Datenschutz: Virenscanner - Wölfe im Schafspelz

Nur Nutzer der Gratis-Software betroffen

Dass im Browser- und Suchverlauf Daten enthalten sein könnten, mit denen man User identifizieren kann, ist den Verantwortlichen natürlich bewusst. Daher würden diese Infos auch anonymisiert, „wenn wir darauf aufmerksam werden“, wie in den Bestimmungen relativierend geschrieben steht.

Äußerst vage liest sich auch die Liste derer, an die Daten weitergegeben werden. Darunter sind mit AVG verbundene, nicht weiter spezifizierte Unternehmen angeführt, außerdem „bestimmte Suchanbieter“ und „ausgewählte Vertriebspartner, Händler und andere Geschäftspartner“. Von der Datensammelaktion betroffen sind Unternehmensangaben zufolge nur die Nutzer der Gratis-Software, und auch die könnten dem Vorgehen jederzeit widersprechen.

Jede Menge Kritik

Experten und Nutzer äußern dennoch jede Menge Kritik: Das AVG-Produkt benehme sich wie Spyware (Spionagesoftware), es handle sich um einen unethischen Vertrauensmissbrauch, oder das sei so, als ob der eigene Bodyguard einen beim Duschen filme, heißt es im Netz.

Vereinzelt ortet man freilich auch Verständnis; etwa, wenn ein Kommentator schreibt, dass die neue Richtlinie klar und einfach formuliert sei – und dass außerdem eine Unzahl an Softwareanbietern ihre Kundendaten zu Geld machen, die wenigsten jedoch ihre Kunden transparent darüber aufklären.

Auch Avira und Avast verdienen an Userdaten

Tatsächlich ist AVG ja nicht das einzige so agierende Unternehmen aus der Branche. Auch in den Datenschutzrichtlinien von Avira steht geschrieben, dass man die „erhobenen Informationen“ dazu verwende, Inhalte anzubieten, die besser auf die Nutzerbedürfnisse zugeschnitten seien – konkret, „damit wir Ihnen treffendere Suchergebnisse und Werbeanzeigen zur Verfügung stellen können […]. Auf diese Weise sind wir in der Lage, unsere Geschäftsaktivitäten zu unterstützen, damit wir Ihnen auch weiterhin gewisse Produkte kostenlos zur Verfügung stellen können.“

Maßgeschneiderte Reklameeinblendungen

Weiters informiert das Virenschutz-Unternehmen, dass es gegebenenfalls in der Lage sei, ein persönliches Profil seiner User zu erstellen. Auch in den lediglich in englischer Sprache verfassten Bestimmungen von Avast steht, dass spezielle Firmen damit betraut seien, Werbeanzeigen in den Avast-Anwendungen zu platzieren und dabei anonymisierte Datenprofile von Nutzern anzulegen, um maßgeschneiderte Reklame einblenden zu können.

Nur vermeintlich gratis

Kurzum: Die Tatsache, dass kostenlose Angebote im Internet eben nur vermeintlich gratis zu haben sind, in Wahrheit aber mit Daten bezahlt werden müssen, macht auch vor den Virenschutzanbietern nicht halt.

Ärgerliche Zusatzinstallationen

Aber es kommt noch schlimmer. In unserem TestSicherheitssoftware: Virenschutz - Schutz mit Nebenwirkungen haben wir nicht nur den Informationsfluss zu Drittanbietern (darunter Google) festgestellt, sondern auch die Tatsache, dass sowohl die kostenlose als auch die kostenpflichtige Schutzsoftware immer öfter Browser-Toolbars und -Erweiterungen mitinstalliert, ungefragt die Suchmaschineneinstellungen ändert oder ähnliche Eingriffe auf dem PC vornimmt.

Sensible Daten werden an App-Anbieter weitergeleitet

Ausgerechnet Anbieter von Sicherheitssoftware bauen auf diese Weise potenzielle Schwachstellen in ihre Programme ein. Schon 2013 registrierten wir, dass diverse Virenschutz-Apps für Android-Smartphones unnötigerweise auch die Telefonnummer, die E-Mail-Adresse, Positionsdaten oder eine eindeutige Gerätekennung an die App-Anbieter weiterleiteten.

Android-Apps unter die Lupe genommen

Zu einem ähnlichen Ergebnis kam im Vorjahr der Heise-Verlag, als er Android-Apps unter die Lupe nahm. Heraus kam, dass vier von sechs Anwendungen ernsthafte Datenlecks im System aufwiesen. Die kostenlosen Produkte von Avast und AVG unterwanderten (so wie auch auch Dr. Web, Lockout und Norton) den verschlüsselten Datenaustausch, weil sie sogenannte Reputationsanfragen im Klartext übermittelten.

Probleme bei Reputationsanfragen

Mit Reputationsanfragen sind Anfragen zu Internetadressen gemeint, die von den PCs zu den Servern der Antivirenfirmen geschickt werden, damit dort geprüft wird, ob eine Gefahr von ihnen ausgeht. Diese Methode wird beim von vielen Virenschutzprogrammen angebotenen Safe-Browsing eingesetzt. Avast und AVG haben dabei nicht nur die Adressen der Seiten unverschlüsselt in ihre Clouds geschickt, sondern auch URL-Parameter. Das sind jene (hinteren) Bestandteile von Internetadressen, die Informationen über die aktuelle Browsersitzung des Internetnutzers enthalten. In diesen Datensätzen können sich auch Passwörter oder Session-IDs befinden. Infos, mit denen man beispielsweise unter dem Namen anderer Online-Shopping betreiben kann.

Mittlerweile haben Avast und AVG dieses Problem beseitigt, wenngleich nur teilweise und auf unterschiedliche Art und Weise. AVG verzichtet auf die Übertragung der URL-Parameter, überträgt die Reputationsabfragen aber nach wie vor unverschlüsselt. Avast überträgt URL-Parameter zwar weiterhin, schickt die Reputationsabfragen aber nun verschlüsselt ins Netz.

Fazit

Wir Nutzer bleiben dabei ratlos zurück, denn noch immer gilt, dass der Verzicht auf Virenschutz die schlechteste aller Lösungen ist. Schade, dass seine Verwendung schön langsam zur insgesamt zweitschlechtesten verkommt.

• Datenschutz: Persönliche Spuren beseitigen - Löschen allein ist zu wenig (10/2016)

• Datenschutz: Adresshandel - Für eine Handvoll Cent (1/2016)

• Datenschutz: Spotify - Abgehört (9/2015)

• Datenschutz: Booking.com - Datendeals unter der Decke (9/2015)

• Datenschutz: Runtastic - Der große Daten-Run (8/2015)

• Datenschutz: Freemail-Dienste - Mehr Komfort, mehr Werbung (7/2015)

• Datenschutz: PayPal - Mit Sicherheit indiskret (6/2015)

• Video on Demand - Streaming-Angebote im Vergleich (6/2015)

• Datenschutz: Zalando - Kein Grund zum Schreien (5/2015)

• Datenschutz: Mjam und die Telefonkeiler - Essen mit Folgen (4/2015)

• Datenschutz: WhatsApp - Chat mit Risiko (3/2015)

• Datenschutz: Amazon - Der unheimliche Riese (2/2015)

• Datenschutz: Facebook - Surfverhalten genau erforscht (1/2015)

• Datenschutz: Google - Einer liest mit (12/2014)

• Musikstreaming-Dienste - Wolken am Klanghimmel (7/2013)