Es gibt eine Reihe von Apps, die Google für den Privatanwender kostenlos, für Unternehmen dann nach geraumer Zeit als Abonnement und mit flexiblen Bezahlmodellen ausgab. Daraus entwickelte sich G Suite, eine Kollektion von Software-Tools und Google Apps. In dieser Version eigens für den Business-Bereich ist Google mit einem Datenleck im Business-G-Suite in die Schlagzeilen geraten. Was ist geschehen?
Passwort und Privacy bei Facebook und Google
Die Meldung über Millionen von Facebook-User-Passwörtern, die gespeichert und sogar für Mitarbeiter des Unternehmens sichtbar waren, und das über einen längeren Zeitraum, gingen durch alle Medien. Dieser Vorfall bestätigte wieder einmal den Argwohn, den viele Menschen in Bezug auf Facebook haben: Mit der Privacy ihrer Nutzer ginge Facebook generell zu sorglos um, lautete einer der Vorwürfe. Facebook nehme den Datenschutz zu sehr auf die leichte Schulter und handle verantwortungslos. Nun ist ein anderer Softwareriese mit einer brisanten Meldung an die Öffentlichkeit getreten, die ebenfalls nichts Gutes erahnen lässt. Google unterrichtete in einem Unternehmensblog über eine Datenpanne, die allerdings schon einige Jahre zurückliegt, doch in etwas weniger gravierender Form jüngst ein zweites Mal auftrat. Die Aktualität des jüngsten Ereignisses verhalf der Öffentlichkeit mutmasslich zur Kenntnis über die zurückliegende Panne?
Google im Bemühen um Transparenz
Zunächst ist anzuerkennen, dass Google die Sicherheitslücke selbst bekannt gemacht hat. Doch die Meldung zeigt, dass die Sicherheit noch immer nicht die oberste Priorität in den sozialen Netzwerken und Softwareunternehmen eingenommen hat. In einem Blog-Eintrag vom Mai dieses Jahres erklärt Google seine Verschlüsselungssystematik, im Grunde ein simples Feature der Kryptografie: Durch das Hashen wird das Nutzer-Passwort gleichsam maskiert. In der Kombination von User-Account und dem diesem User speziell zugeordneten Hash entsteht automatisch die richtige Zeichenfolge, sobald der Nutzer das richtige Klartext-Kennwort eingegeben hat. Die Wirksamkeit dieser Methode liegt darin, dass sie nur in eine Richtung funktioniert. Das Passwort im Klartext kann nicht aus dem gehashten Passwort heraus gelesen werden. Auch die Mitarbeiter von Google können die Passwörter weder einsehen noch wiederherstellen.
Besondere Features in der Unternehmensversion G Suite
Was einerseits ein Vorteil ist, war auf der anderen Seite ein Manko: In der Unternehmensversion G Suite bestand für Administratoren die Notwendigkeit, Passworte zu vergeben und wiederherzustellen. Diese Möglichkeit, so gab das Unternehmen Google bekannt, war ein gefragtes Feature, zumal es bei der Neueinstellung von Mitarbeitern den Übergang vom bisherigen zum neuen Nutzer eines Accounts erleichterte und beschleunigte. Also räumte Google auf Administratorenebene die Möglichkeit dazu ein. Verortet war dieses Tool auf der Admin Console.
Ein Fehler der Vergangenheit mit Folgen in die Gegenwart
Das Tool, das Google auf der Admin Console verortet hat, gibt es inzwischen längst nicht mehr. Gleichwohl hat Google bei der Implementierung dieses Tools einen Fehler gemacht, der ihnen nun nach vielen Jahren auf die Füsse fällt. Versehentlich wurden seit 2005 in der Admin Console Kopien von Klartext-Passwörtern abgespeichert. Zwar geschah dies insgesamt in einer geschützten Infrastruktur, die Einsicht von aussen unmöglich macht. Doch konnten die Plain-Passwörter von einem Kreis von Mitarbeitern eingesehen werden. Google versichert, es habe keinerlei Hinweise auf einen Missbrauch feststellen können. Ähnlich wie bei einem Zwischenfall im Januar 2019, wo ebenfalls Passwörter in geringen Mengen in einer geschützten Infrastruktur im Klartext gespeichert waren, allerdings nur für 14 Tage. Auch hier hat Google den Fehler behoben und ist in Kontakt mit den Administratoren der Kunden, um den Passwortschutz der User zu erhöhen.
Google bedauert die Fehler
Google ist sich der Brisanz dieser Ereignisse durchaus bewusst. Auch möchte Google sich in seiner Wahrnehmung vom Softwarekonkurrent Facebook unterscheiden, da sich gezeigt hat, dass das Image einer Datenkrake auf Dauer nicht geschäftsfördernd ist. Unter Umständen kann sich daraus auch eine weitere rechtliche Reglementierung ergeben, wie sie für Facebook ungeachtet der Anhörungen des Gründers Mark Zuckerberg vor amerikanischen und europäischen Parlamenten entstanden sind und auch weiter entstehen werden. Google erklärt daher reumütig:
»Here we did not live up to our own standards, nor those of our customers. We apologize to our users and will do better.«
Google erklärt, dass dies weder eigenen noch den Standards der Kunden entspricht, entschuldigt sich und gelobt Besserung.
Sicherheitsvorkehrungen nicht auf die leichte Schulter nehmen
Ungeachtet dessen, ob man dem Softwareriesen die zerknirschte Erklärung abnimmt oder nicht, bleiben für den Nutzer von Tools und Apps dennoch viele Fragen offen. Zum einen, warum das Leck nicht früher auffiel, und erst, nachdem in diesem Jahr eine weitere Datenlücke entstanden ist. Dennoch: Sieht man sich die Nachbesserungen von Google in den letzten Jahren für den Login-Bereich an, bieten sich dem Nutzer durchaus eine ganze Reihe von Möglichkeiten. So wurden die Administratoren der G-Suite-Nutzer zur Passwortänderung aufgefordert. Accounts werden einem Reset unterzogen, sofern das Password nicht durch einen Hash unkenntlich gemacht worden war. Wichtig ist, das Bewusstsein über die Gefährdung der persönlichen Daten beizubehalten. Jeder Einzelne ist gefragt, sich über die Sicherungsmöglichkeiten zu informieren und diese dann auch zu nutzen, um dem Risiko eines widerrechtlichen Kontenzugriffs durch Dritte zu begegnen.
Welche Chancen bieten Datenlecks?
Jeder Zwischenfall ist unerfreulich, zumal wenn wie im Fall von Facebook eine grosse Anzahl von Nutzern betroffen ist. Doch eine Krise bietet bekanntlich auch immer eine Chance. Über die Vorkehrungen, die Google und andere Marktteilnehmer inzwischen getroffen haben, lässt sich sagen, dass sie die Sicherheit im Login-Bereich zweifellos erhöhen. Versuchen beispielsweise Dritte, den Account zu hacken, helfen nach neuesten Studien der New York University und der University of California, San Diego, bereits die Implementierung einer Telefonnummer in die Sicherheitsvorkehrungen, automatisierte Bots zu 100 Prozent, Phishing-Attacken zu 99 Prozent und die gezielten Angriffe zu 66 Prozent während des Untersuchungszeitraums zu verhindern oder zu verringern. Auf der anderen Seite, bekennt Google, erschweren Sicherheits-Layer unter Umständen auch die Nutzung. Nicht alle User wählen sich immer von demselben Gerät ein, nicht jeder erinnert sich an seine zweite E-Mail-Adresse, wenn er beispielsweise unterwegs ist. Mehrere Sicherheitschecks und -fragen verlangsamen definitiv den Zugang zum eigenen Account. Gleichwohl sollte sich jeder User selbst fragen, welche Daten er preisgibt. Wichtig ist, ein sensibilisiertes Bewusstsein zu entwickeln, dass das Internet weder ein völlig rechtsfreier noch ein vollkommen geschützter Bereich ist. Auch ist die Privatsphäre des Users im Internet bisher erfahrungsgemäss noch immer nicht so abgeschirmt, wie es vielleicht wünschenswert wäre. Trotz erheblich verbesserter Sicherheitschecks ist sie selbst bei Unternehmen wie Google nach wie vor gefährdet – Vorsicht ist also bei der Preisgabe von Daten noch immer angeraten.