Google Mail: Fremde greifen auf eure Mails zu, weil ihr es zugelassen habt

Momentan wird so ein bisschen Panik mit Google Mail in den Medien gemacht. Panik, die unter Umständen nicht angebracht ist. Das Wall Street Journal schreibt unter anderem, dass Google „hunderten von externen Entwicklerfirmen Zugriff auf Mailboxen von Millionen Kunden gewährt“ und dass diese eben Mail lesen könnten. Ja, aber.

Fakt ist, dass man sich bei zahlreichen Diensten mit Google anmelden kann. Allerdings geschieht das normalerweise nicht mehr mit Nutzername und Passwort, stattdessen gibt es den OAuth-Token, ein Passwort bekommt kein Dritter zu sehen. Nach dem Verbinden gibt es immer noch ein Fenster, welches die anfordernden Rechte des verbundenen Dritt-Dienstes zeigt.

Wenn ich einen Alternativ-Client für den Google Drive autorisiere, dann muss dieser Verwaltungsrechte bekommen, ein Mail-Client für Google Mail muss auf die Mails zugreifen können. Inhalt der Kritik ist auch, dass der Nutzer nur sieht, dass eine App in irgendeiner Form zugreifen kann, bei einem Mail-Client wie Outlook mit Zugriff auf das Google-Konto geht man davon aus, dass Maschinen den Zugriff und die Verwaltung von Mails bekommen, aber theoretisch könnte ja ein Entwickler lesen, denn der Nutzer hat ihm das Recht erteilt – selbst ein 1:1 Kopieren der Mails auf fremde Server wäre so erlaubt.

Normalerweise sollte eine App nur die Rechte abfragen, die sie minimal für ihre Funktion benötigt. Manche Entwickler sind in der Tat sehr dreist und hier muss der Nutzer halt auch einmal selber beim Verteilen der Rechte aufpassen, was da so in dem Fenster erscheint. Blind alles zulassen ist keine Option. Von daher rate ich ab und an in unseren Beiträgen immer mal zur Pflege des Kontos.

Schaut mal bei Google in Anmeldung & Sicherheit in den Bereich Drittanbieter-Apps mit Kontozugriff. Hier können Nutzer jederzeit einsehen, welchen Apps oder Diensten sie Zugriff auf ihr Konto gewährt haben, und diejenigen entfernen, die sie nicht mehr verwenden oder denen sie nicht mehr vertrauen.

Die Sache mit den Rechten ist nicht neu. Aber vielleicht ganz gut, wenn mal ein Beitrag wieder nach oben schwappt, animiert er vielleicht doch einige Menschen, mal diesen ganzen Rechte-Kram kritischer zu begutachten. Weniger ist echt mehr.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

30 Kommentare

  1. Also ich bekomme solche Warnhinweise jedes mal, wenn ich einen Script schreibe
    (d.h. Google Apps Script: https://script.google.com/home )
    Zuerst wird die Zugriffsberechtigung direkt abgefragt (beim ersten Start), dann
    kommen noch zwei Warnmails, einmal an das GMAIL-Konto, dann noch an die
    alternative Mail-Adresse. Das ist manchmal ziemlich nervig…aber das entrümpeln der Zugriffsberechtigungen in der Nutzerkontenverwaltung ist dadurch für mich zu etwas
    völlig selbstverständlichem geworden.

  2. Smalltown Horst says:

    Netzpolitik_org, von denen man ja eigentlich „mehr“ erwarten dürfte, haben sich auch voll in die Nesseln gesetzt. -> https://bit.ly/2KJCIuv … Mittlerweile wurde der Artikel aber vom Netz genommen.

  3. wie ich schon bei Netzpolitk.org schrieb: Wenn ich anderen meinen Schlüssel gebe muss ich mich nicht wundern wenn sie meine Tür damit aufschließen können. Entweder ich vertraue ihm oder gebe ihm keinen Schlüssel…..

  4. Ach so, der Fehler liegt beim Nutzer, klar.

    Ein weiteres grundsätzliches Problem bei der Sache ist aber, dass auch Daten von Personen ausgewertet werden, die mit dem dem „Rechtefreigeber“ kommunizieren, von dem Deal nichts wissen und gar keine Möglichkeit haben, die Auswertung abzulehnen.

    • Wenn du deinem Nachbarn einen Haustürschlüssel gibst und er Sachen aus deinem Haus 3. zeigt, klar bin ich dann selber Schuld, habe halt dem falschen Vertraut…. aber ganz sicher ist der Haustür-Hersteller nicht daran Schuld.

      • Das passt hier eher nicht. Eher ist es so, wie wenn du überall in deinem Haus versteckt Videoüberwachung installierst (ja auch auf dem Klo) und dann Frauen einlädst und die Videoaufnahmen landen dann im Internet.

        • Den Vergleich musst du mir jetzt aber erklären… Das hat ja nun gar nichts miteinander zu tun

  5. P.S.: Ein klein bisschen Clickbait ist euer Titel aber auch 😉

    • Stimmt, die Überschrift hätte man auch seriöser formulieren können, aber so gibt das halt mehr Klicks.

      P.S.:
      „1Password, Enpass und andere Passwort-Manager: Fremde greifen auf alle eure Passwörter zu, weil ihr es zugelassen habt“

      • Genau, regt euch mal schön bei dem auf, der mal nen unaufgeregten Text geschrieben habt 🙂 Danke für das Feedback.

      • Da sind sie wieder, die üblichen „Hier riecht es nach Clickbait, muss ich kommentieren!“-Hanseln 😀 Lest doch mal den Text, dann wird euch schon auffallen, dass Caschy tatsächlich einer der wenigen im Netz ist, der sich sachlich zum Thema äußert. Und Recht hat er mit der Überschrift auch, ob euch das passt oder nicht. Den Zugriff auf jene Daten haben sich die App- oder Dienstanbieter jedenfalls nicht erarbeiten müssen, sie haben euch darum gebeten und ihr habt zugestimmt. Ob man am Ende nicht ausreichend informiert gewesen ist, was da so alles passieren kann durch die Zustimmung, das ändert wirklich nichts an der Tatsache, dass DER NUTZER höchstpersönlich den etwaigen Zugriff abgenickt hat. /Lutz off

  6. Mh, also wenn ich eine alternative Mail-App für Google Mail freischalte, bekommt die App ein Token und darüber Zugriff.
    Ich bezweifel doch stark, dass der Entwickler dieses Token abgreifen und nutzen kann (das müsste eigentlich ans Gerät gekoppelt sein…)

  7. Abgesehen von den Berichtigungen für den Google Mail Account. Wie sieht es den bei diversen Browser Plug-Ins wie beispielsweise U-Block Origin aus?

    • Ich persönlich würde nur Open Source Addons installieren, vertraue keine proprietären Extensions, die eventuell alles überwachen können.

    • TracerTong says:

      Browser-Plugins finde ich auch sehr intransparent (und trotzdem nutze ich viele)

      • Ich habe nur uBlock Origin, Bitwarden, HTTPS Everywhere, Decentraleyes und Privacy Badger installiert. Mehr braucht man meiner Meinung nach nicht und alle sind Open Source.

  8. Matthias Faust says:

    @Jo Warum sollte der Fehler nicht beim Nutzer liegen? Finde da das Beispiel mit dem Schlüssel recht passend. Sogar im Bezug auf die Daten der Kommunikationspartner. Wer sagt denn das in meinem Haus / meiner Wohnung nicht irgendwelche (persönlichen) Dinge Dritter liegen die dann vom „Besucher“ gesehen werden können?

    Es liegt einfach in unserer eigenen Verantwortung uns über diese Möglichkeiten Gedanken zu machen BEVOR wir irgendwem Zugang zu unseren Daten geben. Und wenn ich Angst habe das jemand anders schludrig mit seinem Kram umgeht und so vielleicht auch noch MEINE Daten preisgibt, dann muss ich meine Kommunikation mit ihm eben verschlüsseln.

    Wird vielleicht echt Zeit das Google die Drittanbieterunterstützung nur noch für die Nutzer freigibt die vorher eine 50 Seiten lange Prüfung ablegen, um zu zeigen das sie verstanden haben was die einzelnen Rechte überhaupt bedeuten die man da Drittanbieterapps genehmigt…

  9. Wird Zeit dass Google und erlaubt alle Rechte einer APP zu sehen und einzeln zu blocken…

    Aber dann könnte man ja Werbung auch blocken…

    Die Rechte Verwaltung von Google ist ein Witz… Apple ist auch nur etwas besser…

    Und ja, wenn es dann etwas komplizierter wird… Macht nichts. Das Leben ist nicht immer einfach. Erst recht wenn es um Geld geht.

    PS: Ich hätte noch ein Baugrundstück im Sumpf… jemand interessiert?

  10. Also sorry aber wie ich das mitbekommen habe werden die E-Mails explizit durch menschliche Mitarbeiter von der Frima „Edison“ ausgewertet, analysiert und gelesen, wenn man dessen Mail-Client nutzt. Das ist schon eine ganz andere Hausnummer wenn Mitarbeiter einer Firma gezielt E-Mails lesen und auf diese zugreifen können.
    https://www.macrumors.com/2018/07/02/third-party-email-apps-reading-user-emails/

    • Ebenso die Entwickler von Return Path, die bieten Werkzeuge für Email Marketing an und durften für die Entwicklung Emails gelesen. Google selbst erwähnt am Rande auch noch dass sie Nutzeremails für’s Debugging lesen. Selbst wenn ich einer App Zugriff gewähre, schon klar, das braucht die um Emails zu verwalten, dann erwarte ich genau das nicht.
      Einer der Gründe warum ich keine Third Party Clients wie Mailbox, Inky, Spark, etc nutze. Für mich kommen nur klassische IMAP/POP-Clients in Frage.

  11. @Matthias Faust: Ja, wenn wir alle mündige und wohlinformierte Nutzer wären… Ich vermute mal, dann gäbe es 99% der (auch hier immer wieder angepriesenen) Dienste nicht. Es gibt zu wenig Transparenz, zu wenig Opt-out und noch weniger Opt-in. Es ist für mich als Nutzer in der Regel nicht kontrollierbar, wenn ein Anbieter Rechte für nachvollziehbare und berechtigte Funktionen fordert, diese aber für andere Zwecke nutzt. Wer da sagt „du hast ja zugestimmt“, macht es sich zu einfach.

  12. Schöne Erinnerung mal wieder in die eigenen Sicherheitseinstellungen zu gucken. Bis auf „Widgets for Gmail“ habe ich niemandem Zugriff erlaubt. Und das Widget verwende ich schon lange nicht mehr! Also flugs den Zugriff verweigern.
    Danke noch mal für den Beitrag, Caschy.

  13. Ich nutze aus genau dem Grund schön einzelne Logins für einzelne Dienste und nicht überall meinen Facebook oder Google Mail Account.

  14. Herr Hauser says:

    Bei mir hat nur WhatsApp für die Datensicherung Zugriff auf Google Drive und Samsung My Files. Sonst keine Drittanbieter.

    Chromecast und YouTube on TV ist ja von Google selbst.

  15. Mist. Adobe Acrobat war bei mir Mut diesen Einstellungen…

  16. Schön das @caschy (und sein Team) sich mehr als eine Minute zeit nehmen und nicht wie die ganzen andren Seiten einen Aufreger unverzüglich 1:1 weiter re-posten..

    Es ist mittlerweile unzumutbar wie viele News-Seiten/-Blogs usw. unbedacht Schlagzeilen auf Bild-Niveau 1:1 re-posten, jede Menge Click-Baits nur um mit Ads die Taschen zu füllen. Am schlimmsten ist dabei Chip.

  17. Peter Henseleit says:

    Unter „Anmeldung & Sicherheit“ finde ich keinen Bereich „Drittanbieter-Apps mit Kontozugriff“… Es besteht Aufklärungsbedarf …

  18. Interessant, bei uns haben sich auch so einige Kollegen über die „Panikmache“ gewundert bis hin zu geärgert: https://www.mailstore.com/de/blog/2018/07/06/der-gmail-skandal-der-keiner-ist/
    Und das nicht nur weil unsere Produkte auch über OAuth z.B. auf Gmail zugreifen können.

  19. Ich verwende so einen Wrapper für meine Mails am PC. Derzeit ist Kiwi für Gmail im Einsatz. Heißt das jetzt schon, dass die Macher der App meine Mails lesen können? Kann ich erkennen, ob eine Software mir nur zur Darstellung hilft oder meine Daten gleich weitergereicht werden?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.