Nutzern daran angepasst Werbung anzeigen zu können. Erst 2017 wurde das Scannen für alle Kunden abgeschafft.

In einem aktuellen Blogpost zum Thema betont Google, dass Apps, die auf Gmail-Konten zugreifen wollen, vom Unternehmen geprüft würden. Die Apps dürften nur Daten abfragen, die für ihr Funktionsprinzip wichtig seien.

Außerdem heißt es: "Niemand bei Google liest Ihre E-Mails." Ausnahmen von dieser Regel gebe es nur in "sehr speziellen Fällen", wenn entweder Nutzer das Unternehmen darum bitten und dem Vorgang zustimmen, oder wenn der Zugriff auf die E-Mails "aus Sicherheitsgründen" notwendig sei, etwa zum Untersuchen eines technisches Fehlers oder eines Konto-Missbrauchs.



insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
C.Rainers 04.07.2018
1. Selbstverständlich
könnten Entwickler überall mitlesen, alleine aus Optimierungsgründen, aber wie realistisch ist das? Ich habe mal in einer Softwareschmiede gearbeitet und natürlich haben sich die Entwickler Hintertürchen und Schnellwege eingebaut um schneller programmieren zu können, aber niemand setzt sich gezielt hin forstet das durch schon gar nicht bei Millionen Usern. Möglich ist aber alles
rjsedv 04.07.2018
2. Kann man denn verhindern, dass Entwickler mitlesen?
Ich war in der Tat verwundert über die Überschrift. Ich gehe eigentlich davon aus, dass alle E-Mail-Postfächer bei Diensten wie Google, GMX etc. von deren Entwicklern bzw. allen interessierten Personen gelesen werden. Warum sollte das nicht gehen? Nur weil diese zusichern es nicht zu tun? Wie naiv ist das denn. Das ist genauso zu werten wie die Zusicherung des Postboten die Postkarte nicht zu lesen - nur die Adresse. Wer sich auf die Cloud einlässt, muss ein unendliches Vertrauen besitzen - wie Babies. Oder aber man betreibt seine eigenen Server und dann muss man das Know how haben. Und die Zeit. Tja - welches Schweindle hätten Sie denn gerne?
Pkl 04.07.2018
3. Warum die Aufregung?
Bei dem was auf Facebook und Co von Usern selber preisgegeben wird, brauchen sich doch die Meisten nicht Aufregen , es wird doch sowieso alles ins Netz gestellt, egal ob wichtig , richtig oder falsch, Hauptsache ich bin im Gespräch.
vaikl 04.07.2018
4. So langsam...
...sollten wir uns in der öffentlichen Diskussion endgültig vom Modebegriff "Freies Netz" und der unsäglich verlogenen Folkloristik um freien und kostenlosen Informationszugang verabschieden. Es geht wirklich nur noch darum, wie man am schnellsten und billigsten Zugang zu und Zugriff auf *alle* Informationen auf *allen* Devices *jedes* Netznutzers bekommt - egal, ob man damit zunächst überhaupt etwas anfangen kann.
hanfiey 04.07.2018
5. Klar geht es
Zitat von rjsedvIch war in der Tat verwundert über die Überschrift. Ich gehe eigentlich davon aus, dass alle E-Mail-Postfächer bei Diensten wie Google, GMX etc. von deren Entwicklern bzw. allen interessierten Personen gelesen werden. Warum sollte das nicht gehen? Nur weil diese zusichern es nicht zu tun? Wie naiv ist das denn. Das ist genauso zu werten wie die Zusicherung des Postboten die Postkarte nicht zu lesen - nur die Adresse. Wer sich auf die Cloud einlässt, muss ein unendliches Vertrauen besitzen - wie Babies. Oder aber man betreibt seine eigenen Server und dann muss man das Know how haben. Und die Zeit. Tja - welches Schweindle hätten Sie denn gerne?
Ich stimme da völlig zu, schon aus rechtlichen Gründen muss der Zugang bei Speicherung offen sein. Wenn ein Anbieter Log Daten gar nicht erst speichert und ein VPN anbietet wird es schon schwieriger, kommt dann noch eine Verschlüsselung dazu unmöglich an die Daten zu kommen oder die Mail zu lesen. Der Schlüssel ist zu diesem Zweck am besten in den eigenen Händen und die verschlüsselte Mail kann dann ja gerne nochmal vom Anbieter verschlüsselt werden.. Das ist allerdings mit geringen Kosten verbunden, also wirklich lächerlich für die gebotene Sicherheit wenn man es braucht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.