Es gibt eine Reihe von Apps, die Google für Privatanwender kostenlos und für Unternehmen nach einiger Zeit als Abonnement mit flexiblen Bezahlmodellen herausgab. Daraus entstand G Suite – eine Kollektion von Software-Tools und Google-Apps. In dieser Business-Version hat sich Google mit einem Datenleck in die Schlagzeilen gebracht. Was ist passiert?
Passwort und Privacy bei Facebook und Google
Die Meldung über Millionen von Facebook-Passwörtern, die gespeichert und sogar für Mitarbeitende des Unternehmens sichtbar waren – und das über einen längeren Zeitraum –, ging durch alle Medien. Der Vorfall bestätigte den Argwohn, den viele gegenüber Facebook hegen: Die Plattform gehe mit der Privacy ihrer Nutzer:innen zu sorglos um; Datenschutz werde zu leichtfertig behandelt. Nun trat ein anderer Softwareriese mit einer ähnlich brisanten Meldung an die Öffentlichkeit. Google informierte in einem Unternehmensblog über eine Datenpanne, die bereits einige Jahre zurückliegt – und in etwas weniger gravierender Form jüngst ein zweites Mal auftrat. Mutmasslich verschaffte das jüngere Ereignis der älteren Panne erst jetzt die nötige Aufmerksamkeit.
Google im Bemühen um Transparenz
Zunächst ist anzuerkennen, dass Google die Sicherheitslücke selbst öffentlich gemacht hat. Die Meldung zeigt aber auch, dass Sicherheit in sozialen Netzwerken und bei Softwareunternehmen noch immer keinen ersten Platz belegt. In einem Blog-Eintrag vom Mai dieses Jahres erklärt Google seine Verschlüsselungssystematik – im Kern ein klassisches Kryptografie-Prinzip: Durch das Hashen wird das Nutzer-Passwort maskiert. Aus der Kombination von User-Account und dem zugehörigen Hash entsteht automatisch die richtige Zeichenfolge, sobald das korrekte Klartext-Kennwort eingegeben wird. Die Stärke dieser Methode: Sie funktioniert nur in eine Richtung. Aus dem Hash lässt sich das Klartext-Passwort nicht zurückgewinnen. Auch Google-Mitarbeitende können Passwörter weder einsehen noch wiederherstellen.
Besondere Features in der Unternehmensversion G Suite
Was auf der einen Seite ein Vorteil war, erwies sich auf der anderen als Schwachstelle: In der Unternehmensversion G Suite brauchten Administrierende die Möglichkeit, Passwörter zu vergeben und zurückzusetzen. Google räumte das ein – als bewusste Funktion, weil sie beim Onboarding neuer Mitarbeitender den Übergang auf einen bestehenden Account erleichterte und beschleunigte. Das Tool dafür sass in der Admin Console.
Ein Fehler der Vergangenheit mit Folgen in die Gegenwart
Das Tool in der Admin Console existiert längst nicht mehr. Trotzdem holt Google jetzt ein Implementierungsfehler ein, der viele Jahre zurückliegt: Seit 2005 wurden in der Admin Console versehentlich Kopien von Klartext-Passwörtern abgespeichert. Das geschah zwar in einer geschützten Infrastruktur, die Zugriff von aussen verhindert – aber ein bestimmter Kreis von Mitarbeitenden konnte die Passwörter im Klartext einsehen. Google versichert, es habe keine Hinweise auf Missbrauch gefunden. Ähnliches ereignete sich im Januar 2019: Auch damals waren Passwörter in geringen Mengen in einer geschützten Infrastruktur im Klartext gespeichert – diesmal nur für 14 Tage. Auch diesen Fehler hat Google behoben und ist mit den Administrator:innen der betroffenen Kunden in Kontakt, um den Passwortschutz zu verbessern.
Google bedauert die Fehler
Google ist sich der Brisanz dieser Vorgänge bewusst. Das Unternehmen will sich sichtbar von Facebook abgrenzen – denn dass das Image einer Datenkrake langfristig dem Geschäft schadet, hat sich gezeigt. Zudem drohen weitere rechtliche Regulierungen, wie sie Facebook nach den Anhörungen von Mark Zuckerberg vor amerikanischen und europäischen Parlamenten bereits bekam. Google erklärt daher:
»Here we did not live up to our own standards, nor those of our customers. We apologize to our users and will do better.«
Das entspreche weder den eigenen Standards noch denen der Kunden – man entschuldige sich und wolle es besser machen.
Sicherheitsvorkehrungen nicht auf die leichte Schulter nehmen
Ob man Google die zerknirschte Erklärung abnimmt oder nicht – für dich als Nutzer:in bleiben Fragen offen. Allen voran: Warum fiel das erste Leck nicht früher auf, sondern erst, als 2019 eine zweite Lücke entstand? Schaut man sich die Nachbesserungen von Google im Login-Bereich der letzten Jahre an, gibt es durchaus Optionen. Die Administrator:innen von G-Suite-Accounts wurden zur Passwortänderung aufgefordert; Accounts, deren Passwörter nicht durch einen Hash geschützt waren, wurden zurückgesetzt. Entscheidend bleibt aber dein eigenes Bewusstsein für die Gefährdung persönlicher Daten. Informiere dich über die verfügbaren Sicherheitsmassnahmen – und nutz sie, um das Risiko eines unberechtigten Zugriffs durch Dritte zu senken.
Welche Chancen bieten Datenlecks?
Jeder Vorfall ist ärgerlich – besonders wenn wie bei Facebook Millionen von Nutzer:innen betroffen sind. Aber jede Krise bringt auch eine Chance. Die Sicherheitsmassnahmen, die Google und andere Anbieter inzwischen umgesetzt haben, erhöhen den Schutz im Login-Bereich spürbar. Studien der New York University und der University of California, San Diego, zeigen: Allein das Hinterlegen einer Telefonnummer blockiert automatisierte Bots zu 100 Prozent, Phishing-Attacken zu 99 Prozent und gezielte Angriffe zu 66 Prozent – im jeweiligen Untersuchungszeitraum. Auf der anderen Seite gibt Google zu: Mehr Sicherheits-Layer können die Nutzung erschweren. Nicht alle loggen sich immer vom selben Gerät ein, nicht alle erinnern sich unterwegs an ihre zweite E-Mail-Adresse. Mehrere Sicherheitschecks verlangsamen den Zugang. Trotzdem lohnt sich die Frage, welche Daten du tatsächlich preisgibst. Das Internet ist weder ein rechtsfreier noch ein vollständig geschützter Raum – und die Privatsphäre ist selbst bei einem Unternehmen wie Google noch immer nicht so abgesichert, wie es wünschenswert wäre. Vorsicht bei der Datenweitergabe bleibt angebracht.