Ich habe es schon früher gesagt, aber man kann es nicht oft genug sagen: Gebündelte Programme sind eine Plage. Ich gehe so weit, sie mit einem Trojaner gleichzustellen. Der Trojaner schmuggelt eine unerwünschte Software ein.
Das tut auch das Installationsprogramm eines «angereicherten» Softwareprodukts: Es jubelt dem Nutzer etwas unter, was dieser wahrscheinlich gar nicht will. Zwar wird diese Dreingabe während des Installationsprozesses ausgewiesen. Es gibt eine Opt-out-Möglichkeit, konkret ein Häkchen, das man entfernen kann. Doch natürlich legt es die Masche darauf an, dass viele Nutzer nicht genau lesen oder nicht im Detail verstehen, was passiert – denn wer mit dem Phänomen nicht vertraut ist, hat womöglich das Gefühl, diese draufgesattelten Dinge seien fürs Funktionieren des eigentlichen Programms notwendig.
Nun ist beim klassischen trojanischen Pferd die «Dreingabe» ein eigentliches Schadprogramm. Bei den gebündelten Programmen ist das nicht der Fall. Man erhält etwas, das vielleicht sogar moderat nützlich ist. Oft ist es allerdings nutzlos oder sogar lästig – also das, was man eine Greyware/Grayware nennt. Nachteilig für den Anwender sind diese Softwaredreingaben auf alle Fälle: Sie belegen Festplattenkapazität und Systemressourcen, und sie bieten auch Angriffsflächen für Schadprogramme. Gerade gebündelte Programme, die sehr weit verbreitet sind, könnten somit ein attraktives Angriffsziel für eine Attacke darstellen.
Für eine kleine Provision geht man den Nutzern und Kunden auf den Wecker
Positiv ist die Angelegenheit nur für die Softwarehersteller, die bei ihren Produkten gebündelte Programme akzeptieren. Sie erhalten eine Provision von den Leuten, die ihre Produkte auf diese Weise verbreiten. Und diese Provision muss signifikant sein. Denn die Masche wird auch von grossen Herstellern wie Adobe und Oracle mit Java betrieben. Und zwar seit Jahren. Dass nicht erkannt wird, wie gross der Reputationsschaden zumindest bei den versierten Anwendern ist, zeigt, wie hoch das Ross ist, auf dem diese Anwender sitzen.
Ich könnte vielleicht mit den gebündelten Programmen leben, wenn sie Opt-in wären und vom Nutzer bewusst dazugewählt werden müssten. Doch wenn das Installationsprogramm die Dreingabe auf Vorrat herunterlädt, ist das auf jeden Fall eine Verschwendung von Bandbreite und von Speicherplatz im Downloadordner des Benutzers.
Softwarebundles scheinen vor allem ein Windows-Phänomen zu sein. Ich kann mich nicht erinnern, auf dem Mac jemals einem Programm begegnet zu sein, das ein anderes Huckepack hatte. Das liegt auch am Betriebssystem selbst: Beim Mac werden viele Programme als Image ausgeliefert, von dem der Benutzer ein Programm in seinen Programmordner zieht. Um weitere Programme einzuschmuggeln, braucht es ein Installationsprogramm, das diese Aktion diskret erledigt. Und solche Installationsprogramme sind beim Mac die Ausnahme, bei Windows aber üblich.
Es würde mich aber nicht wundern, wenn es das Phänomen bei Android gäbe. Dieses Betriebssystem scheint nämlich alle Windows-Fehler noch einmal durchzuexerzieren zu müssen.
Ein Gratisprogramm hilft gegen Einschleusversuche
Damit mir nicht aus Versehen ein unerwünschtes Programm durchrutscht, verwende ich auf den Windows-Rechnern, wo ich gelegentlich Software teste, ein Gratisprogramm namens Unchecky. Das ändert das Verhalten gewissermassen von Opt-out zu Opt-in. Bei Einschleusversuchen hakt das Programm die entsprechenden Checkboxen ab. Und selbst bei Installationsvorgängen, die (wie bei Adobe Flash) im Web angestossen werden, gibt es eine explizite Warnung.
Das funktioniert gut und Unchecky ist daher eine Empfehlung für alle Leute, die mit mir im «Ich muss leider ab und zu Windows-Programme testen»-Boot sitzen. Zwei Warnhinweise habe ich allerdings:
Erstens: Unchecky benötigt seinerseits Systemressourcen, indem ein separater Prozess nach Installationsvorgängen Ausschau hält. Das ist bedauerlich, da man seinen Speicher und die Rechenzyklen gern für produktive Dinge verwenden würde. Allerdings ist man als Windows-Anwender viel Kummer gewohnt. Schon immer musste man einen Teil seiner Systemressourcen der Sicherheit opfern. Phasenweise sogar einen grossen Teil: Die Antivirenprogramme der Nullerjahre waren eigentliche Moloche, die den Rechner massiv ausgebremst haben.
Sich nicht in falscher Sicherheit wiegen
Zweitens: Unchecky könnte einen in falscher Sicherheit wiegen. Es ist denkbar, dass bei einem unbekannten Installationsprogramm die unerwünschten Dreingaben nicht erkannt und nicht deaktiviert werden. Ich halte es auch nicht für ausgeschlossen, dass Softwarehersteller und Downloadportalbetreiber, deren Businessmodell auf der Verbreitung von gebündelter Software fusst, aktiv versuchen, Unchecky auszutricksen. Unchecky hilft einem dabei, das System sauber zu halten. Aber dennoch ist bei der Installation auch weiterhin Vorsicht und Aufmerksamkeit angebracht.