Wenn ihr nicht aufpasst, schickt ihr Google jetzt euren Browser-Verlauf

Kurz noch die E-Mails checken, auf YouTube Musik anmachen und dann einen Tab zur Lieblings-Pornoseite öffnen – für viele sieht so ein ganz normaler Tag mit ihrem liebsten Internet-Browser aus. Aber seit dem neusten Update von Google Chrome solltest du besonders aufpassen, wenn du Websites öffnest, die nicht unbedingt in deinem Browser-Verlauf landen sollten.

Grund dafür ist ein Browser-Update, das der Krypto-Experte Matthew Green heftig kritisiert hat. “Heute schreibe ich über Google Chrome, darüber wie sehr ich es in der Vergangenheit liebte und warum ich es in Zukunft nicht mehr benutzen werde”, schreibt Green am Sonntag in seinem Blogbeitrag “Why I’m done with Chrome”. Denn mit dem neuen Update zur Versionsnummer 69 erhält der am meisten verbreitete Browser der Welt ein sonderbares Feature.

In der neuesten Chrome-Version kann es Nutzern deutlich schneller als zuvor passieren, ihren gesamten Browser-Verlauf automatisch zu speichern und gegebenenfalls per Sync auf Google-Server hochzuladen. Wer nicht genau aufpasst, tut das möglicherweise sogar, ohne es zu bemerken. Grund dafür ist etwas, das Matthew Green als “Zwangs-Login” bezeichnet: Wenn du dich im Chrome-Browser bei einem Google-Service wie Gmail, YouTube oder Drive anmeldest, dann passiert jetzt auch automatisch ein Login im Browser. Auch wenn viele von dieser Funktion vielleicht noch nie gehört haben: Ja, das gibt es. Du kannst dich beim Chrome-Browser mit einem Account einloggen. Und dort beginnt das Problem.

Wenn du deinen Chrome-Browser nach dem Update auf die neuste Version öffnest und dich noch nirgendwo eingeloggt hast, sollte alles wie immer aussehen. Der kleine Kreis oben rechts im Browser ist noch grau. Das heißt, du bist nicht im Chrome-Browser angemeldet. Doch nun kommt der Clou: Sobald du dich nun bei Gmail oder YouTube mit deinem Google-Account einloggst, findet automatisch auch ein Login im Chrome-Browser statt.

Zu erkennen ist das an dem bereits erwähnten Kreis oben rechts: Der zeigt nun auch das Logo eures Google-Accounts. Wenn du den Kreis anklickst, fragt dich Chrome zudem freundlich, ob du deine Daten gerne synchronisieren möchtest. Die Schaltfläche ist blau hinterlegt und lädt besonders zum Klicken ein. Was genau beim Synchronisieren passiert, wird zunächst nicht erklärt. Wenn du diese Schaltfläche jetzt anklickst – oder das irgendwann einmal ohne viel nachzudenken getan hast – schickst du den gesamten Browser-Verlauf an Google-Server. Inklusive der Websites, mit denen du später vielleicht nicht unbedingt in Verbindung gebracht werden möchtest oder die du eigentlich anonym aufrufen wolltest.

Genau daran macht Matthew Green seine Kritik fest: Google-Mails und YouTube-Abos lassen sich bei den Standard-Einstellungen des Browsers nicht mehr ohne Chrome-Login checken. Es ist in Chrome also nicht mehr so einfach möglich, den eigenen Browser-Verlauf für sich zu behalten und zugleich einen solchen Google-Service zu nutzen. Wer viel Wert auf Privatsphäre legt und bewusst auf den Chrome-Login verzichten will, hat also zunächst ein Problem. Loggst du dich im Chrome-Browser aus, wirst auch sofort aus Gmail und den anderen Google-Diensten ausgeloggt.

Das Problem tritt übrigens nur bei Nutzern auf, die sich mindestens einmal erfolgreich in ihrem Chrome-Browser angemeldet haben. Wer so einen Browser-Login noch nie gemacht hat, erlebt derzeit keinen solchen "Zwangs-Login". Wenn du schon lange Chrome verwendest ist die Wahrscheinlichkeit aber recht hoch, dass du dich irgendwann einmal bewusst oder unbewusst im Browser angemeldet hat. Bei einem Motherboard-Test mit einer neu installierten aktuellen Chrome-Version war die Snyc-Funktion übrigens schon direkt nach dem ersten Login im Browser aktiviert.

Wer Chrome nutzt, füllt seinen Rechner automatisch mit Daten. Dazu gehören Cookies und eine riesige Liste aller besuchten Websites: der Browser-Verlauf. Die Informationen kannst du nur nachträglich per Hand löschen – musst aber regelmäßig daran denken. Die manuell aktivierbare Sync-Funktion sichert diese Daten zudem auf Google-Servern und schickt sie an allen anderen Geräte, die du mit dem entsprechenden Google-Account nutzt und synchronisierst. Wenn die Synchronisierung nicht aktiv ist, werden die Daten nur auf deinem Gerät selbst gespeichert.

Chrome scheint Nutzern diese Sync-Funktion besonders ans Herz legen zu wollen. "Synchronisieren Sie", lautet die motivierende Aufforderung auf der blauen Schaltfläche nach dem Login in den Chrome-Browser. Offenkundig besteht bei Google ein gesteigertes Interesse daran, dass Nutzer ihre Browser-Daten nicht für sich behalten.

Bevor sich Nutzer auf die Funktion einlassen, erklärt Google kurz: "Lesezeichen, Verlauf, Passwörter und andere Einstellungen werden mit Ihrem Google-Konto synchronisiert". Außerdem heißt es, mit diesem Browserverlauf könne Google unter anderem Werbung personalisieren. Wer diese Sätze flüchtig liest, führt sich möglicherweise nicht deutlich vor Augen, was das eigentlich bedeutet: Nämlich dass man künftig Google immer haargenau verrät, welche Website man aufruft, damit der Konzern das auswerten kann.

Green kritisiert das Vorgehen von Chrome als “dark pattern”, als Verwirrungsstrategie. Der Vorwurf: Chrome erkläre Nutzern nicht ausreichend, welche Buttons zu einer Synchronisierung führen und welche nicht. Im schlimmsten Fall schicken Millionen nichtsahnende Nutzer während sie ihre E-Mails checken ihren Browserverlauf an Google-Server, obwohl sie das möglicherweise lieber nicht tun würden.

Inzwischen hat sich auch Google zu den Vorwürfen geäußert. “Meine Kollegen haben die Veränderungen gemacht”, twitterte die Chrome-Managerin Adrienne Porter Felt, “um Überraschungen vorzubeugen, wenn man sich ein Gerät teilt. In der Vergangenheit haben sich Menschen aus dem Content-Bereich ausgeloggt und dachten, dass sie auch bei Chrome nicht mehr angemeldet seien, was bei geteilten Geräten zu Problemen führen konnte.” Auf eine offizielle Anfrage unserer US-Kollegen hin hat Google zunächst lediglich auf die Twitter-Nachrichten der Chrome-Managerin verwiesen.

Porter spricht damit ein Problem im Chrome-Browser an, das auch auf Motherboard schon besprochen wurde: Vor dem Update auf Version 6.9 konnte etwa deine Mitbewohnerin im Chrome-Browser ihre Google-Mails checken, obwohl du immer noch mit deinem Google-Account im Chrome-Browser eingeloggt warst. Alle Websites, die deine Mitbewohnerin aufrief, wurden zudem in deinem Browser-Verlauf gespeichert. Theoretisch hätte sie sogar von dir gespeicherte Passwörter entführen und selbst verwenden können. Wie das passieren kann, haben wir in einem Artikel von Januar 2018 erklärt.

All das geht in Zukunft nicht mehr so einfach – denn wenn sich Wiebke künftig bei einem Google-Dienst einloggt, werden alle vergessenen Logins automatisch aufgehoben.

Chrome-Managerin Porter Felt versuchte verärgerte Nutzer auf Twitter mit Erklärungen zu beschwichtigen. “Die Desktop-Version von Chrome sagt euch jetzt, dass ihr immer eingeloggt seid, sobald ihr euch auf einer Google-Seite anmeldet. Aber das bedeutet NICHT, dass Chrome euren Browserverlauf automatisch an Google sendet.” Und sie erklärt weiter: Sync lädt eure Browsergeschichte bei Google hoch, damit ihr auf unterschiedlichen Geräten darauf Zugriff habt.” All das mag zwar stimmen – wer aber nicht genau kontrolliert, ob Sync gerade aktiviert ist, schickt eben doch seinen ganzen Browser-Verlauf an Google.

Chrome ist durch das neue Update komplizierter und anstrengender geworden. Aber wer viel Wert auf Privatsphäre legt, hat zwei simple Auswege zur Wahl: Den Inkognito- und den Gastmodus. In beiden Modi gibt es den "Zwangs-Login" nämlich nicht.

In den Gastmodus gelangt ihr, wenn ihr auf den kleinen Kreis mit eurem Bild klickt. Klickt dort auf “Profil beenden” und dann auf “Als Gast nutzen”. Dann wird der Browser-Verlauf nicht dauerhaft gespeichert oder gar mit Google synchronisiert. Auch ein Chrome-Login ist nicht möglich. Alternativ könnt ihr auch in der Menüleiste unter Datei/ Neues Inkognitofenster einen neuen Browsertab öffnen, das hat denselben Effekt.

Der Nachteil dabei: Inkognito-Tabs müssen stets einzeln und händisch geöffnet werden, das ist etwas umständlich. Im Gast-Modus kannst du nicht auf deine Lesezeichen und gespeicherten Passwörter zugreifen. Wer Chrome im Gastmodus beendet, wird beim nächsten Öffnen des Browsers übrigens wieder gefragt, ob er den Gastmodus nutzen möchte. Fest steht: Wirklich gute Privatsphäre gibt es bei Chrome eher auf Umwegen, und diese Umwege sind gerade nochmal etwas komplizierter geworden.

Update, 27. September 2018: Nach massiver Kritik will Google bei der neuen Chrome-Version nachbessern. Künftig sollen Nutzer den sogenannten "Zwangs-Login" im Einstellungsmenü abschalten können. Ab Werk soll die umstrittene Funktion aber aktiv bleiben.

Folgt Johannes auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter