Direkt zum Inhalt

Auf Stippvisite

Das Google Safety Engineering Center (GSEC) in München ist Googles größtes Zentrum für Sicherheit und Datenschutz weltweit. Vier Aufbruch-Leser besuchten die Einrichtung für Netzsicherheit und befragten vier Entwickler zu ihrer Arbeit

JANINA VOIGT: Hallo und herzlich willkommen! Ich bin Janina Voigt und arbeite seit fünf Jahren bei Google. Anfangs war ich als Software-Ingenieurin tätig, jetzt manage ich eines der hier ansässigen Privatsphäre-Teams.

CHRISTOPH SPERL: Und ich bin Christoph Sperl und arbeite jetzt im vierten Jahr bei Google hier in München. Unser Team, das sich »Fundamental Notices and Consents« nennt, erstellt E-Mail-Kampagnen, mit denen wir mehr als eine Milliarde Nutzer über relevante Neuigkeiten informieren – zum Beispiel eine Änderung in unserer Datenschutz­erklärung.

STELLINA ARGYRIADOU: Dazu gleich eine Frage: Ist Internetsicherheit an diesem Standort schon länger ein Thema?

JANINA VOIGT: Absolut. Schon 2009 entschied Google, die Entwicklung von Datenschutz- und Sicherheitsprodukten hier in München anzusiedeln. Mit der Eröffnung des GSEC im Mai 2019 wollten wir ganz bewusst ein Zeichen setzen – und unser Engagement verstärken.

CHRISTOPH SPERL: Außerdem ist Deutschland ein Land mit sehr hohen industriellen Standards. Da wir als globales Unternehmen weltweit agieren, ergibt es Sinn, dort zu entwickeln, wo Wert auf Datenschutz gelegt wird.

SIBYLLE REINICKE: Frau Voigt, Sie sagten, Sie leiten ein Privatsphäre-Team. Was machen Sie da genau?

Münchner Sicherheitszentrum: Ein Blick in Googles Safety Engineering Center

JANINA VOIGT: Mein Team ist Teil des horizontalen großen Datenschutz-Teams in München, welches insgesamt 300 Leute beschäftigt. Wir helfen produktübergreifend allen anderen Teams hier bei Google. Bei der Entwicklung neuer Produkte sind wir meist früh involviert und stellen von Beginn an sicher, dass privat eingestufte Daten auch privat bleiben.

ANTON EDER: Ist das für Google erst ein großes Anliegen geworden, seit im Mai 2018 die neue Datenschutz-Grundverordnung in Kraft getreten ist?

JANINA VOIGT: Nein, die Frage nach den persönlichen Daten war schon vorher ganz präsent. Seit 2011 kann beispielsweise jeder über die Anwendung »Google Takeout« seine eigenen Daten herunterladen.

CHRISTOPH SPERL: Und übrigens wird jedem, der die Google-Suche nutzt, ohne über ein eigenes Google-Konto eingeloggt zu sein, ein Banner mit »Hinweisen zum Datenschutz« angezeigt. Wer das Banner ignoriert, dem wird es nach vier Tagen automatisch wieder eingeblendet – wir versuchen also, die Nutzer wirklich dazu zu bringen, die Datenschutzhinweise zu lesen, und verständlich zu machen, wie wir mit Daten umgehen.

Wir erheben Daten nicht als Selbstzweck

Christoph Sperl Google

ANTON EDER: Verstehe.

CHRISTOPH SPERL: Auch wenn Sie nicht eingeloggt sind, können Sie übrigens mithilfe des Privatsphärechecks anpassen, ob zum Beispiel Ihre Suchanfragen gespeichert werden sollen. Löschen Sie die Cookies, löschen Sie allerdings auch diese Einstellung. Und auch das Banner erscheint erneut.

JANINA VOIGT: Wenn Sie die Google-Suche benutzen, sollten Sie über ein Google-Konto nachdenken. Das ist einem Cockpit vergleichbar, in dem man alles so einstellen kann, wie man es haben möchte.

MICHAEL JOSITZ: Jeder, der eine Gmail-­Adresse benutzt, hat ja bereits automatisch ein Google-Konto. Was ist in dieser Anwendung neu?

JANINA VOIGT: Wir haben das Google-Konto über die vergangenen Jahre hinweg stark verbessert. Nicht ganz neu, aber sehr praktisch ist der Privatsphärecheck. Dort können Sie einstellen, welche Aktivitätsdaten in Ihrem Google-Konto gespeichert und zur Personalisierung genutzt werden dürfen. Neu ist, dass Sie jetzt festlegen können, dass Ihre Aktivitätsdaten nach drei oder achtzehn Monaten automatisch gelöscht werden sollen.

ANTON EDER: Mal eine generelle Frage, da Sie den gesetzlichen Bestimmungen genügen müssen: Arbeiten Sie hier viel mit Anwälten?

CHRISTOPH SPERL: Es gibt von Anfang an eine enge Zusammenarbeit mit den datenschutzrechtlichen Experten hier im Haus. So stellen wir bei jedem Vorhaben sicher, dass die rechtlichen Anforderungen von Beginn eines Entwicklungsprozesses an eingehalten werden.

Wir investieren viel Zeit, um unsere Datenschutzprodukte so einfach wie möglich zu gestalten

Janina Voigt Google

JANINA VOIGT: Wir investieren viel Zeit, um unsere Datenschutzprodukte so einfach wie möglich zu gestalten und sicherzustellen, dass Nutzer sie weltweit verstehen. Deshalb recherchieren wir auch direkt: Wir fahren zum Beispiel in ein bestimmtes Land, laden aktive Google-Nutzer ein, zeigen ihnen den Prototyp einer neuen Anwendung und fragen sie dann nach ihrer Meinung. Mit den Ergebnissen gehen wir in die Design-Phase und rollen das Produkt langsam im Markt aus.

SIBYLLE REINICKE: Aber jetzt noch mal zur Daten-Einstellung: Ich will es einerseits bequem haben und wünsche mir gute Ergebnisse bei der Suche. Andererseits will ich nicht, dass Google alles über mich weiß. Was tun?

JANINA VOIGT: Ich denke, die neue Option »Automatisch löschen« in den Aktivitätseinstellungen stellt da ein Gleichgewicht her. Sie bekommen Personalisierung und sorgen dafür, dass wir Ihre Aktivitätsdaten nach drei oder achtzehn Monaten löschen.

Das GSEC

Seit Jahren arbeitet Google in München an Daten- und Sicherheitsprodukten, jetzt wird das Engagement weiter verstärkt: Das Google Safety Engineering Center (GSEC) ist ein Zentrum, in dem ein sicherer Rahmen für das Internet der Zukunft entwickelt wird. Der Google-Standort in der bayerischen Landeshauptstadt wächst durch diese und weitere Anstrengungen – schon heute arbeiten in den Büros nahe der Hackerbrücke knapp 1000 Menschen.

CHRISTOPH SPERL: Und Sie müssen auch sehen, dass wir Daten nicht als Selbstzweck erheben. Google würde niemals Daten seiner Nutzer verkaufen. Wir erfassen Daten, damit wir unsere Produkte individuell auf die Nutzer anpassen können, und wir erfassen nur Daten, für die wir auch einen Verwendungszweck haben.

STELLINA ARGYRIADOU: Die dann wo genau lagern?

CHRISTOPH SPERL: Sie sind verteilt in Datenzentren auf der ganzen Welt.

JANINA VOIGT: So hat der Nutzer von überall aus Zugriff. Und die Daten sind auch sicher, falls ein Datenzentrum zum Beispiel durch eine Umweltkatastrophe zerstört werden sollte.

MICHAEL JOSITZ: Stichwort Sicherheit: Ich habe Bedenken, Ihrem Passwortmanager alle meine Passwörter anzuvertrauen. Andererseits ist das natürlich sehr praktisch. Da bin ich etwas im Konflikt. Was empfehlen Sie?

JANINA VOIGT: Natürlich darf Ihr Google-Konto nicht gehackt werden. Und da kann man sehr gut vorsorgen, nämlich mit der Zwei-Faktor-Authentifizierung. Das heißt, dass Sie sich nicht nur mit einem – hoffentlich sehr sicheren – Passwort einloggen. Sie bekommen in einem zweiten Schritt von uns einen Code auf Ihr Handy gesandt, den Sie beim Einloggen eingeben müssen.

MICHAEL JOSITZ: Alles klar, dieses Verfahren kennt man ja vom Onlinebanking.

CHRISTOPH SPERL: Genau. Und es ist wirklich um so vieles sicherer als das gewöhnliche Login. Der Name Zwei-Faktor-Authentifizierung kommt übrigens daher, dass man Wissen – das Passwort – und Besitz – in der Regel ein Smartphone – haben muss, um sich erfolgreich einloggen zu können.

Vier Aufbruch-Leser besuchten das Google Safety Engineering Center

Erfahrene Google-Entwickler und interessierte Besucher diskutieren am Münchner Google-Standort nahe der Hackerbrücke über Internetsicherheit.

JANINA VOIGT: Aber vielleicht sollten wir jetzt an Andreas und Patrick übergeben, sie beschäftigen sich intensiv mit dem Passwortmanager.

ANDREAS TÜRK: Hallo, ich bin Andreas Türk und arbeite seit 14 Jahren bei Google. Ich habe YouTube und Google Street View mitentwickelt. Derzeit liegt mein Fokus auf dem Passwortmanager.

PATRICK NEPPER: Und mein Name ist Patrick Nepper, ich arbeite im Chrome-Team. Dort bin ich für die integrierten Passwort- und Autofill-Funktionen zuständig. Schon als 17-Jähriger wollte ich allen Menschen guten Zugang zum Netz verschaffen und gründete damals eine Firma namens Web Access.

STELLINA ARGYRIADOU: Eine Frage an Herrn Türk: Wieso braucht man überhaupt einen Passwortmanager?

ANDREAS TÜRK: Weil Passwörter viele Probleme verursachen. Zum Beispiel kommt es sehr oft vor, dass dasselbe Passwort für mehrere Konten oder Webseiten verwendet wird. Umfragen haben außerdem gezeigt, dass rund ein Viertel aller Nutzer weltweit extrem triviale Passwörter verwenden.

PATRICK NEPPER: Einfache Zahlenreihen sind zum Beispiel sehr leicht zu knacken. Im Netz existieren ganze Listen mit Passwörtern, die verkauft werden.

SIBYLLE REINICKE: Kann ich denn herausfinden, ob mein Passwort schon mal geknackt worden ist?

ANDREAS TÜRK: Inzwischen gibt es den Google Passwortcheck: Er zeigt an, ob Passwörter gehackt worden sind.

Der Google Passwortcheck zeigt an, ob Passwörter gehackt worden sind.

Andreas Türk Google

PATRICK NEPPER: Als Nutzer des Browsers Chrome sind Sie automatisch geschützt. Den Google Passwortcheck haben wir nämlich direkt in Chrome eingebaut. In Zukunft werden Sie daher bei jedem Login auf einer Webseite gewarnt, wenn Ihr Benutzername und Passwort gehackt wurde.

ANTON EDER: Woher wissen Sie überhaupt, welche Passwörter geknackt wurden?

ANDREAS TÜRK: Wir haben eine Datenbank mit vier Milliarden öffentlich bekannten Passwörtern, die kontinuierlich ergänzt wird. Wir bezahlen aber nie für Passwortlisten, das würde die Kriminalität fördern.

SIBYLLE REINICKE: Ich kann also aufspüren, ob meine Passwörter im Netz kursieren. Aber mir leuchtet immer noch nicht ganz ein, warum der Passwortmanager für zusätzliche Sicherheit sorgt.

PATRICK NEPPER: Die meisten Passwörter werden per Phishing geklaut: Sie als Nutzer werden auf eine falsche Internetseite geleitet, die täuschend echt aussieht, loggen sich ein – und schon ist das Passwort dahin. Unser Browser Chrome unterscheidet automatisch zwischen echten und falschen Seiten. Wer auf einer falschen Seite unterwegs ist und seine Passwörter im Manager gespeichert hat, dem verweigert unsere Autofill-Funktion den Dienst. Sprich: Es wird nicht wie üblich das Passwort eingetragen, sobald man sich auf der falschen Seite anmelden möchte.

ANDREAS TÜRK: Seit 2018 gibt es auch die Möglichkeit, von Chrome automatisch sichere Passwörter generieren zu lassen, die gleich gespeichert werden – jedoch nur, wenn sie mit dem Google-Konto synchronisiert werden. So vermeiden wir, dass Passwörter verloren gehen.

Biometrische Merkmale gehören auf den Chip, im Netz haben sie nichts verloren.

Patrick Nepper Google

PATRICK NEPPER: Man kann von jedem Browser auf seine gespeicherten Passwörter zugreifen. Insgesamt macht der Manager die Mobilität im Netz nicht nur angenehmer, sondern auch sicherer. Aber: Das Google-Konto gut schützen!

ANTON EDER: Sagen Sie, nehmen Sie auch externe Firmen in Anspruch, wenn es ums Entwickeln geht?

ANDREAS TÜRK: Nein, dafür ist der Komplexitätsgrad einfach zu hoch.

MICHAEL JOSITZ: Denken Sie über biometrische Daten anstelle von Passwörtern nach?

ANDREAS TÜRK: In China kann man ja bereits an so manchem Kiosk mit seinem Gesicht bezahlen. Ich finde das schwierig. Biometrie kommt bei uns nur zum Einsatz, um lokale Nutzer wiederzuerkennen. Zum Beispiel der Fingerabdruck auf dem Smartphone.

PATRICK NEPPER: Dabei soll es auch bleiben. Biometrische Merkmale gehören auf den Chip, im Netz haben sie nichts verloren. Anders als bei einem Passwort, können biometrische Merkmale nach einem Datenleck auf einer Webseite oder App nicht einfach neu generiert werden.

Fotografie: Lara Freiburger (9), Google/Markus Mielek (2)

Ähnliche Artikel

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Differential Privacy: So lassen sich Daten nutzen und schützen

Differential Privacy: So lassen sich Daten nutzen und schützen

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

So begleiten uns digitale Anwendungen im Alltag & Beruf

So begleiten uns digitale Anwendungen im Alltag & Beruf

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Differential Privacy: So lassen sich Daten nutzen und schützen

Differential Privacy: So lassen sich Daten nutzen und schützen

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

So begleiten uns digitale Anwendungen im Alltag & Beruf

So begleiten uns digitale Anwendungen im Alltag & Beruf

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Eine Psychologin und ein Google-Sicherheitsexperte zu Online-Identität

Differential Privacy: So lassen sich Daten nutzen und schützen

Differential Privacy: So lassen sich Daten nutzen und schützen

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Stefan Vollmer vom TÜV Süd im Gespräch über digitale Sicherheit

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Wie Länder digitale Identitäten beispielhaft nutzen und schützen

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

Ob Shopping, Gesundheit oder Mobilität: Wie aus Daten Ideen werden

So begleiten uns digitale Anwendungen im Alltag & Beruf

So begleiten uns digitale Anwendungen im Alltag & Beruf

Nach oben