Wie Google die Daten schützt

Hacking, Phishing, Malware: Immer wieder versuchen Kriminelle im Internet, in unterschiedliche Nutzerkonten einzubrechen. Bei Google arbeiten tausende Mitarbeiter daran, dass sie damit keinen Erfolg haben. Ein Gespräch mit Stephan Micklitz und Tadek Pietraszek

Herr Pietraszek, Sie und Ihr Team kümmern sich um die Sicherheit der Nutzerkonten. Wie verhindern Sie, dass jemand in die Konten Ihrer Nutzerinnen und Nutzer einbricht?

Tadek Pietraszek, Chefentwickler für Kontosicherheit: Zunächst ist es wichtig, einen Hackerangriff überhaupt zu entdecken. Es gibt mehr als hundert Variablen, anhand derer wir verdächtige Aktivitäten erkennen. Nehmen wir an, Sie leben in Deutschland, reisen sehr selten ins Ausland und jemand versucht, aus einem anderen Land auf Ihr Konto zuzugreifen, dann ist das für uns ein Alarmsignal.

Stephan Micklitz, Entwicklungschef für Sicherheit und Datenschutz: Deshalb fragen wir Sie dann zum Beispiel nach der Telefonnummer, die Sie bei uns hinterlegt haben, oder anderen Informationen, die nur Sie als Eigentümer des Kontos kennen.

Tadek Pietraszek (links) ist bei Google für die Sicherheit der Nutzerkonten verantwortlich.

Wie oft kommen solche Attacken vor?

Pietraszek: Es sind täglich hunderttausende. Unser größtes Problem ist, dass es im Internet unzählige Listen mit von gehackten Websites gestohlenen Nutzernamen und Passwörtern gibt. Da ein Teil unserer Nutzer das gleiche Passwort für unterschiedliche Konten verwendet, finden sich natürlich auch Login-Daten von Google-Konten darunter.

Sind diese Listen das größte Sicherheitsproblem?

Pietraszek: Ja, genau. Die Listen und außerdem die typischen Phishing-Attacken. Fast jeder hat ja schon E-Mails bekommen, mit denen sich Kriminelle fremde Passwörter erschleichen wollen. Wir können natürlich unseren Teil dazu beitragen, dass sie das nicht schaffen. Kommt uns eine E-Mail verdächtig vor, können wir sie in Gmail mit Warnhinweisen kennzeichnen, damit Sie genauer hinschauen, oder die E-Mail sofort filtern. Unser Browser Chrome macht Sie ebenfalls darauf aufmerksam, wenn Sie versuchen, uns bekannte Phishing-Websites aufzusuchen.

Micklitz: Grundsätzlich gibt es zwei Arten von Phishing. Die Massen-E-Mails, mit denen Täter möglichst viele Login-Daten sammeln wollen, und das sogenannte Spear-Phishing, bei dem sie es auf das Konto einer bestimmten Person abgesehen haben. Das können ziemlich ausgeklügelte Aktionen sein, die mehrere Monate dauern und bei denen die Täter das Leben des Opfers detailliert durchleuchten und gezielt angreifen.

Kommt uns eine E-Mail verdächtig vor, können wir sie in Gmail mit Warnhinweisen kennzeichnen.

Tadek Pietraszek

Wie unterstützt Google seine Nutzer, damit diese Aktionen keinen Erfolg mehr haben können?

Pietraszek: Zum Beispiel mit der Zwei-Faktor-Authentifizierung. Die kennen viele Nutzer vielleicht vom Online-Konto ihrer Bank. Wenn sie Geld überweisen wollen, müssen sie zum Beispiel neben dem Passwort einen SMS-Code eingeben. Google hat die Zwei-Faktor-Authentifizierung schon 2009 eingeführt, früher als die meisten anderen großen E-Mail-Provider. Darüber hinaus profitieren Google-Nutzer, die aktiv ein Mobiltelefon nutzen und ihre Telefonnummer registriert haben, automatisch von einem ähnlichen Schutzniveau bei verdächtigen Anmeldeversuchen.

Micklitz: Die Zwei-Faktor-Authentifizierung ist eine gute Methode, aber auch SMS-Codes lassen sich herausfinden. Ein Krimineller könnte zum Beispiel bei Ihrem Mobilfunkanbieter anrufen und versuchen, sich eine zweite SIM-Karte schicken zu lassen. Noch sicherer ist die Authentifizierung mit physischen Sicherheitsschlüsseln, zum Beispiel einem Bluetooth-Sender oder einem USB-Stick.

Pietraszek: Diese Option gehört zum Erweiterten Sicherheitsprogramm.

Was verbirgt sich hinter diesem Programm?

Pietraszek: Wir bieten es seit 2017 all jenen an, die unter einem erhöhten Risiko stehen, gehackt zu werden. Also zum Beispiel Journalisten, Geschäftsführern, Dissidenten oder Abgeordneten.

Micklitz: Neben dem physischen Sicherheitsschlüssel schränken wir auch den Datenzugriff von Drittanbieter-Apps ein, indem wir zusätzliche Schritte für die Nutzer einbauen, mit denen sie ihre Identität bestätigen müssen, falls sie den Sicherheitsschlüssel verlieren.

Stephan Micklitz ist als Entwicklungsleiter weltweit für die Bereiche Sicherheit und Datenschutz bei Google verantwortlich. Er studierte an der Technischen Universität München Informatik und arbeitet seit Ende 2007 bei Google in München. Bild rechts: Ein Sicherheitsschlüssel.

Können Sie uns ein Beispiel für einen ausgeklügelten Hackerangriff schildern, mit dem Sie es schon zu tun hatten?

Pietraszek: Eine solche Attacke gab es zum Beispiel Anfang 2017. Hacker hatten ein bösartiges Programm erstellt, um Zugriff auf die Google-Konten der Opfer zu erhalten, und gefälschte E-Mails an die Kontakte der Nutzerinnen und Nutzer verschickt. Darin forderten sie die Empfänger auf, Zugriff auf ein gefälschtes Google-Dokument zu genehmigen. Wer das tat, gab der Schadsoftware unfreiwillig Zugriff und schickte automatisch gefälschte E-Mails an seine eigenen Kontakte. So konnte sich der Virus schnell verbreiten. Für solche Fälle haben wir Notfallpläne.

Micklitz: In diesem konkreten Fall haben wir zum Beispiel die Verbreitung dieser E-Mails in Gmail blockiert, dem Programm gewährte Genehmigungen widerrufen und die Konten gesichert. Natürlich haben wir auch systematische Schutzmaßnahmen hinzugefügt, die ähnliche zukünftige Angriffe erschweren. Google-Konten werden ständig angegriffen, und es ist am besten, wenn unsere automatisierten Systeme sie schützen. Das setzt natürlich voraus, dass wir die Nutzer unabhängig von ihrem Google-Konto zum Beispiel über eine zweite E-Mail-Adresse oder eine bei uns angegebene Mobilnummer erreichen können.

Eigentlich reicht es schon aus, dass sich Nutzer an ein paar Regeln halten.

Stephan Micklitz

Welchen Stellenwert hat das Thema Sicherheit beim Durchschnittsnutzer?

Pietraszek: Es ist vielen sehr wichtig, aber Sicherheitsvorkehrungen sind auch lästig. Das erklärt zum Beispiel auch, warum Nutzer die gleichen Passwörter für mehrere Konten benutzen – der schlimmste Fehler überhaupt. Unsere Aufgabe ist es, Nutzer darüber aufzuklären, wie sie ihre Konten ohne großen Aufwand schützen können. In Google-Konto bieten wir deshalb den Sicherheitscheck an, mit dem man seine Einstellungen unkompliziert prüfen kann.

Micklitz: Eigentlich reicht es schon aus, dass man sich an ein paar Regeln hält.

Die da wären?

Micklitz: Benutzen Sie nicht das gleiche Passwort für mehrere Dienste, installieren Sie Sicherheitsupdates und vermeiden Sie verdächtige Software. Geben Sie Ihre Telefonnummer oder eine alternative E-Mail-Adresse an, damit Sie auf anderen Wegen erreicht werden können. Und aktivieren Sie die Bildschirmsperre Ihres Smartphones, um Unbefugten den einfachen Zugang zu erschweren. Damit ist schon viel erreicht.

Fotografie: Conny Mirbach

Nach oben