07. Dezember 2011

Bei einem üblen Fehlgriff wurde das IT-Magazin CNet ertappt. Sonst - wie alle Medien aus diesem Bereich - sehr schnell und hart bei der Verurteilung von Malware-Produkten, wird CNet nun selbst solcher Schurkereien bezichtigt. Das Unternehmen soll die in seinem Download-Bereich unter download.com verbreiteten Freeware- und Open Source-Produkte zumindest teilweise mit eigener Installer-Software ausstatten, was wiederum der heimlichen Installation von Adware und anderen unerwünschten Programmen dient.

Der Vorwurf stammt von Gordon Lyon, der unter dem Namen Fyodor als Entwickler des Nmap Security Scanner gilt. Diese Open Source-Software wird von Fyodor selbst kostenlos unter nmap.org zum Download angeboten. Doch die Software kann auch unter download.com abgerufen werden, einem der größten Verzeichnisse für Freeware und Shareware.

Ein Angebot, das sowohl Anwender als auch Entwickler meist zu schätzen wissen, denn solche Download-Zentren fördern die Verbreitung und senken nicht zuletzt Kosten für die Infrastruktur (Server, Traffic etc.) bei der Distribution. Allerdings gehen die Software-Autoren in aller Regel davon aus, dass ihre Programme nicht manipuliert werden.

Das ist auch üblicherweise der Fall, denn Magazine und Verlage, die ihren Besuchern solche Dienste anbieten, müssen auf ihren guten Ruf bedacht sein. Von daher wird es CNet sehr unangenehm sein, dass Fyodor es nun an die große Glocke hängt, dass er in dem unter download.com verbreiteten Installer einen Trojaner sieht.

Dieses Wort ist sehr hart und geht vermutlich (vor allem nach Ansicht der Juristen des Verlags) zu weit. Denn der zunächst entdeckte Installer gibt durchaus zu erkennen, dass neben Nmap auch noch ein Toolbar installiert werden soll, der Microsoft Bing als Standard-Suchmaschine einrichtet und MSN zur Homepage des Browsers macht. "Natürlich" ist es auch möglich, diese Installation zu verweigern und dennoch Nmap auf dem Rechner einzurichten.

Doch das von Fyodor bemängelte Täuschungsmanöver geschieht auf die gewohnt schmierige Art und Weise, mit der dem nicht allzeit wachsamen Anwender immer wieder irgend etwas untergejubelt wird.

Fyodor kritisiert konkret, dass der CNet-Installer als Nmap Installer dargestellt wird, und dass man sogar dafür Sorge getragen hat, dass beide Installationshelfer die gleiche Dateigröße haben. Er kritisiert auch, dass man bei der Installation darauf setzt, dass der Anwender - im Vertrauen auf die Authentizität des Installers - auf die großen grünen Schaltflächen "Accept" klickt und damit die Adware installiert.

Aber es gibt noch mehr zu kritisieren. Angefangen damit, dass es einfach unfair ist, das Werk eines Anderen zu nehmen - auch wenn es sich um Open Source-Software handelt - und für die eigenen kommerziellen Zwecke zu nutzen. "Open Source-Software mag kostenlos sein, doch solange es sich nicht um ein gemeinfreies Werk handelt, kann eben nicht frei darüber verfügt werden. Es gilt immer, die damit verbundene Lizenz zu beachten, und zwar nach dem geschrieben Wort wie nach dem gemeinten Sinn", fasst Naked Security (Sophos) das Problem zusammen.

Wobei es erfrischend ist, solche Töne zu hören. Im Internet hat es sich schließlich eingebürgert, als Anwender für jeden "Service" eine Gegenleistung erbringen zu müssen. Dies wird allerdings nicht offen gefordert, sondern wie der grüne Accept-Schalter als unverfängliche Routine-Handlung präsentiert, deren Details im Kleingedruckten geregelt werden. Oder auf einer vielseitigen Nutzungsrichtlinie, die eine geringere Haltbarkeitsdauer hat als das Versprechen eines Politikers.

Und noch ein allgemeines Problem verbirgt sich hinter Fyodors Vorwürfen: Das immer wieder als allgemein anerkannt dargestellte Prinzip des Opt-out, von dem auch CNet auszugehen scheint. Denn Fyodor fand bei download.com nur eine Möglichkeit, so schnell als möglich einen Schlusstrich unter die Nutzung des Installers zu ziehen: Man forderte ihn auf, seinen Wunsch auf ein Opt-out aus dem CNet-Installer als Bitte an den Verlag heranzutragen, der solche Anliegen dann von Fall-zu-Fall prüft.

Richtig wäre es aber, von einem generellen Opt-In auszugehen. Wenn eine der vielen Millionen Websites des WWW Fyodors Software mit einem kommerziellen Toolbar bündeln möchte, dann wäre es das Naheliegendste, den Entwickler der Software vorher um seine Zustimmung zu bitten. Doch es hat sich vor allem unter den größten Online-Unternehmen eingebürgert, das Opt-out zum Prinzip des Internet-Handelns zu erheben.

Was beispielsweise zu der absurden Idee geführt hat, mit aboutads eine Website zu schaffen, auf der sich der Anwender von den Schnüffeleien der interessen-basierten Werbung jedes einzelnen Werbeunternehmes abmelden kann. Doch dem amerikanischen Rechtsempfinden, das sich hinter diesen ganzen Sophismen versteckt, wird damit Genüge getan.