Wie Google bald das gesamte Internet umerziehen will

Dem Suchmaschinen- und Onlinewerbe-Giganten Google sind Werbeblocker schon länger ein Dorn im Auge, ist die Werbung doch mit grossem Abstand das wichtigste Standbein des Konzerns. Laut Shopify's E-Commerce-Portal Oberlo machen Werbeformate drei Viertel des Google-Umsatzes aus, wenn man Werbung auf YouTube, im Google-Network und in der Suche zusammennimmt.

Dazu kommt, dass Google auch den Browsermarkt dominiert. Immerhin basiert nicht nur Googles eigener Webbrowser Chrome auf dem von Google geleiteten Chromium-Projekt, sondern auch zahlreiche namhafte andere, wie Microsoft Edge, Opera, Brave, Vivaldi und Samsungs Internetbrowser. Unter den bekannteren Browsern benutzen nur Firefox, der Tor-Browser und Apples Safari einen anderen Unterbau.

Mit diesen zwei Tatsachen im Hinterkopf wird man umso besser verstehen, wieso Googles neuster Streich bei Konsumenten- und Datenschützern sowie Entwicklern auf heftige Kritik stösst.

WEI (Web Environment Integrity) ist eine von Google vorgeschlagene Programmierschnittstelle, mit deren Implementierung in Chromium (der Basis der meisten Browser) bereits begonnen wurde. Sie soll ermöglichen, dass ein Browser gegenüber einer Webseite nachweisen muss, dass er selbst und die Umgebung, in der er läuft, vertrauenswürdig ist. Den Nachweis dieses Vertrauensbonus soll in der Rolle des «Attesters» eine Drittpartei liefern.

Der erste Absatz in Googles Erklärungsversuch liest sich so: «Die Nutzer verlassen sich oft darauf, dass Websites der Client-Umgebung vertrauen, in der sie laufen. Dieses Vertrauen setzt voraus, dass die Client-Umgebung bestimmte Aspekte ihrer selbst ehrlich behandelt, Nutzerdaten und geistiges Eigentum sicher aufbewahrt und transparent macht, ob ein Mensch sie benutzt oder nicht. Dieses Vertrauen ist das Rückgrat des offenen Internets und entscheidend für die Sicherheit der Nutzerdaten und die Nachhaltigkeit des Geschäftsbetriebs der Website.»

Kommentar: Schon dies ist eine merkwürdige Position. Abgesehen davon, dass es Websites schlicht nichts angeht, was der User mit geistigem Eigentum anstellt und ob er KI, Bots oder Skripte verwendet, führt dies eine klassische IT-Sicherheitsregel ad Absurdum, die aus guten Gründen genau das Gegenteil predigt: traue niemandem! Bloss, weil eine Webseite mir einen Inhalt ausliefert, heisst das nicht, dass sie mir oder meinem Browser vertrauen muss.

Oder wie der in der Schweiz lebende AutoDesk-Erfinder und Netzexperte John Walker bloggt: «Ein Server, der über ein Netzwerk mit einem Client kommuniziert, der nicht unter seiner Kontrolle steht, muss immer davon ausgehen, dass der Client böswillig ist, alles unabhängig verifizieren, sich gegen 'Man-in-the-Middle'-Angriffe schützen und sich gegen Denial-of-Service-Angriffe verteidigen. Die Annahme, dass 'die Client-Umgebung ehrlich ist', könnte man als die Erbsünde der Sicherheit von Netzwerkanwendungen bezeichnen.»

Google nennt einige Beispiele, in denen Webseitenbetreiber und User von diesen Funktionen profitieren sollen: Websites sollen damit sicherstellen können, dass die eingeblendete Werbung wirklich einem menschlichen Besucher ausgespielt wird – und nicht einem Bot, bei dem sie ins Leere läuft. Ferner sollen Nutzer sozialer Netzwerke sicher sein können, dass die Personen, mit denen sie interagieren, keine Bots sind: Wenn Plattformen den Nutzern zeigen wollten, welche Inhalte bei menschlichen Nutzern beliebt sind, bräuchten diese eine Methode, Menschen von Bots zu unterscheiden; also eine «vertrauenswürdige Umgebung» von einer, die «nicht vertrauenswürdig» sei.

Beim Online-Gaming könnten Umgebungen blockiert werden, in denen unerlaubte Werkzeuge (Cheat-Tools) zum Verbessern der Spielresultate im Einsatz sind. Und Banking-Websites könnten sicherstellen, dass nur vertrauenswürdige Software ihre Schnittstellen benutzt.

Websites sollen also künftig unter Beibezug eines «Attesters» (mutmasslich: Google selbst) einen Vertrauensnachweis zum Gerät des Users verlangen können, sprich: zu seinem Browser, den dortigen Add-ons und dem Betriebssystem. Dies hat verschiedenste Kritiker auf den Plan gerufen.

Peter Snyder, Privatsphäre-Chef des Brave-Browsers, fürchtet, die User könnten damit die Kontrolle darüber verlieren, wie und mit welchen Werkzeugen sie welche Onlineinhalte konsumieren oder wegfiltern. Er versichert: Auch wenn Brave ebenfalls auf Chromium basiert, werde WEI nicht in Brave einziehen.

Ein weiterer Kritikpunkt ist die zunehmende Machtkonzentration in den Händen eines einzigen Unternehmens. Die Gefahr durch einen Missbrauch dieser Macht steigt. WEI könnte zum Beispiel dazu verwendet werden, Produkte missliebiger Konkurrenten zu blockieren. Oder Browser mit den «falschen» Add-ons.

Wie das ItsFOSS-Portal schreibt, würde die Nutzung dieser API zu einem verstärkten Fingerprinting führen, durch welches die Nutzer noch gezielter durch ihre sämtlichen Web-Aktivitäten verfolgt werden können.

Auch Julien Picalausa, Entwickler beim Browser Vivaldi, erkennt einen Angriff auf die Wahlfreiheit der User. So könnte nun eine zentrale Stelle darüber entscheiden, welchen Browsern zu trauen sei und welchen nicht. Etwa unter Android wäre der «Attester» in einem solchen Fall Google Play. Er könne sich nicht vorstellen, dass Google dabei unparteiisch bleibt.

Spinnt man diesen Faden weiter, würde in der Windows-Welt wohl der Microsoft-Store als Attester dienen, auf Macs wäre es Apple; damit wären Edge und Safari aus dem Schneider – zumindest auf ihren eigenen Plattformen.

Was würde unter Linux passieren? Würde sich Ubuntu-Macherin Canonical zur Entscheiderin über Gut und Böse aufschwingen? Oder wären Linux-Anwender weg vom Fenster?

Kommentar: Es wäre aus meiner Sicht ein derber Witz, wenn ausgerechnet Linux-User eines Tages vom Web abgeschnitten würden, obwohl gerade ihr Betriebssystem das Web massgeblich geprägt hat und dies noch immer tut (die meisten Webserver laufen darauf).

Vivaldi-Entwickler Picalausa hält ebenfalls den Finger auf Datenschutzfragen: Werden Verhaltensdaten der User herbeigezogen? Werden Attester in den Besitz dieser Daten kommen? Was ist mit Barrierefreiheits-Hilfen, die auf automatische Eingaben im Browser angewiesen sind?

Kommentar: Mir persönlich wäre es unwohl dabei, solche Daten ausgerechnet in den Händen des Werbegiganten Google zu wissen.

Laut Julien Picalausa sei es für Browser-Entwickler unter Umständen auch nicht so einfach, sich einem Google-WEI-Diktat schlicht zu verweigern. Ein Browser, der die Anforderungen nicht erfüllt, würde auf Websites, die diese API nutzen, schlichtweg blockiert. Käme es Google in den Sinn, dies auf eigenen Websites durchzusetzen, wäre das der Tod jedes Browsers, der sich dem Diktat nicht beugt. Nicht zuletzt könnte Google auch versuchen, jede Webseite, die Google Ads verwendet (sprich: fast jede), zum Einsatz dieser API zu zwingen.

Kommentar: Add-ons seien laut Google nicht Ziel dieser Aktion. Aber wie wir wissen, ist im Web nichts in Stein gemeisselt, schon gar nicht beim Unternehmen Google, das sein einstiges Credo «Don't be evil» («Sei nicht bösartig») längst über Bord geworfen hat.

Hoffnungen sieht der Vivaldi-Entwickler jedoch in der EU, die es seiner Ansicht nach nicht zulassen wird, dass einzelne Grosskonzerne entscheiden können, welche Browser erlaubt seien.

Kehren wir nochmals kurz zum schwurbelhaften Absatz zurück, mit dem Google auf Github seine Erklärung einläutet.

Google meint also, das «Rückgrat des offenen Internet» bestehe darin, Werkzeuge zu schaffen, mit denen missliebige Browser und Betriebssysteme aus dem Web verbannt werden können. Klingt dies nicht wie das genaue Gegenteil von Offenheit?

Und von solchen Massnahmen hänge dann auch die «Sicherheit der Nutzerdaten und die Nachhaltigkeit des Geschäftsbetriebs der Website» ab.

Liebe Google-Macher und liebe Google-Ads-Kunden, das kann nicht euer Ernst sein. Bisher hingen diese Dinge davon ab, dass Webseitenbetreiber ihre Systeme vernünftig absicherten und nötigenfalls klassische Werkzeuge zur Abwehr von Denial-of-Service-Angriffen implementierten.

Angst musstet ihr kaum je vor den Usern und ihren Geräten haben; meist war und ist es immer noch genau umgekehrt: Sind die vielen Dutzend Scripts, die ihr auf den Websites einbaut, sicher genug für mich? Oder will eins davon mir eine Malware unterjubeln? Will etwa schon wieder eins der vielen Google-Ads mich auf eine Scam- oder Phishing-Seite locken? Dort ist es, wo die Probleme nach wie vor liegen. Der Browser der User hat damit nur insofern zu tun, dass er (etwa wie Firefox und das NoScript-Add-on) dabei hilft, die Fallen, die auf euren Websites lauern, zum umschiffen.

Für mich es offensichtlich: Das Buzzword «Sicherheit», mit dem Google hier herumwedelt, wird nicht dem Wohle der User dienen, sondern nur dem einzig heiligen Zweck, den Google kennt: Gewinnmaximierung. Und um nichts anderes geht es dem weltweit grössten Werbekonzern.