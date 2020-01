Wer bisher beispielsweise Googles Kalender in einer nicht von Google entwickelten Anwendung oder Webseite ohne Oauth integriert, muss sich demnächst entweder umstellen oder darauf hoffen, dass sich sein Anbieter von Google-Partnern in den USA in einem kostspieligen und wenig transparenten Verfahren zertifizieren lässt.

Peer Heinlein (Mailbox.org) kritisiert Google

Mailbox.org-Betreiber Peer Heinlein kritisiert Googles Vorgehen, das ab 15. Januar die Zertifizierung von "Less Secure Apps" vorschreibt Im Gespräch mit der iX erklärt Heinlein, es sei grundsätzlich nicht verkehrt, wenn unseriöse Anbieter vom Zugriff auf Google-Konten ausgeschlossen werden und Missbrauch minimiert wird. "Aber die Rahmenbedingungen für eine Zertifizierung sind hier jedoch alles andere als transparent und akzeptabel: So fordert Google das Recht ein, unser komplettes Unternehmen durch amerikanische Zertifizierungsstellen zu durchleuchten, die ihrerseits eng an Google gebunden sind."

Peer Heinlein (Bild: mailbox.org)

Zwar erhöhe Google die Sicherheit, verfolge aber auch stets das Ziel, seinen eigenen Zugriff auf die Kundendaten auszubauen. Technisch sei Google wie immer wenig vorzuwerfen, "aber politisch baut es seine zentrale Stellung aus und festigt seine Macht durch Monopolstellung".

Leviathan und Bishop Fox verlangen fünfstellige Beträge

Firmen wie Mailbox.org müssten mit einer erfolgreichen Zertifizierung durch amerikanischen Google-Partner nachweisen, dass die eingesetzte Software sicher ist, wurde Heinlein mitgeteilt. Google nennt zwei Firmen, Leviathan Security und Bishop Fox, die so eine Zertifzierung durchführen können.

Deren Dienste kosten (erfolgsunabhängig) zwischen 15.000 und 70.000 US-Dollar, dauern mehrere Wochen und waren Ende Dezember nach Googles Ankündigung verständlicherweise komplett ausgebucht. Die Höhe des Betrages richtet sich laut Bishop Fox nach der Größe der Applikation, der Umgebung und – recht vage formuliert – danach, "wie Google-User-Daten verwendet werden" . Dieses Audit erzwingt laut Heinlein Zugriff auf den Source Code durch Googles Partner. Einem Wiki-Eintrag des 1u1-Webfrontendherstellers Open Xchange zufolge verlangt Google sogar erneute Audits bei jedem Update oder Patch. In der OXpedia findet sich auch gleich ein Template für ein Schreiben an Google, mit dem die OX-Entwickler hoffen, dass ein Kunde mit dem OX-Suite-Client bei Google Gehöhr findet.

Gute Absichten: Oauth und Restricted Scopes

Google hatte im Dezember mit Verweis auf die Googles Oauth API Verification FAQ und seine Google API Services User Data Policy in seinem Developer-Blog angekündigt, für seine Dienste ab Sommer nur noch Oauth-Clients zuzulassen und bereits ab 15. Januar den API-Zugriff für Anwendungen mit "restricted scopes" neu zu regeln. Solche Anwendungen müssten sicherstellen, dass Daten nur für den vereinbarten Zweck benutzt und nicht verkauft, getrackt oder für Werbung, Marktforschung oder Ähnliches missbraucht würden.

Auch Outlook ist davon betroffen, schreibt beispielsweise The Register – nur die neueste Version erfülle Googles Anforderungen, alle älteren würden fortan geblockt. Ab Juni 2020 soll das wohl auch GMail-Dienste betreffen, wir haben Microsoft dafür um eine Stellungnahme gebeten. Auch im Open-Source-Bereich kämpfen KDE-Pim-Entwickler bereits seit Monaten mit den veränderten Einstellungen für Google. (mfe)