Counter-Strike & Co: Valve Anti-Cheat spioniert möglicherweise Spieler aus

Eigentlich soll Valve Anti-Cheat (VAC) nur Betrügern in Onlinespielen auf die Schliche kommen. Aber die Software hat möglicherweise ein paar weitere Funktionen. Sie lese auf dem lokalen Rechner das Verzeichnis mit dem DNS-Verlauf aus - also Informationen darüber, auf welchen Webseiten ein Nutzer war. Es gebe Hinweise darauf, dass die Daten an Valve geschickt werden, sobald der Nutzer sich bei einem VAC-Server anmeldet, behauptet ein Nutzer auf Reddit.

Er belegt seine These vor allem mit dem dekompilierten Quellcode von VAC. Dem ist offenbar zu entnehmen, dass die DNS-Cache-Einträge erst durchsucht, dann mit der md5-Hash-Funktion versehen und anschließend an Valve gesendet werden. Falls das stimmt, ist völlig unklar, was Valve mit den Daten macht - sie könnten sofort gelöscht, nur für die Verfolgung von Cheatern genutzt oder auf vielfältige Art und Weise analysiert werden.

In der längeren Diskussion auf Reddit gibt es wenig Zweifel daran, dass VAC den Browserverlauf ausliest. Das werde auch gemacht, um herauszufinden, ob der Nutzer auf bekannten Webseiten von Hilfen für Cheater war. Vergleichbare Programme, etwa Punkbuster, arbeiten ähnlich - ohne dass sich sonderlich viele Nutzer daran stören.

Unklar ist allerdings, ob die Daten wirklich an Valve geschickt werden. Auch wenn es vermutlich kaum ein Nutzer gut findet, wenn ein Programm seinen Rechner und nicht freigegebene Ordner untersucht: Aus Datenschutzsicht wäre erst der Versand an Valve wirklich problematisch. Das Unternehmen hat sich noch nicht zu den Vorwürfen geäußert.

Derzeit unterstützen rund 60 Spiele Valve Anti-Cheat, darunter Counter-Strike, Call of Duty und Left 4 Dead. Das 2002 erstmals veröffentlichte Programm soll im Laufe der Jahre über 1,8 Millionen Cheatern auf die Schliche gekommen sein - jedenfalls wurden laut der US-Ausgabe von Wikipedia bislang so viele Steam-Nutzerkonten dauerhaft gesperrt.

Nachtrag vom 18. Februar 2014, 9:25 Uhr

Valve-Chef Gabe Newell hat sich auf Reddit.com ausführlich zu den Meldungen über VAC und Datenschutz geäußert. Er bestreitet, dass sein Unternehmen die Daten aus den DNS-Cache-Einträgen erhält. Tatsächlich sei es aber so, dass von Valve Anti-Cheat eine kurze Zeit lang der Cache auf Einträge von bekannten Cheat-Servern überprüft und gegebenenfalls mit einem externen Anti-Cheat-Server abgeglichen wurde. Dieses Verfahren habe man 13 Tage lang verwendet und so 570 Cheater überführt. Inzwischen haben professionelle Cheat-Anbieter nach Angaben von Newell eine Möglichkeit gefunden, die Einträge im DNS-Cache ihrer Kunden zu manipulieren.