Das beschissene Vorgehen von Volkswagen, Sparkasse und anderen Firmen mit ihrer sklavischen Klammerung an Google-Dienste führt dazu, dass die Leute Angst haben, ihre Apps zu aktualisieren, weil sie damit rechnen müssen, ausgesperrt zu werden.

So wird Sicherheit aktiv untergraben und nicht durch die Nutzung von GrapheneOS, /e/OS oder anderen freien Betriebssystemen.

Als CISO der Unternehmen würde ich im Dreieck springen ...

@thoralf So einfach ist das nicht. Die regelmäßigen Sicherheitsprüfungen, die Google über den Play Store laufen lässt, können kleinere Anbieter leider nicht leisten. Und bestimmte Apps möchtest du (als Anbieter) halt auch nicht auf einem System laufen haben, das du nicht kennst und kontrollierst. Plus das Thema Entwicklung, da schreibst du ja mit bestimmten Tools für bestimmte Plattformen.

@teezeh Wieso können sie ihre eigenen Apps nicht prüfen?
Wenn sie ihre eigenen Apps auf ihrer eigenen Seite anbieten würden, gäbe es das Problem gar nicht.
Aber weil es so schön convenient ist, wird alles in die Stores gestopft.

Andere bekommen es auch hin. Also ist "Sicherheit" hier in meinen Augen nur eine billige Ausrede.

@thoralf Warum nicht sebst prüfen? Deine eigenen Fehler siehst du nicht.

Und du möchtest auch nicht drölfzig verschiedene Anbieterseiten ansteuern, um deine Apps zu laden (und zu aktualisieren!). Seiten, die längst jeder Cyberkleinkriminelle mit gemieteten Tools faken und dir dann Malware unterjubeln kann.

Ich würde mir auch mehr Vielfalt wünschen bei mobilen Plattformen, versteh mich da nicht falsch. Aber für manche Dinge braucht man einfach Skaleneffekte.

@teezeh Dann werden die Anbieter, die so agieren, mit meiner Kritik leben müssen.
Ich halte das für kundenunfreundlich und inakzeptabel und werde da auch weiter laut und deutlich drauf einschlagen.

Vielleicht wird es ja dadurch irgendwann spürbar teurer, den vermeintlich einfacheren Weg zu nehmen, statt an einer echten Lösung zu arbeiten.

Nachtrag: Auf der eigenen Seite anzubieten, heißt ja nicht zwangsläufig, dass man nur selbst testen darf.

@thoralf Was wäre denn aus deiner Sicht kundenfreundlich, akzeptabel und eine echte Lösung??

@teezeh So, wie ich es beschrieben habe:
Jede Bank/jeder Autohersteller/whatever bietet auf der eigenen Webseite direkt die App zum Download an.
Ich sehe keinen echten Grund, warum das unmöglich sein sollte.

Stattdessen die Kunden mit ihren Daten dafür bezahlen zu lassen, dass man sich selbst die Sicherheitsprüfungen spart und sie in die Fänge von Google zu zwingen, finde ich einen ziemlich miesen Move.

@thoralf Ich will nicht jedes Mal den Anbieter ansurfen, um eine App zu laden oder zu aktualisieren, von den Sicherheitsaspekten ganz abgesehen.

Viel Spaß dann auch beim Gerätewechsel, wenn du dir deine komplette Umgebung wieder mühsam händisch zusammensuchen darfst.

Plus die ganzen Entwicklerthemen wie In-App Payments, Visibilität, Rezensionen, ...

@teezeh Ich sage ja nicht, dass es jeder so machen muss.
Aber ich will nicht dazu gezwungen werden, alle meine Daten an Google zu übermitteln, um mein Auto benutzen zu können.
Wenn die App bei Google liegt - fein. Aber eben bitte nicht nur bei Google.
@thoralf Da sollte man eher die Frage stellen, warum man eine App brauchen soll, um ein Auto zu benutzen. Aber das Rad drehen wir vermutlich nicht mehr zurück …

@teezeh Ich finde es durchaus angenehm, das auf 48°C aufgeheizte Auto erstmal auf 22 °C runterkühlen zu können, statt mir den Hintern zu grillen, wenn ich einsteige.

Es gibt also durchaus sinnvolle Anwendungsfälle für eine App.

Aber keine davon benötigt Google.

@thoralf Also beim Auto hast du es gern bequem, aber beim Play Store ist Convenience doof? Seltsames Zwiedenken.
@teezeh Ich finde den PlayStore nicht convenient.
Es ist für mich extrem unangenehm, ohne Not meine Daten preisgeben zu müssen.

@thoralf Welche Daten musst du da preisgeben?

Du kannst ein Google-Konto mit einem beliebigen Vornamen und einem falschen Geburtsdatum anlegen. Sogar die passende Gmail-Adresse wird automatisch für dich generiert.

@teezeh Und die Metadaten, die dabei anfallen, kann Google genüsslich ausquetschen.

Nur, weil ich dort meinen richtigen Namen nicht angeben muss, ist doch nicht plötzlich Datenschutz gegeben.
Es braucht keine 5 Sekunden, um meinen echten Namen mit einem Google-Profil zu verknüpfen.

@thoralf Also man kann seine Metadaten schon sehr minimieren bei Google. Ich habe zum Beispiel sämtliche Verläufe deaktiviert.

https://policies.google.com/technologies/product-privacy?hl=de

Leitfaden zum Datenschutz in Google-Produkten – Datenschutzerklärung & Nutzungsbedingungen – Google

@teezeh Das bedeutet, dass du Google vertraust.
Tue ich aber nicht.
@thoralf Nein, das bedeutet nicht, dass ich Google vertraue. Sonst würde ich die Verläufe ja nicht ausschalten ;-)
@teezeh Doch. Denn du vertraust darauf, dass der Schalter auch das tut, was du hoffst.

@thoralf Jo, das tu ich. Unter anderem, weil das Datenschutz-Center primär hier in München entwickelt wird und ich mir das schon persönlich anschauen durfte.

Hier ein bisschen GSEC-Selbstdarstellung:

https://safety.google/intl/de_ALL/safety/engineering-center/munich/

https://safety.google/intl/de_ALL/stories/gsec-geburtstag/

Entwicklung von Datenschutz- und Sicherheitsprodukten in München – Google Sicherheitscenter

Erfahren Sie mehr darüber, wie das Google Safety Engineering Center in München Tools entwickelt, mit denen sich Ihre Daten noch besser schützen lassen.

Safety Center
@teezeh Dann wieder zurück zum vorherigen Statement:
Du vertraust also Google - ich tue das nicht.