Auf seiner Webseite wirbt Zenmate mit den Worten „Das VPN, dem du völlig vertrauen kannst. Kompromisslose Datenverschlüsselung. Keine Logs. Unbegrenzte Geschwindigkeit.“

Anzeige

Doch ganz so vertrauenswürdig, wie man sich hier verkaufen möchte, ist Zenmate in meinen Augen nicht.

Denn irgendwann hat Zenmate in die kostenlose Version seines VPN Chrome-Addons einen automatischen Preisvergleich eingeschleust. Und der hat es in sich. Denn es wird nicht sauber kommuniziert.

Deaktiviert oder nicht deaktiviert?

Installiert ein Nutzer das Addon im Chrome Browser, wird es rechts oben in Form eines „Schutzschild-Icons“ angezeigt. Bewegt der User seine Maus über dieses Icon wenn es auf „An“ gestellt ist, wird angezeigt, mit welcher Webseite man über Zenmate mit welchem „Zugangsknotenpunkt verbunden ist. In diesem Beispiel mit toptestsieger.de über „Germany“.

Klickt der User der User auf das Icon, öffnet sich eine Schaltfläche, auf der man im rechten unteren Bereich, das Addon scheinbar ausstellen kann.

Anzeige

Klickt der User  auf den „On/Off“ Knopf im eingeschalteten Zustand, stellt sich Addon scheinbar ab. Der „Regler“ steht auf „Off“, das „Schutzschild-Icons“ ist jetzt nicht mehr grün, sondern hellgrau.

Wenn der User mit seiner Maus auf das Icon zeigt, wird dort angezeigt: „Zenmate ist zur Zeit deaktiviert“.

Deaktiviert ≠ wirklich deaktiviert

Dies ist aber bestenfalls missverständlich ausgedrückt, denn Zenmate ist keineswegs vollständig deaktiviert. Nur eine Funktion von Zenmate ist deaktiviert: der „Schutz“, dass der User über den VPN Knotenpunkt geroutet wird und beim Besuch einer Webseite die IP-Adresse des Users verschleiert wird. Das Addon ist aber weiterhin aktiv.

In den Einstellungen des Browsers (im Chrome z.B. unter chrome://settings/) kann man dies auch erkennen. Dort steht im Abschnitt „Proxy“. „Diese Einstellung wird von einer Erweiterung namens ZenMate VPN – Top Internet Security & Unblock gesteuert.“ Was heißt das? Zenmate kann zu jeder Zeit (!) kontrollieren, über welchen Server die Verbindung zu einer Webseite aufgebaut und gelenkt wird. Im Addon Bereich (im Chrome Browser hier zu finden: chrome://extensions/) kann man auch unter „Details“ nachlesen, was das Zenmate Addon noch kann, bzw. welche Berechtigungen man erhält:

Anzeige

„Berechtigungen: 

  • Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern
  • Benachrichtigungen einblenden
  • Apps, Erweiterungen und Designs verwalten“

Diese Berechtigung hat Zenmate dauerhaft. Was heißt das? Zenmate kann oder könnte alles mitlesen (!), was die User im Browser lesen, egal ob die Webseite irgendwas verschlüsselt oder nicht. (Ich behaupte an dieser Stelle nicht, dass Zenmate das auch macht und ich gehe auch nicht davon aus. Aber ich denke, dass sich viele User dessen überhaupt nicht bewusst sind.)

Was das aber auch bedeutet: Zenmate kann nachvollziehen, welche Seiten die User besuchen und genau das macht Zenmate auch. Ebenso kann Zenmate Webseiten ändern und auch das macht Zenmate.

Konstante Userüberwachung und Webseitenmanipulation

Immer wenn User eine Ecommerce-Seite besuchen (das gilt auch für den Shopbereich einer Newsseite) erkennt Zenmate dies und blendet eine Gutschein-, bzw. Preisvergleich-„Toolbar“ des Partnerunternehmens Ciuvo GmbH aus Österreich ein. Und zwar im Content-Bereich des Browsers. Die eigentliche Webseite wird nach unten geschoben. Innerhalb der Toolbar werden Gutscheine für den Shop angezeigt und alternative Angebote zu einem bestimmten Produkt in anderen Online-Shops, wenn der Algorithmus von Ciuvo „denkt“, dass es das Produkt erkannt hat. Führt ein User die Maus über den Preisvergleichsbereich der Toolbar, schiebt sich ein ausführlicher Preisvergleich über Elemente der Webseite. Was von vielen Usern mit Sicherheit als nützlicher Service gesehen wird, ist allerdings eine Manipulation der Webseite.

Zenmate spielt hier, um Geld zu verdienen, Werbung auf einer fremden Webseite aus. Zudem wird auch Cookie von ciuvo.com im Browser des Users gespeichert. Klickt der User auf eines der angezeigten Angebote, wird er auf den jeweiligen beworben Shop geleitet und Zenmate erhält über seinen Partner Ciuvo eine Vergütung. User werden dabei erst über einen Redirectlink von ciuvo.com, dann über einen Redirectlink von billiger.de zum Online-Shop geleitet. Ciuvo nutzt also u.a. die API von billiger.de und ist Teil des Werbenetzwerkes von billiger.de.

„Traffic-Highjacking“ in Online-Shops

Genau diese Konstellation finde ich dann doch etwas pikant. Im Klartext heißt dies:

Billiger.de kauft

  • über ciuvo
  • von Zenmate
  • Traffic aus Online-Shops ein
  • die zum Teil sogar Vertragspartner von billiger.de sind
  • und verkauft diesen Traffic dann an
  • andere Online-Shops weiter.

Man stelle sich das mal vor: ein Online-Shop schaltet bei Google Anzeigen, bezahlt dafür, dass User auf diese Anzeigen klicken und zu seinem Shop weitergeleitet werden und dann schaltet sich Zenmate, bei Usern, die das Addon installiert haben dazwischen und wirbt für andere Angebote. Für andere Online-Shops, z.B. für andere Partnershops von billiger.de. Für mich ist das eine Art „Traffic-Highjacking“ seitens Zenmate und wenig partnerschaftlich von billiger.de. Wenn man es denn weiß. Genau das wollte ich dann auch mit meiner Anfrage bei billiger.de herausfinden.

Bitte um Stellungnahme – billiger.de

Nach meiner Anfrage hat ein Sprecher von Billiger.de mir folgende Stellungnahme zukommen lassen:

„Toolbars können für Konsumenten eine sinnvolle Alternative zu einem Besuch einer Preisvergleichsseite darstellen. Diese Art von Toolbars sorgt dafür, dass dem Nutzer während seiner customer journey eine fortwährende Preisvergleich-Assistenzfunktion geboten wird. Aus Shop-Kunden-Perspektive sehen wir diese Tools nicht als problematisch an, da billiger.de (im Gegensatz zu anderen Preisvergleichsportalen) seine Händlerangebote streng nach Produktpreis sortiert. Die Wortwahl „gehighjacked“ scheint uns in diesem Zusammenhang unpassend, da „highjacking“ eine für den Betroffenen ungewollte Aktion ist. Bei den uns bekannten Preisvergleichstoolbars sind die Klicks auf ein Angebot in der Toolbar vom Nutzer bewusst und willentlich getätigt worden. Also eine völlig freie Nutzerentscheidung.“

Ich finde den Begriff „gehighjacked“ weiterhin genau zutreffend, weil ich auch an die Online-Shops denke. Ich beweifele, dass diese wollen, dass diese Art von Werbung in ihrem Online Shop eingeblendet wird.

Bitte um Stellungnahme – Zenguard GmbH

Ich habe auch Zenmate selber, bzw. die Geschäftsführer der hinter Zenmate stehenden Zenguard GmbH, Simon Specka und Markus Hänel um Informationen bzw. dann am 28.04.2017 auch um eine Stellungnahme gebeten. Darauf habe ich keine Reaktion erhalten.

Lediglich nach der Anfrage an Axel Springer – siehe unten – meldete sich eine Mitarbeiterin von zenguard bei mir, um mir einen Telefontermin mit einem Geschäftsführer nach dessen Urlaubsende anzubieten. Eine eventuelle dann nachgereichte Stellungnahme werde ich hier ggf. nachliefern.

Bitte um Stellungnahme – Axel Springer AG

Ebenfalls um Stellungnahme habe ich die Axel Springer AG gebeten. Zum einen deshalb, weil Axel Springer Minderheitsgesellschafter von Zenmate ist und zum anderen deshalb, weil Axel Springer bei seinem juristischen Kampf gegen Adblocker die Linie vertritt, dass ein Webseitenbetreiber die komplette Hoheit über seine eigene Webseite haben sollte, ohne dass diese von anderen Firmen manipuliert und verändert wird. Zu Zenmate selber wollte man sich mit Hinweis auf die Minderheitsbeteiligung nicht äußern, der Sprecher äußerte sich nur zum Stichwort Adblocker:

Das Geschäftsmodell von digitalen journalistischen Produkten beruht, wie aus der analogen Welt bekannt, auf zwei Erlössäulen – Anzeigenerlöse und Vertriebserlöse. Adblocker greifen massiv und aus unserer Sicht mit rechtswidrigen Angeboten in dieses Geschäftsmodell ein, da sie einen relevanten Anteil der Werbung blockieren und damit die Anzeigenerlöse mindern. Wir wollen und können diesen Eingriff in unser Geschäftsmodell nicht hinnehmen.

Misst man da nicht mit zweierlei Maß, wenn man auf der einen Seite gegen Veränderungen an der Webseite vorgeht und sich auf der anderen Seite an einem Startup beteiligt, das Webseiten manipuliert? (Bzw. beteiligt bleibt, ich weiß nicht, wann Zenmate dieses Modell eingeführt hat: vor oder nach der Beteiligung von Axel Springer.) Hat man bei Axel Springer daran gedacht, dass Zenmate auch die Seiten von Springer-Töchtern manipuliert, wie hier beim bild.de Shop?

Ich möchte Axel Springer nochmal Folgendes zu denken geben: Axel Springer verkauft auf seinen Webseiten Werbung an Werbekunden. Auch an Online-Shops. Zenmate wiederum schaltet sich dann (zumindest teilweise) dazwischen bei Traffic, den Axel Springer schon an den Werbekunden verkauft hat. Ist das fair?

Fazit

Man kann der Auffassung von billiger.de sein, dass der Kunde ja das Chrome-Addon von Zenmate freiwillig installiert und freiwillig auf die Werbung klickt. Allerdings sollte man sich auch folgende Punkte bewusst sein:

  • die User von Zenmate installieren nicht bewusst einen Preisvergleich, dieser wird ihnen untergeschoben. Der User entscheidet sich für einen Anonymisierungs- und VPN Service.
  • Viele User sind sich mit Sicherheit gar nicht bewusst, dass das Addon dauerhaft aktiv ist.
  • Zenmate kommuniziert missverständlich über die Deaktivierung des Users.
  • Obwohl die Toolbar eingeblendet immer wieder eingeblendet wird, sind sich mit Sicherheit viele User nicht dessen bewusst, dass Zenmate kontinuierlich ihre Browseraktivität verfolgt.
  • Viele Partnershops von billiger.de werden gar nicht wissen, dass ein Teil ihres Traffic „gehighjacked“ wird.

Ich denke, wir brauchen dringend eine Debatte über Browserneutralität. Das bezieht sich auf die Browserbetreiber selber, aber auch auf deren Addons, für die sich die Browserbetreiber geöffnet haben, um die Innovationsgeschwindigkeit und damit die eigene Wettbewerbsfähigkeit zu erhöhen. Außerdem brauchen wir auch eine Diskussion über die Sicherheitsstandards bei Browseraddons und deren Zugriffsmöglichkeiten auf sensible Informationen des Users.

Den Usern kann ich nur Eines raten: deaktiviert Zenmate in den Einstellungen im Bereich „Erweiterungen“, wenn ihr ein VPN braucht und lasst es nicht die ganze Zeit laufen.

Online Shops würde ich raten, den Telefonhörer in die Hand zu nehmen und sich bei billiger.de zu beschweren. Denn wenn ein Partner Traffic aus dem eigenen Shop weiterverkauft ist das überhaupt nicht mehr partnerschaftlich.

Anzeige

Leave a Reply