Malware und unerwünschte Software
Google überprüft Websites auf Software oder ausführbare Dateien, die negative Auswirkungen für die Nutzer haben können. Malware und unerwünschte Software sind entweder herunterladbare Binärprogramme oder Anwendungen, die auf einer Website ausgeführt werden und negative Auswirkungen auf die Besucher der Website haben. Eine Liste verdächtiger Dateien, die auf deiner Website gehostet werden, kannst du im Bericht „Sicherheitsprobleme“ einsehen.
Was ist Malware?
Malware ist eine Software oder mobile App, die speziell dazu entwickelt wurde, einem Computer, einem Mobilgerät, der darauf ausgeführten Software oder deren Nutzern zu schaden. Malware weist bösartiges Verhalten auf und installiert unter anderem Software ohne das Einverständnis des Nutzers sowie schädliche Software wie Viren. Websiteinhaber sind sich gelegentlich nicht bewusst, dass ihre zum Download verfügbaren Dateien als Malware gelten, und hosten diese Binärprogramme, ohne es zu wollen.
- Weitere Informationen dazu, wie Google Nutzer vor schädlichen Downloads schützt, findest du in unserem Blog zur Onlinesicherheit im Beitrag Protecting users from malicious downloads (Nutzer vor schädlichen Downloads schützen).
- Kriterien für sichere Software im Web findest du in unseren Richtlinien zu unerwünschter Software.
Was ist unerwünschte Software?
Unerwünschte Software ist eine ausführbare Datei oder eine mobile App, die ein betrügerisches oder unerwartetes Verhalten zeigt oder sich negativ auf die Nutzung von Browser oder Gerät auswirkt. So kann zum Beispiel durch Software deine Startseite im Browser zu einer unerwünschten Seite geändert werden oder es können andere unerwünschte Browsereinstellungen vorgenommen werden. Durch Apps können private und personenbezogene Daten offengelegt werden, ohne dass dem Nutzer dies bewusst gemacht oder er nach seinem Einverständnis gefragt wird.
Weitere Informationen dazu, wie Google dazu beiträgt, Nutzer vor unerwünschter Software zu schützen, findest du in unserem Blog zur Onlinesicherheit im Beitrag That's not the download you're looking for... (Das ist nicht das, was du eigentlich herunterladen wolltest…).
Problem beheben
Achte darauf, dass deine Website oder App den obigen Richtlinien entspricht. Anschließend kannst du im Bericht „Sicherheitsprobleme“ um eine Überprüfung bitten.
Wenn Warnhinweise in deiner mobilen App angezeigt werden, kannst du Einspruch einlegen.
Richtlinien
Achte darauf, nicht gegen die Richtlinie zu unerwünschter Software zu verstoßen und die im Folgenden beschriebenen Grundsätze einzuhalten. Auch wenn hier nicht alle potenziellen Verstöße aufgeführt werden können, können die genannten Verstöße dazu führen, dass Apps und Websites Nutzern bei Downloads oder Besuchen Warnmeldungen anzeigen. Eine Liste verdächtiger Dateien, die auf deiner Website gehostet werden, kannst du im Bericht „Sicherheitsprobleme“ einsehen.
Korrekte Angaben zu deiner Software
- Informiere Nutzer wahrheitsgemäß über Ziel und Zweck der Software. Die Nutzer müssen die Software bewusst herunterladen können und genau wissen, was sie herunterladen. Dazu sollte die Anzeige, auf die die Nutzer klicken, deutlich zeigen, was heruntergeladen wird. Werbeanzeigen, die Nutzer zu einer Downloadseite weiterleiten, dürfen nicht betrügerisch oder unrichtig sein, wie in den folgenden Beispielen:
- Werbeanzeigen, die lediglich die Begriffe „Herunterladen“ oder „Wiedergabe“ enthalten, ohne genauere Angaben zur Software zu machen.
- Eine Wiedergabe-Schaltfläche, die einen Download startet.
- Eine Werbeanzeige, die das Aussehen der Website des Anbieters imitiert und dabei vortäuscht, bestimmte Inhalte wie beispielsweise ein Video bereitzustellen, den Nutzer stattdessen jedoch zu einer ganz anderen Software weiterleitet.
- Mehr über Social Engineering findest du in unserem Blog zur Onlinesicherheit im Beitrag Safe Browsing protection from even more deceptive attacks (Safe Browsing schützt vor noch trügerischeren Angriffen)
- Das Programm sollte sich wie angegeben verhalten. Achte darauf, klare Angaben zum Programm, seinen Funktionen und Zielen zu machen. Wenn dein Programm Nutzerdaten erhebt oder Werbeanzeigen im Browser eines Nutzers einblendet, benenne die Aktionen klar und deutlich, anstatt sie als Nebensächlichkeiten darzustellen.
- Erkläre Nutzern klar und deutlich, welche Änderungen deine Software in ihrem Browser und ihrem System vornimmt. Du solltest Nutzern erlauben, alle wichtigen Installationsoptionen und Änderungen zu prüfen und zu genehmigen. Die Standardbenutzeroberfläche deines Programms muss die Komponenten des Binärprogramms und ihre hauptsächlichen Funktionen klar darstellen. Im Binärprogramm müssen Nutzer die Installation zusätzlicher Komponenten problemlos überspringen können. Es ist zum Beispiel nicht zu empfehlen, die jeweiligen Optionen auszublenden oder entsprechenden Text schlecht erkennbar anzuzeigen.
- Verwende Empfehlungen durch andere nur, wenn du dazu berechtigt bist. Verwende die Logos anderer Unternehmen nicht ohne eine entsprechende Berechtigung, um ein Produkt zu autorisieren oder zu bewerben. Verwende Logos staatlicher Stellen nur, wenn du eine entsprechende Berechtigung hast.
- Angstmache ist keine seriöse Geschäftspraktik. Die Software darf dem Nutzer kein falsches Bild vom Zustand des genutzten Geräts vermitteln. Dies wäre beispielsweise der Fall, wenn die Software meldet, das System befinde sich in einem kritischen Sicherheitszustand oder sei mit Viren infiziert. Du darfst auch nicht behaupten, einen bestimmten Dienst bereitzustellen, z. B. „Wir räumen Ihre Festplatte auf“, wenn du diesen nicht anbietest oder nicht anbieten kannst. Beispielsweise dürfen auch „kostenlose“ Bereinigungen und Optimierungen von Computern nur dann als solche beworben werden, wenn die entsprechenden Dienste und Komponenten tatsächlich nichts kosten.
Software-Richtlinien
- Verwende die Google Settings API, falls dein Programm die Einstellungen von Chrome verändert. Änderungen an den nutzerspezifischen Standardeinstellungen der Suche, der Startseite oder der „Neuer Tab“-Seite können über die Chrome Settings Override API vorgenommen werden. Für deren Verwendung sind eine Chrome-Erweiterung und ein kompatibler Ablauf zum Installieren der Erweiterung erforderlich.
- Lasse zu, dass den Nutzern wie vorgesehen in Browser- und Betriebssystemfenstern Warnmeldungen angezeigt werden. Deaktiviere keine Warnmeldungen des Browsers oder Betriebssystems. Dies gilt vor allem für Meldungen, die den Nutzer über Änderungen an seinem Browser oder Betriebssystem informieren.
- Wir empfehlen dir, deinen Code signieren zu lassen. Wenn Binärcode nicht signiert ist, wird er zwar noch nicht allein deshalb als unerwünschte Software eingestuft; jedoch empfehlen wir, Programme mit einer gültigen und verifizierten Codesignatur zu versehen. Diese muss von einer autorisierten Zertifizierungsstelle stammen, die überprüfbare Angaben zum Softwareanbieter macht.
- Schränke die über TLS/SSL-Verbindungen bereitgestellten Sicherheits- und Schutzmaßnahmen nicht ein. Es kann vorkommen, dass eine Anwendung ein Root-Zertifikat einer Zertifizierungsstelle nicht installiert. Diese Anwendung kann SSL/TLS-Verbindungen möglicherweise nur dann abfangen, wenn sie für Experten zum Debuggen oder Analysieren von Software entwickelt wurde. Weitere Einzelheiten hierzu findest du in unserem Blog zur Onlinesicherheit im Beitrag Beyond annoyance: security risks of unwanted ad injectors (Mehr als ärgerlich: Sicherheitsrisiken durch ungewollt eingespielte Werbeanzeigen).
- Schütze die Daten der Nutzer. Private Nutzerdaten dürfen von Software und mobilen Apps nur im Zusammenhang mit der Funktionalität der Software bzw. App an Server übertragen werden. Außerdem müssen solche Übertragungen sowohl dem Nutzer mitgeteilt als auch verschlüsselt werden.
- Beeinträchtige nicht die Nutzerfreundlichkeit. Dein Binärprogramm darf die Nutzung des Browsers nicht behindern. Sorge dafür, dass deine herunterladbaren Binärprogramme den folgenden allgemeinen Richtlinien entsprechen:
- Behindere nicht die Funktion zum Zurücksetzen des Browsers. Weitere Informationen zur Schaltfläche für das Zurücksetzen der Browsereinstellungen in Chrome findest du hier (auf Englisch).
- Umgehe oder unterdrücke nicht die UI-Steuerelemente des Browsers oder des Betriebssystems, mit denen Änderungen an den Einstellungen vorgenommen werden. Dein Programm muss Nutzer angemessen auf Änderungen an den Einstellungen im Browser hinweisen und ihnen eine Möglichkeit bieten, diese zu ändern. Nutze zum Ändern von Chrome-Einstellungen die Settings API. Weitere Informationen erhältst du in diesem Beitrag im Chromium-Blog (auf Englisch).
- Verwende Erweiterungen, um Google Chrome-Funktionen zu ändern. Ändere das Browserverhalten nicht über andere Hilfsmittel. Dein Programm darf beispielsweise keine DLLs (Dynamically Linked Libraries) verwenden, um Werbung in den Browser einzuschleusen. Verwende außerdem keine Proxys, um Zugriffe abzufangen, und keine Mehrschicht-Dienstanbieter, um Nutzeraktionen abzufangen. Füge keine neuen Benutzeroberflächen-Elemente in Webseiten ein, indem du das Chrome-Binärprogramm patchst.
- Deine Produkt- und Komponentenbeschreibungen dürfen Nutzer nicht erschrecken und/oder falsche, irreführende Behauptungen aufstellen. Dein Produkt darf zum Beispiel nicht fälschlich behaupten, das System befinde sich in einem kritischen Sicherheitszustand oder sei mit Viren infiziert. Programme zum Bereinigen der Registry und ähnliche Programme dürfen dem Nutzer keine Warnmeldungen über den Zustand seines Computers oder Geräts anzeigen und nicht behaupten, sie könnten den PC des Nutzers optimieren.
- Sorge dafür, dass die Deinstallation für Nutzer leicht auffindbar, einfach und nicht bedrohlich ist. Dein Programm muss eine klar gekennzeichnete Anleitung enthalten, wie der Browser bzw. das System auf die vorherigen Einstellungen zurückgesetzt werden kann. Mit dem Deinstallationsprogramm müssen alle Komponenten entfernt werden. Versuche nicht, Nutzer von der Deinstallation abzuhalten, indem du zum Beispiel erklärst, dass die Deinstallation der Software möglicherweise negative Auswirkungen auf das System oder den Datenschutz der Nutzer hat.
- Biete nur vertrauenswürdige weitere Komponenten an. Falls deine Software weitere Softwarekomponenten enthält, bist du dafür verantwortlich, dass keine dieser Komponenten gegen die Empfehlungen verstößt.
Richtlinien zu Chrome-Erweiterungen
-
Alle Erweiterungen müssen in Chrome bereitgestellt und installiert werden, um die Richtlinien zu erfüllen.
Erweiterungen müssen im Chrome Web Store gehostet werden, standardmäßig deaktiviert sein und die Chrome Web Store-Richtlinien erfüllen, einschließlich der Richtlinie bezüglich der Verwendung für einen einzigen Zweck.
Die aus einem Programm installierten Erweiterungen müssen den Installationsablauf für autorisierte Chrome-Erweiterungen nutzen. Dabei werden Nutzer aufgefordert, diese Erweiterungen in Chrome zu aktivieren. Erweiterungen dürfen Chrome-Dialogfenster, mit denen Nutzer auf Einstellungsänderungen hingewiesen werden, nicht unterdrücken.
- Stelle Nutzern eine Anleitung zur Entfernung einer Chrome-Erweiterung bereit. Im Sinne der Nutzerfreundlichkeit sollten bei der Deinstallation eines Programms auch alle zugehörigen Inhalte entfernt werden. Der Ablauf der Deinstallation beinhaltet eine Anleitung, mit deren Hilfe Nutzer auch die Erweiterungen selbst deaktivieren und löschen können.
-
Falls über dein Binärprogramm ein Browser-Add-on installiert wird oder die Standardeinstellungen des Browsers geändert werden, muss dabei der browserspezifische Installationsablauf eingehalten sowie die entsprechende API eingesetzt werden. Wenn dein Binärprogramm zum Beispiel eine Chrome-Erweiterung installiert, muss diese im Chrome Web Store zu finden sein und den Programmrichtlinien für Entwickler von Chrome entsprechen.
Dein Binärprogramm wird als Malware eingestuft, wenn es eine Chrome-Erweiterung installiert, die gegen unsere Richtlinien zu alternativen Vertriebsmöglichkeiten von Chrome-Erweiterungen verstößt.
- Im Chromium-Blog und in unserem Blog zur Onlinesicherheit (beide auf Englisch) findest du weitere Informationen zur automatischen Installation.
- Hier findest du Informationen zur Veröffentlichung von Erweiterungen im Chrome Web Store.
Richtlinien für mobile Apps
-
Informiere Nutzer über deine Absichten bezüglich der Datenerhebung. Biete Nutzern die Möglichkeit, der Erhebung ihrer Daten zuzustimmen, bevor du sie über das Gerät erhebst und sendest, einschließlich Daten zu Drittanbieterkonten, E-Mails, Telefonnummern, installierten Apps und Dateien auf dem Mobilgerät. Stelle sicher, dass mit den von dir erhobenen persönlichen oder vertraulichen Nutzerdaten sicher umgegangen wird und moderne Verschlüsselungsmethoden, wie beispielsweise HTTPS, zur Datenübertragung genutzt werden. Bei Apps, die nicht über Google Play installiert werden, musst du Nutzern in der App offenlegen, welche Daten erhoben werden. Bei Google Play-Apps muss die Offenlegung nach den Richtlinien von Google Play erfolgen. Erhebe keine Daten, die über die veröffentlichte Verwendung deiner App hinausgehen.
- Gib dich nicht als andere Marke aus und gib deine App nicht als App einer anderen Marke aus. Verwende keine ungeeigneten oder nicht autorisierten Bilder und kein Design, das dem einer anderen Marke oder App so sehr ähnelt, dass der Nutzer sie verwechseln könnte.
- Inhalte der App sollten sich im Kontext der App befinden. Apps dürfen nicht mit anderen Apps und der Nutzerfreundlichkeit des Geräts in Konflikt stehen. Bei Apps dürfen Nutzern keine Werbeanzeigen oder zusätzlichen Inhalte außerhalb des Kontexts oder der Funktion der App eingeblendet werden, ohne dass zuvor eine Einwilligung des Nutzers eingeholt wurde. Dazu gehört auch die eindeutige Zuordnung der Quelle der Werbeanzeigen, unabhängig davon, wo diese Werbung zu sehen ist.
- Die App muss halten, was sie dem Nutzer verspricht. Die beworbenen Funktionen müssen Nutzern der App zur Verfügung stehen. App-Inhalte können aktualisiert werden, jedoch dürfen durch die App weitere Apps nur mit Zustimmung des Nutzers heruntergeladen werden.
- Gestalte das Verhalten der App transparent. Apps dürfen nicht automatisch andere Apps oder deren Verknüpfungen deinstallieren oder ersetzen, außer dies ist der angegebene Zweck der App. Deinstallationsvorgänge müssen klar und vollständig sein. Du darfst in den Apps keine Aufforderungen des Geräte-Betriebssystems oder anderer Apps nachahmen.
Apps, die über Google Play vertrieben werden, müssen den Programmrichtlinien für Entwickler und der Vertriebsvereinbarung für Entwickler entsprechen, bei denen jeweils zusätzliche Anforderungen gelten.
If you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.