Google+ unter der Lupe

IT-Sicherheitsexperten haben das kürzlich an den Start gegangene soziale Netzwerk "Google+" des Internet-Riesen untersucht und warnen vor kleineren Problemen, loben Google aber gleichzeitig.

Googles Versuche, ein soziales Netzwerk in Konkurrenz zu Facebook aufzubauen, sorgten bereits mehrfach für Privatsphären-Probleme. Google Buzz, ein Twitter-ähnlicher Dienst, der mittlerweile eingestellt wurde, nahm anfangs einfach die Google-Mail-Kontakte und trug sie automatisch in die Freundesliste ein. In einem Fall bekam so ein gewalttätiger Ex-Ehemann wieder Kontakt zu seiner Frau. Entsprechend zentral war die Frage des Datenschutzes beim Start von Google+ im Juni.

Das neue Netzwerk ist bislang ein großer Erfolg: 40 Millionen User hat das Angebot bereits. Die beiden Sicherheitsforscher Shah Mahmood und Yvo Desmedt vom University College London (UCL) haben den Facebook-Konkurrenten nun einer ersten IT-Security-Analyse unterzogen, bei der es vor allem um das Thema Privatsphäre ging. Ihr bislang noch vorläufiges Ergebnis ist geteilt: Einerseits gibt es Lob für neue Funktionen, die die Vernetzung unter Freunden sicherer machen, andererseits sehen die Experten noch Detailprobleme.

Dazu gehört die Art, wie Google+ momentan mit Bildern umgeht. Mahmood und Desmedt zeigen, dass Fotos, die in das Netzwerk hochgeladen werden, ihre Metadaten behalten. Dazu gehören Informationen wie Datum und Zeit der Aufnahme ebenso wie die verwendete Kamera. Das mag harmlos klingen, könnte aber in Rechtsstreitigkeiten verwendet werden, um zu bestimmen, wo sich eine Person zu einem bestimmten Zeitpunkt aufgehalten hat. Metadaten seien ebenso schützenswert wie andere Informationen und sollten nicht ohne explizite Erlaubnis geteilt werden, meinen die Forscher. (Fotodienste wie Flickr setzen ebenfalls auf die Verwendung von Metadaten, doch hier wissen die Nutzer vorab darüber Bescheid.)

Problematisch sei auch der "About"-Bereich ("Über mich") in Google+, meinen die UCL-Experten. Dort lege es Google seinen Nutzern derzeit noch nahe, auch frühere Adressen, frühere Namen und den Geburtsnamen der Mutter anzugeben. Dies seien jedoch genau jene Informationen, die Identitätsdiebe für ihre Taten besonders gut gebrauchen könnten.

Mahmood und Desmedt verglichen außerdem die Sharing-Funktionalitäten von Google+ mit denen von Facebook. Sie sind grundsätzlich ähnlich. "Es gibt aber Unterschiede, die Facebook-Listen robuster machen als die Circles bei Google+", so die UCL-Forscher. Das sei beispielsweise die Möglichkeit, Ausnahmen zu definieren, um detailliert zu regeln, wer was zu sehen bekommt. Bei Facebook könne man Nachrichten mit "allen Freunden" teilen, aber beispielsweise "Kollegen aus der Firma" ausschließen. Das geht bei Google+ nicht, hier müsse man erst einen passenden Circle anlegen.

Momentan seien viele der Funktionen bei Google+ nur eine Teilmenge dessen, was bei Facebook möglich ist. "Allerdings hat Google+ bessere Interface-Elemente und erlaubt eine genauere Kontrolle über publiziert Inhalte." Dazu gehöre die Möglichkeit, das neuerliche Teilen eines Google+-Postings zu verhindern oder Kommentare jederzeit zurückzunehmen und zu verändern.

Lob gab es für die Tatsache, dass Google+ standardmäßig auf SSL-Verschlüsselung setzt – und zwar für die gesamte Verbindung zu dem Netzwerk. Facebook nutzt dies nur für die Login-Seite, außer man aktiviert das Sicherheitsverfahren explizit. Google+-Sitzungen seien deshalb grundsätzlich besser vor "Man-in-the-Middle"-Angriffen geschützt.

Wirklich grobe Probleme sehen Mahmood und Desmedt bei Google+ derzeit nicht – Bereiche wie das Metadatenproblem bei Fotos oder die fehlenden Ausnahmen in den Sharing-Einstellungen lassen sich schnell beheben. Das Fazit der Forscher: Google hat offenbar aus Google Buzz gelernt. Dazu gehört auch die Tatsache, dass der Dienst demnächst Pseudonyme unterstützen will, einer der bislang größten Kritikpunkte. (bsc)