XCOM: Chimera Squad: Ist weniger tatsächlich mehr? Das neue Firaxis-Spiel im Test

33
Test Matti Sandqvist Als bevorzugte Quelle auf Google hinzufügen
XCOM: Chimera Squad: Ist weniger tatsächlich mehr? Das neue Firaxis-Spiel im Test
Quelle: PC Games

Wie aus dem Nichts hat Firaxis den nächsten Teil der XCOM-Reihe angekündigt und zugleich einen zeitnahen Release eine Woche später bekanntgegeben. Ob die vielleicht weit und breit beste Taktik-Reihe nun einen weiteres Genre-Schwergewicht sein Eigen nennen kann oder Chimera Squad die hohen Erwartungen doch nicht erfüllt, verraten wir euch in unserem Test.

So recht wollten wir dem Braten ja nicht trauen: Gerade zehn Tage vor seinem geplanten Release hat Firaxis Games einen neuen Teil der allseits beliebten XCOM-Reihe angekündigt. Wer schnell genug zugreift und vorbestellt, bekommt den Chimera Squad genannten Ableger für gerade mal zehn Euro, die Spätüberzeugten werden hingegen mit 20 Euro zur Kasse gebeten. Anhand der sogleich veröffentlichten Screenshots konnte man einen großen Abstrich zu den Vorgängern sehen: Anstatt aufwendiger Cutscenes wird die Geschichte von XCOM: Chimera Squad in comichaften Charakterdialogen erzählt. Doch sollte das federführend von Marka Naua - und nicht von Serien-Master-Mind Jake Solomon - entwickelte Taktikspiel sonst gleichauf mit den richtigen und hochgefeierten Teilen der Reihe sein? Wir konnten genau das mit einer Testversion überprüfen, die wir eine Woche vor dem offiziellen Release bekommen haben.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle findest du externe Inhalte von [PLATTFORM]. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

XCOM: Chimera Squad ist fünf Jahre nach den Ereignissen von Teil 2 (hier geht's zum Test) angesiedelt. Nachdem die Weltbevölkerung die außerirdische Bedrohung zurückgeschlagen hat und ein brüchiger Frieden mit den ungewollten Besatzern vereinbart wurde, gilt die Stadt City 31 als ein Experiment und Beleg dafür, dass Aliens, Hybride und Menschen gemeinsam in Eintracht miteinander leben können. Für den Frieden in der Metropole soll der Chimera Squad sorgen, der neben Menschen auch über außerirdische Peacekeeper verfügt. Während der etwa zwanzig Stunden langen Kampagne übernehmen wir die Leitung über dem Squad und müssen uns in rundenbasierten Kämpfen gegen allerlei Unruhestifter stellen und nebenbei auch unsere Ausrüstung durch Forschung verbessern. Unserer Meinung nach ist die Handlung von Chimera Squad sehr austauschbar, sodass sie uns kaum zum Weiterspielen motiviert hat - und das hat nicht unbedingt etwas mit der schlichten Inszenierung zu tun. Bei einem rundenbasierten Taktikspiel ist das aber noch zu verzeihen, hier kommt es unserer Meinung nach viel mehr auf ein gutes Kampfsystem und kluge KI-Gegner an. In beiden Punkten haben die grandiosen Vorgänger gepunktet und das gilt auch zu einem gewissen Teil für XCOM: Chimera Squad.

XCOM Chimera Squad im Test: Heldentruppe

Freischaltbare Helden ersetzen im Squad die aus den Hauptspielen bekannten Charakterklassen. Manche von ihnen sind mit Shotguns ausgestattet, andere greifen wiederum zu Pistolen oder Sturmgewehren. Wichtiger sind aber die Spezialfertigkeiten der Recken: Während Terminal mit einer Heildrohne Teammitglieder rettet, kann Anführerin Godmother mit einem gewaltigen Schrotgewehrangriff auch die stärksten Widersacher vernichten und Pistolenexperte Blueblood mehrmals in einer Runde feuern. Insgesamt können wir während elf Charaktere freischalten. Da wir jeweils nur vier der Helden in eine Mission mitnehmen können und wir sie wie in XCOM 2: War of the Chosen durch Erfahrungspunkte verbessern, kommt durch die Squad-Wahl ein wenig Abwechslung in der Kampagne auf. Wollen wir lieber Verge mit ins Boot holen und seine Psionic-Fähigkeiten einsetzen oder den Demolition-Experten Claymore mit seiner treffsicheren Shotgun für Ruhe sorgen lassen? Unserer Erfahrung nach - wir haben die Kampagne insgesamt zwei Mal für den Test durchgespielt - gibt es die passende Truppe für jeden Spielertyp.
Alle elf Helden verfügen über ganz eigene Spezialfertigkeiten. Cherub kann zum Beispiel mit seinem Kinetikschild Teammitglieder vor feindlichen Angriffen schützen. Quelle: PC Games Alle elf Helden verfügen über ganz eigene Spezialfertigkeiten. Cherub kann zum Beispiel mit seinem Kinetikschild Teammitglieder vor feindlichen Angriffen schützen. Auch die Missionen selbst unterscheiden sich recht stark von denen der richtigen Reihenableger - insgesamt könnte man sagen, dass sie sich auf das Wesentliche beschränken. Bei den kurzen Aufträgen müssen wir wie bei den anderen Teilen zumeist alle Feinde ausschalten und haben dafür mitunter auch nur eine begrenzte Anzahl von Runden zur Verfügung - das kann vor allem bei den späteren Gefechten wieder einmal sehr nervig sein. Die größte Neuerung der Kämpfe ist der Vorstoßmodus, in der wir in ein Gebäude eindringen und auf die Feinde schießen. Vor jeder sogenannten Begegnung - normale Missionen haben bis zu drei von ihnen - entscheiden wir, von wo aus unsere Squad-Mitglieder in das feindliche Gebiet hineingehen. Die Zugangspunkte haben dabei mal Vor- und Nachteile. Wenn wir zum Beispiel ein Tor einbrechen, haben wir zwar mehr Zeit zum Zielen, aber auch eine hohe Wahrscheinlichkeit Treffer einzustecken. Durch einen Lüftungsschacht kommen wir hingegen unbemerkt rein und können die Feinde überraschen, schießen aber nicht so gut. Während wir uns in den ersten Spielstunden noch viele Gedanken darüber machten, wie wir in dieser kurzen Spielphase vorgehen sollten, verkamen die Vorstöße mit der Zeit eher zu einem notwendigen Übel, das man hinter sich brachte. Eine wirklich optimale Taktik, wen man an welchem Vorstoßpunkt einsetzt, gibt es unserer Erfahrung nämlich nicht wirklich.

XCOM Chimera Squad im Test: Das Wesentliche

Sobald ein Vorstoß absolviert wurde, geht ein XCOM-typisches Gefecht los - sprich wir bewegen rundenbasiert unsere Haudegen und lassen sie mit mehr oder weniger Erfolg auf die Feinde schießen. Der nächste Unterschied ist aber, dass die Charaktere verschachtelt am Zug sind. Die Reihenfolge sehen wir stets rechts auf der Benutzeroberfläche und sie hängt unter anderem davon ab, von wo der jeweilige Held vorgestoßen ist, aber ebenso bestimmen die unterschiedlichen Gegnerarten die Abfolge - schnellere Feinde wie Androiden dürfen vor langsamen Fieslingen schießen. In den sogenannten Begegnungen - also den Phasen einer Mission - kann es auch mal dazu kommen, dass uns Wellen von Feinden angreifen oder die Gegner durch Portale Unterstützung bekommen. Als solches sind die Kampfareale aber so klein, dass wir von Anfang bis Ende alle Feinde sehen und so taktisch klug vorgehen können. So lohnt es sich zum Beispiel immer, den Gegner auszuschalten, der als nächstes dran ist oder öfter als die anderen Fieslinge an der Reihe ist.
Die Zugreihenfolge hängt davon ab,  wer zuerst das Gebäude betreten hat und um welche Arten von Gegnern es sich handelt. Quelle: Firaxis Games Die Zugreihenfolge hängt davon ab,  wer zuerst das Gebäude betreten hat und um welche Arten von Gegnern es sich handelt. Über die Dauer von über 20 Spielstunden konnten uns die kurzen Gefechte nicht so recht unterhalten. Dafür war die Anzahl unterschiedlicher Gegnerarten ein wenig zu gering und außerdem fehlte uns die XCOM-typische Spannung, die entsteht, wenn man nicht genau weiß, wo sich die Feinde in einem Gebiet verstecken. Immerhin sorgen aber die verschiedenen Helden mit ihren Spezialfertigkeiten für ein wenig Abwechslung, aber die Beschränkung auf das Wesentliche macht sich trotzdem fast immer bemerkbar.

Genau das trifft auch auf unsere Basis zu. Hier können wir lediglich neue Ausrüstungsgegenstände wie Waffen sowie Panzer erforschen, Truppenmitglieder zu finanziell lukrativen Spezialaufträgen schicken oder sie trainieren lassen, damit sie Wunden auskurieren oder über mehr Trefferpunkte verfügen. Die Strategiekomponente, die wir in XCOM 1 und 2 durch das Basismanagement hatten, möchte Chimera Squad offensichtlich nicht erreichen. Die einzige Herausforderung, die wir hier haben, ist das Verhindern der Aufstände in den Bezirken von City 31. Um das sogenannte Anarchie-Level möglichst niedrig zu halten, müssen wir in dem Viertel entweder Missionen erledigen oder Feldteams zu den Bezirken schicken und so Unruhe verhindern. Auch wenn man hier sein Bestes gibt, lässt es sich kaum über die ganze Kampagne vermeiden, dass es mal zu einem Aufstand kommt. Um jenen zu bezwingen, müssen wir eine schwere Mission erledigen, der bei einigen unserer Truppenmitglieder sehr wahrscheinlich ernsthafte Verwundungen zurücklässt.

XCOM Chimera Squad im Test: Diät-Produkt

Auch wenn uns XCOM: Chimera Squad - vor allem am Anfang - dank der neuartigen Vorstöße richtig Laune gemacht hat, mussten wir doch nach einigen Spielstunden feststellen, dass dem Ableger im Vergleich zu den Vorgängern viele wichtige Spielkomponenten fehlen. Auf Dauer sind sich die Missionen sehr ähnlich, zumal der Aufbau durch die Vorstoße und anschließenden kurzen Scharmützel stets identisch ist. Zudem können wir in unserer Basis ebenfalls recht wenig anstellen und so hatten zumindest wir oft das Gefühl, dass wir zwar ein XCOM gespielt haben, aber die Vorgänger in allen Bereichen deutlich umfangreicher sind. Wer XCOM 1 und 2 sowie die Add-ons bereits geliebt hat, kann trotzdem über den Kauf Chimera Squad nachdenken. Man sollte hier zwar kein richtiges Firaxis-Strategiefeuerwerk erwarten, aber für gerade 20 Euro bekommt ihr immerhin ein Taktik-Spiel, das für zehn oder auch 20 Stunden ganz nett unterhält. Wem die Erfahrungen mit der Reihe komplett fehlen, dem raten wir aber eher zu Teil 1 oder 2 - sie bieten in allen Belangen so viel mehr.

Meinung

Wertung zu XCOM: Chimera Squad (PC)

Wertung:

7.0 /10
Pro & Contra
11 freischaltbare Charaktere sorgen für AbwechslungNeue Spielmechaniken wie etwa der VorstoßmodusGegner-KI kann auch mal überraschenMod-Support
austauschbare Geschichtekleine GefechtsarealeGegnerarten aus den Vorgängern gebanntbietet in allen Belangen weniger als die beiden Vorgänger
33
    • Kommentare (33)

      Zur Diskussion im Forum
      • Von Zybba Mitglied
        Unser Podcast zum Spiel ist jetzt hier online.

        Zitat von Chaz0r
        ...
        Guter Beitrag!
      • Von Zybba Mitglied
        Unser Podcast zum Spiel ist jetzt hier online.

        Zitat von Chaz0r
        ...
        Guter Beitrag!
      • Von Chaz0r Mitglied
        Zitat von Kellykiller
        Danke, dass du auf das alles eingehst. Das können wir mal so stehen lassen. Trotzdem wurmt mich eine Sache gewaltig: Es ist ja wohl ziemlich offensichtlich, dass Daten fließen. Ob nun versendet oder gesendet sei erstmal dahin gestellt. Darum verstehe ich nicht, warum all das passiert noch BEVOR es überhaupt die Möglichkeit gibt der Datenschutzvereinbarung anzunehmen, oder halt abzulehnen. Denn dort ist ja alles ziemlich genau geregelt. Ein "Finde ich gar nicht so schlimm" lasse ich allerdings nicht gelten. Wenn Ihr bestimmte Daten braucht um das Spiel sauber zum laufen zu bekommen, dann könnt Ihr die haben. Aber das möchte ich bitte im Vorfeld wissen, und nicht erst dann wenn das Kind schon in den Brunnen gefallen ist. Und alle anderen Daten gehen den Betreiber halt mal nix an, also finger weg.
        Naja. Es geht ja erstmal nur im personenbezogene Daten, nicht "Daten". Entsprechend darf jede Applikation darüber hinaus senden und empfangen was sie will. Die ganze Xsolla Kommunikation, das Ganze Amazon S3 und so, ist also erstmal ziemlich problemlos, wenn ich das jetzt beim Überfliegen richtig gesehen habe. Die Dinge von der Spielplattform - sowas wie im Epic Launcher oder bei Steam, werden sicherlich direkt durch die Steam AGBs und Datenschutzerklärungen abgefangen und sind vermute ich mal dadurch schon legitim. Ist aber jetzt nur eine Annahme, hab ich nicht verifiziert. Aber ein Launcher, der auch mal Dinge anpreist, die varrieren, müssen einfach Daten senden und empfangen. Geht gar nicht anders. Und solange das nicht personenbezogen ist, ist das ok. Dass dann unter Umständen der Launcher oder das Spiel crashed, sofern da einige Kommunikation nicht funktioniert - wie es der Mensch in deinem Link beschreibt - ist halt kacke programmiert. Sollte bei nem Titel, der offline funktioniert, nicht sein. Und entsprechend finde ich das bis hier auch erstmal nicht weiter schlimm und lasse das für mich doch so stehen ^^.

        Bleibt eigentlich nur an der Stelle Google Analytics, was angeblich ja bereits vor der Datenschutzerklärung ausgeführt wird. Da ist meine Wette, dass viele der in deinem Link genannten Funktionen in einer Art onLaunch-Methode stecken und Analytics da mehr oder weniger "aus versehen" (ob mehr oder weniger aus versehen kann sich jeder selbst überlegen) reingerutscht ist. Meine Vermutung wäre, dass das im Grunde so nicht legitim ist. Das würde aber voraussetzen, dass das wirklich so ist und da bin ich mir - nach den ganzen, falschen Informationen in deinem Link - nicht sicher. Würde das zumindest nach so vielen, falschen Inhalten nicht pauschal unterschreiben ^^
      • Von Arkilf13l NPC
        Grundsätzlich sammelt jedes Spiel eines Herausgebers jeder Größe Gameplay-Analysen und dies seit mindestens 12 Jahren. Es ist ein grundlegendes Tool für das Spieldesign, um zu untersuchen, mit welchen Teilen eines Spiels sich die Spieler tatsächlich beschäftigen und was sie ignorieren.
      • Von Kellykiller Mitglied
        Zitat von Chaz0r
        Also ich hab mir das jetzt mal angeschaut und finde das gar nicht so schlimm, was da drinnen ist. Es gibt 2 Dinge, die meiner Meinung nach etwas fragwürdig sind. Der Rest - sofern ich nichts übersehen habe, also gerne korrigieren - scheint mir normaler Standard zu sein. Und wenn wir über so einen Standard diskutieren, können wir das über nahezu jedes Spiel und jede App.

        Das Erste, wo sich in deinem Link ja beschwert wird, ist die Einbindung von Crashlytics in den Launcher. Crashlytics ist aber absolut harmlos. Wir binden das Ganze in den Apps, die wir bauen, auch ein. Crashlytics registriert, wenn die bestehende Applikation abstürzt. Es sendet dann die vom Entwickler angegebenen Daten und einen Stacktrace an Crashlytics. Ein Stacktrace ist für einen Entwickler zum Fixen von Crashes absolut notwendig. Ansonsten ist das Fixen solcher Fehler wie die Suche der Nadel im Heuhaufen. Es können auch nicht x-beliebige Daten mitgesendet werden, sondern nur die, die im Rahmen der Applikation - hier scheinbar der Launcher - wirklich irgendwie zur Verfügung stehen. Ein einfaches Crawlen des ganzen Rechners mit eventueller Erkennung sensibler Daten ist nicht möglich. Was natürlich sein kann ist, dass der Pfad der Applikation mitgesendet wird und da der Rechner-Name mit drinnensteht - wie in deinem Link auch erwähnt wird. Das kann man sicherlich hinterfragen. Der relative Pfad ab dem Ordner, wo alles installiert ist, hätte wahrscheinlich gereicht. Vielleicht aber auch nicht ganz möglich, sofern Windows-Eigene Dienste verwendet werden und Teil des Stacktrace sind. Das lässt sich aber dann leider nicht schwärzen.

        Die sendrpt.exe tut Ähnliches. Dabei handelt es sich um Doctor Dump. Dass tut Ähnliches. Wenn man das mal googled wird es auch als problemlos eingestuft. Entsprechend verstehe ich auch nicht, warum er das in deinem Link als Problem ansieht.

        Der Xsolla Launcher: Hier ist das einzige Problem, dass scheinbar der Rechnername als UserId genommen wird. Eine ID braucht es einfach, damit entsprechende Tools funktionieren. Und sie wollten wohl vermeiden, dass bei einer Neuinstallation quasi in deren Tools ein neuer Nutzer angelegt wird. Deswegen der Rechner Name. Den hätten sie aber wenigstens Hashen können, damit es unkenntlich ist. Man sollte sich aber mal angucken was da wirklich gesendet wird. Das was er da schreibt, klingt nämlich schlimmer, als es ist. Beispiel: Er sagt "Chat und Freunde" werden gesendet. Klingt so als wären da jede Menge Chatverläufe und Freundesdaten drinnen. Stimmt aber nicht. Ist ein einfaches Flag, ob das Feature an oder aus ist. Die Daten zu Amazon und Konsorten sind auch gar nicht wild. Bei Amazon werden nur Daten an der Stelle aus S3 geladen, was ein einfacher File-Server ist um beispielsweise Assets zur Verfügung zu stellen. Zusätzlich muss man eindeutig sagen, dass an diese URL von Xsolla nichts gesendet wird, sondern es wird etwas abgerufen. Man kann die URL, die er da nennt, einfach im Browser öffnen und sieht das auch. Diese Daten sind einfache Konfigurationsdaten, durch die sich der Launcher erst aufbauen kann. Und das über eine Web-Konfiguration zu machen, ist total sinnvoll. Wenn sich irgendwann mal etwas ändert, kann man das direkt aktualisieren, ohne dass gleich Patches nötig sind.

        Der nächste Xsolla Link, den er da nennt, ist recht ähnlich. Auch hier werden scheinbar Daten abgerufen, die für den Launcher nötig sind und nichts gesendet. In den Steam Daten, die er da nennt, ist z.B. absolut nichts drinnen ausser die Steam App ID und ein paar technische Konfigurationsdaten, damit die Applikation weiß, was gewisse Daten sind und wie damit umgegangen wird. Sieht man auch, wenn man seine URL im Browser aufruft.

        Den Xsolla Login Call, den er nennt, beschreibt er - so wie ich das sehe - aber auch falsch. Einfach mal den Link, den er da nennt, im Browser aufrufen. Diese ganzen Social Links sind beispielsweise Links um sich mit den entsprechenden Accounts einloggen zu können. Kann man auch probieren, indem man einfach mal einen dieser Links dann im Browser ausführt. Bei Facebook kommt die normale, bekannte Abfrage, ob Xsolla Daten abrufen darf. Was die damit machen, weiss man noch nichts. Aber auch hier wird erstmal wieder nur abgerufen und nicht zurückgesendet und auch nicht von den sozialen Medien irgendwelche Daten. Er sagt auch, dass Mail-Daten mitgesendet werden. Scheint auch nicht zu stimmen. Es werden weiterhin nur Daten abgefragt und nicht zurückgesendet. Und was in dem von ihm beschriebenen Link als Einziges zur Mail steht, ist ein Flag, ob die Mail-Addresse eines registrierten oder im Hintergrund registrierten Nutzers auch dem Nutzernamen entspricht. Das ist unter Umständen für die Applikation wichtig um zu entscheiden, ob z.B. ein Nutzernamen-Feld o.ä angezeigt werden muss. Wenn der Login eben der Mail-Addresse entspricht, würde das Feld reichen. Wenn nicht, dann nicht. Auch der Paypal Link und so sind alles nur Authorisierungslinks, wo gar nichts automatisch zurückgesendet wird und ohne Freigabe auch nicht zurückgesendet werden kann. Er sagt auch, dass Passwörter enthalten sind. Nochmal: Hier wird nur abgerufen und nicht zurückgesendet und das Einzige, was zum Passwort in diesen Links steht ist:
        "proxyResetPassword": false
        Da wird nichts an Passwörtern gesendet, es gibt nur so einen Konfigurationsparameter.

        Bei Google Analytics ist es durch seine Schwärzungen etwas schwieriger zu erahnen, wie detailliert die Daten wirklich sind. Die ID ist jedenfalls nur dann wieder fragwürdig, wenn das der Name des Rechners ist. Die cd Parameter sind custom dimensions. Da könnte man eintragen, was man will - theoretisch auch fragwürdige Daten - aber wenn die so granular wären, dass sie gefährlich sind, hätte man in Analytics ein riesen Durcheinander. Deswegen würde ich daran zweifeln. Der Rest sind alles normale Parameter für gewöhnliches Tracking. Wenn man das diskutieren möchte, dann bitte für nahezu jede App und nahezu jede Website.

        Er geht dann nochmal wieder auf Amazon ein:
        Hier handelt es sich wieder nur um S3 also den simplen File-Server. Und in seinen Beispielen werden da einfach mal Bilder runtergeladen. Siehe: https://cdn3.xsolla.com/i... <- das kommt aus seinem Beispiel, einfach mal im Browser öffnen.

        Bei seinem Epic-Eintrag sehe ich auch wieder nur die User-ID als unter Umständen fragwürdig.

        Zum Heartbeat: Wieso der wirklich benötigt wird, keine Ahnung. Aber in seinem Screenshot sieht man auch nichts, was fragwürdig ist. Den Bereich der POST-Daten hat er ja leider ausgeblendet. Maximal da wäre irgendwas spannendes noch zu sehen.

        TLDR: Keine Ahnung, ob ich irgendwas übersehen hab, aber ich sehe da jetzt nicht viel Datenkrake. Das sieht für mich nach nem recht minimalen Standard aus, wo man einzig die User-ID mit dem Rechnernamen hinterfragen sollte und eigentlich müsste die Datenschutz-Akzeptanz natürlich vor allem kommen. Bei Crashlytics würde das vielleicht noch mit ner komplett anonymen ID durchgehen, bei Analytics spätestens eigentlich nicht mehr. Aber nach ner Datenkrake sieht mir das nicht aus.
        Danke, dass du auf das alles eingehst. Das können wir mal so stehen lassen. Trotzdem wurmt mich eine Sache gewaltig: Es ist ja wohl ziemlich offensichtlich, dass Daten fließen. Ob nun versendet oder gesendet sei erstmal dahin gestellt. Darum verstehe ich nicht, warum all das passiert noch BEVOR es überhaupt die Möglichkeit gibt der Datenschutzvereinbarung anzunehmen, oder halt abzulehnen. Denn dort ist ja alles ziemlich genau geregelt. Ein "Finde ich gar nicht so schlimm" lasse ich allerdings nicht gelten. Wenn Ihr bestimmte Daten braucht um das Spiel sauber zum laufen zu bekommen, dann könnt Ihr die haben. Aber das möchte ich bitte im Vorfeld wissen, und nicht erst dann wenn das Kind schon in den Brunnen gefallen ist. Und alle anderen Daten gehen den Betreiber halt mal nix an, also finger weg.
      • Von Chaz0r Mitglied
        Zitat von Kellykiller
        Meiner Meinung nach sollte nicht unerwähnt bleiben, dass das Spiel eine extreme Datenkrake ist: https://gameindustry.eu/r...
        Kein wunder dass das Ding nur 10€ kostet. Das richtige Geld wird mit deinen Daten gemacht.
        Also ich hab mir das jetzt mal angeschaut und finde das gar nicht so schlimm, was da drinnen ist. Es gibt 2 Dinge, die meiner Meinung nach etwas fragwürdig sind. Der Rest - sofern ich nichts übersehen habe, also gerne korrigieren - scheint mir normaler Standard zu sein. Und wenn wir über so einen Standard diskutieren, können wir das über nahezu jedes Spiel und jede App.

        Das Erste, wo sich in deinem Link ja beschwert wird, ist die Einbindung von Crashlytics in den Launcher. Crashlytics ist aber absolut harmlos. Wir binden das Ganze in den Apps, die wir bauen, auch ein. Crashlytics registriert, wenn die bestehende Applikation abstürzt. Es sendet dann die vom Entwickler angegebenen Daten und einen Stacktrace an Crashlytics. Ein Stacktrace ist für einen Entwickler zum Fixen von Crashes absolut notwendig. Ansonsten ist das Fixen solcher Fehler wie die Suche der Nadel im Heuhaufen. Es können auch nicht x-beliebige Daten mitgesendet werden, sondern nur die, die im Rahmen der Applikation - hier scheinbar der Launcher - wirklich irgendwie zur Verfügung stehen. Ein einfaches Crawlen des ganzen Rechners mit eventueller Erkennung sensibler Daten ist nicht möglich. Was natürlich sein kann ist, dass der Pfad der Applikation mitgesendet wird und da der Rechner-Name mit drinnensteht - wie in deinem Link auch erwähnt wird. Das kann man sicherlich hinterfragen. Der relative Pfad ab dem Ordner, wo alles installiert ist, hätte wahrscheinlich gereicht. Vielleicht aber auch nicht ganz möglich, sofern Windows-Eigene Dienste verwendet werden und Teil des Stacktrace sind. Das lässt sich aber dann leider nicht schwärzen.

        Die sendrpt.exe tut Ähnliches. Dabei handelt es sich um Doctor Dump. Dass tut Ähnliches. Wenn man das mal googled wird es auch als problemlos eingestuft. Entsprechend verstehe ich auch nicht, warum er das in deinem Link als Problem ansieht.

        Der Xsolla Launcher: Hier ist das einzige Problem, dass scheinbar der Rechnername als UserId genommen wird. Eine ID braucht es einfach, damit entsprechende Tools funktionieren. Und sie wollten wohl vermeiden, dass bei einer Neuinstallation quasi in deren Tools ein neuer Nutzer angelegt wird. Deswegen der Rechner Name. Den hätten sie aber wenigstens Hashen können, damit es unkenntlich ist. Man sollte sich aber mal angucken was da wirklich gesendet wird. Das was er da schreibt, klingt nämlich schlimmer, als es ist. Beispiel: Er sagt "Chat und Freunde" werden gesendet. Klingt so als wären da jede Menge Chatverläufe und Freundesdaten drinnen. Stimmt aber nicht. Ist ein einfaches Flag, ob das Feature an oder aus ist. Die Daten zu Amazon und Konsorten sind auch gar nicht wild. Bei Amazon werden nur Daten an der Stelle aus S3 geladen, was ein einfacher File-Server ist um beispielsweise Assets zur Verfügung zu stellen. Zusätzlich muss man eindeutig sagen, dass an diese URL von Xsolla nichts gesendet wird, sondern es wird etwas abgerufen. Man kann die URL, die er da nennt, einfach im Browser öffnen und sieht das auch. Diese Daten sind einfache Konfigurationsdaten, durch die sich der Launcher erst aufbauen kann. Und das über eine Web-Konfiguration zu machen, ist total sinnvoll. Wenn sich irgendwann mal etwas ändert, kann man das direkt aktualisieren, ohne dass gleich Patches nötig sind.

        Der nächste Xsolla Link, den er da nennt, ist recht ähnlich. Auch hier werden scheinbar Daten abgerufen, die für den Launcher nötig sind und nichts gesendet. In den Steam Daten, die er da nennt, ist z.B. absolut nichts drinnen ausser die Steam App ID und ein paar technische Konfigurationsdaten, damit die Applikation weiß, was gewisse Daten sind und wie damit umgegangen wird. Sieht man auch, wenn man seine URL im Browser aufruft.

        Den Xsolla Login Call, den er nennt, beschreibt er - so wie ich das sehe - aber auch falsch. Einfach mal den Link, den er da nennt, im Browser aufrufen. Diese ganzen Social Links sind beispielsweise Links um sich mit den entsprechenden Accounts einloggen zu können. Kann man auch probieren, indem man einfach mal einen dieser Links dann im Browser ausführt. Bei Facebook kommt die normale, bekannte Abfrage, ob Xsolla Daten abrufen darf. Was die damit machen, weiss man noch nichts. Aber auch hier wird erstmal wieder nur abgerufen und nicht zurückgesendet und auch nicht von den sozialen Medien irgendwelche Daten. Er sagt auch, dass Mail-Daten mitgesendet werden. Scheint auch nicht zu stimmen. Es werden weiterhin nur Daten abgefragt und nicht zurückgesendet. Und was in dem von ihm beschriebenen Link als Einziges zur Mail steht, ist ein Flag, ob die Mail-Addresse eines registrierten oder im Hintergrund registrierten Nutzers auch dem Nutzernamen entspricht. Das ist unter Umständen für die Applikation wichtig um zu entscheiden, ob z.B. ein Nutzernamen-Feld o.ä angezeigt werden muss. Wenn der Login eben der Mail-Addresse entspricht, würde das Feld reichen. Wenn nicht, dann nicht. Auch der Paypal Link und so sind alles nur Authorisierungslinks, wo gar nichts automatisch zurückgesendet wird und ohne Freigabe auch nicht zurückgesendet werden kann. Er sagt auch, dass Passwörter enthalten sind. Nochmal: Hier wird nur abgerufen und nicht zurückgesendet und das Einzige, was zum Passwort in diesen Links steht ist:
        "proxyResetPassword": false
        Da wird nichts an Passwörtern gesendet, es gibt nur so einen Konfigurationsparameter.

        Bei Google Analytics ist es durch seine Schwärzungen etwas schwieriger zu erahnen, wie detailliert die Daten wirklich sind. Die ID ist jedenfalls nur dann wieder fragwürdig, wenn das der Name des Rechners ist. Die cd Parameter sind custom dimensions. Da könnte man eintragen, was man will - theoretisch auch fragwürdige Daten - aber wenn die so granular wären, dass sie gefährlich sind, hätte man in Analytics ein riesen Durcheinander. Deswegen würde ich daran zweifeln. Der Rest sind alles normale Parameter für gewöhnliches Tracking. Wenn man das diskutieren möchte, dann bitte für nahezu jede App und nahezu jede Website.

        Er geht dann nochmal wieder auf Amazon ein:
        Hier handelt es sich wieder nur um S3 also den simplen File-Server. Und in seinen Beispielen werden da einfach mal Bilder runtergeladen. Siehe: https://cdn3.xsolla.com/i... <- das kommt aus seinem Beispiel, einfach mal im Browser öffnen.

        Bei seinem Epic-Eintrag sehe ich auch wieder nur die User-ID als unter Umständen fragwürdig.

        Zum Heartbeat: Wieso der wirklich benötigt wird, keine Ahnung. Aber in seinem Screenshot sieht man auch nichts, was fragwürdig ist. Den Bereich der POST-Daten hat er ja leider ausgeblendet. Maximal da wäre irgendwas spannendes noch zu sehen.

        TLDR: Keine Ahnung, ob ich irgendwas übersehen hab, aber ich sehe da jetzt nicht viel Datenkrake. Das sieht für mich nach nem recht minimalen Standard aus, wo man einzig die User-ID mit dem Rechnernamen hinterfragen sollte und eigentlich müsste die Datenschutz-Akzeptanz natürlich vor allem kommen. Bei Crashlytics würde das vielleicht noch mit ner komplett anonymen ID durchgehen, bei Analytics spätestens eigentlich nicht mehr. Aber nach ner Datenkrake sieht mir das nicht aus.
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PC Games 08/2026 PCGH Magazin 08/2026 play5 08/2026 N-Zone 08/2026 Linux Magazin 08/2026 LinuxUser 08/2026 Raspberry Pi Geek 09/2026
    PC Games PC Games Hardware Linux Magazin Raspberry Pi Geek Computec Kiosk