Ihr Ziel: Nutzer*innen schützen

Unsere digitalen Daten sollen unter allen Umständen privat bleiben – umso wichtiger ist ein bewusster und sicherer Umgang mit ihnen. Die Verantwortung dafür darf nicht allein bei den Nutzer*innen liegen. Deshalb kümmert sich bei Google ein grosses Team um den Schutz von Daten und Privatsphäre

5 Minuten Lesezeit

„Datenschutz darf nicht kompliziert sein“, so lautet ein Credo der Arbeit des Google Safety Engineering Centers (GSEC) mit Hauptsitz in München. Seit 2019 bündelt Google hier einen wichtigen Teil seines Engagements für mehr Datenschutz und Datensicherheit im Internet. (Weiter-)entwickelt wird zum Beispiel der wichtige Spam- und Phishing-Schutz für Gmail-Konten. Immerhin 95 Prozent aller Hacking-Angriffe starten mit genau diesen Versuchen. Auch die Fortentwicklung sogenannter Safe-Browsing-Tools zählt zu den Aufgaben des Centers. Mithilfe dieser Tools können Internetbrowser unsichere Webseiten erkennen. Das grosse Ziel: Daten und die Privatsphäre der Nutzer*innen schützen.

Die Länder-Teams arbeiten eng mit dem zentralen Google Safety Engineering Center (GSEC) zusammen. In der Schweiz sind Tadek Pietraszek und sein Team für den Schutz der Google-Nutzer*innen vor Missbrauch und dem sogenannten Hijacking zuständig – also dem Diebstahl einer fremden, digitalen Identität. „Unsere Arbeit hat mehrere Schwerpunkte“, erklärt der promovierte Softwareingenieur Pietraszek. „Wir versuchen einerseits, Cyberangriffe von den User-Konten fernzuhalten. Andererseits wollen wir die Nutzer*innen unterstützen, ihre Konten möglichst sicher zu machen – durch Aufklärung und durch Tools.“

„Passwörter sollten nicht mehrfach verwendet werden. Und zwei Mal im Jahr empfehlen wir – parallel zum Frühjahrs- und Herbstputz – den Google Online-Sicherheitscheck.“

Jeroen Kemperman, Hijacking-Experte Google Schweiz

Ein nicht unerheblicher Teil ihrer Arbeit findet hinter den Kulissen, abseits unserer täglichen Wahrnehmung statt. Jeden Tag werden beispielsweise 100 Millionen Phishing-Attacken auf Google-Mail-Konten verhindert und mehr als 15 Milliarden Spam-Nachrichten blockiert.

Darüber hinaus sieht Pietraszek noch eine gesellschaftliche Verantwortung: „Gerade in diesen Zeiten wollen wir mit unseren Diensten die Arbeit von Journalist*innen, Mitarbeitenden von NGOs und Politiker*innen unterstützen und schützen. Neben kommerziellen Interessen an privaten, sensiblen Daten stehen sie oft besonders im Fokus von Cyberangriffen“, sagt er. Für sie hat Google deshalb ein erweitertes Sicherheitsprogramm entwickelt. Seine Schutzfunktionen sind noch höher als bei normalen Nutzer*innen und werden ständig weiterentwickelt, um auf neue Bedrohungen zu reagieren. Zum Beispiel ist die Zwei-Stufen-Authentifizierung nur noch mit einem Schlüssel – im Smartphone oder physisch – möglich. Auch der Scan von Downloads auf Computer und Smartphone ist noch strenger.

Zentrum für Sicherheit: die Büros von Google an der Zürcher Europaallee.

Mittendrin: ein Blick aus den Google-Büros auf Zürich.

„Wir wollen unsere eigenen, hohen Sicherheitsstandards auch bei anderen Anwendungen in unserem System gewährleisten“, erklärt Pietraszek.

„Datenschutz darf nicht kompliziert sein.“

Credo der Arbeit des Google Safety Engineering Center

Arbeitet für einen noch besseren Schutz von Nutzer*innen: Jeroen Kempermann.

Gemeinsam für mehr Sicherheit

Mit Daten lässt sich im Darknet sehr viel Geld verdienen. Aus Sicht von Kriminellen bergen E-Mail-Konten mit ihren Hinweisen auf Banking-Daten, versendete Ausweis-Dokumente oder sensible Informationen über Familienangehörige oder Freunde verschiedene Ansätze für verbotene Aktivitäten. „Die Phishing-Methoden der Cyberkriminellen werden immer besser. Selbst für Fachleute ist nicht jede gefährliche E-Mail auf den ersten Blick zu erkennen“, bestätigt der Hijacking-Experte Jeroen Kemperman aus dem Schweizer Team. Tatsächlich beginnen 95 Prozent aller Hacker-Angriffe mit einem Phishing-Versuch. Wer selbst einen kleinen, aber sicheren Einblick in die perfiden Phishing-Maschen bekommen möchte, sollte sich das Google-Phishing-Quiz anschauen. Hier können Nutzer*innen ausprobieren, wie gut sie gefälschte Mails erkennen. Um selbst auf dem neuesten Stand der Phishing-Methoden zu bleiben, steht das Google-Team im regelmässigen Austausch mit Expert*innen weltweit – sowohl im eigenen Konzern als auch mit Industrie- und Hochschulpartnern. Dieser Austausch ist auch wichtig, um verlässliche Sicherheitsstandards über Anbietergrenzen hinweg zu vereinbaren. „Als Teil der FIDO-Allianz entwickeln wir, zum Beispiel, gemeinsam mit über 250 anderen Unternehmen der Tech-Branche sichere Authentifizierungsstandards ohne Passwörter“, sagt Kemperman.

Immerhin nutzen die meisten Menschen ganz verschiedene digitale Anwendungen, mit Schnittstellen zu ganz unterschiedlichen Systemen. Google hat hierzu eine eigene Strategie gefunden. „Wir wollen unsere eigenen, hohen Sicherheitsstandards auch bei anderen Anwendungen in unserem System gewährleisten“, erklärt Pietraszek. Die Safe-Browsing-Technologie schützt zum Beispiel weltweit rund vier Milliarden Geräte. Um das Internet für alle sicherer zu machen, stellt Google die Technologie auch anderen Unternehmen kostenlos in ihren Browsern zur Verfügung. Genutzt wird sie beispielsweise bei Apples Safari und im Mozilla Firefox Browser. Ausserdem müssen alle Apps und Plugins für Google Chrome oder das Android-Betriebssystem einen strengen Sicherheitsaudit durchlaufen. Viele Kooperationspartner bieten ihren Nutzer*innen auch den Login mit einem Google-Konto an. Der Vorteil dabei: Für die Sicherheit der Daten ist weiterhin Google mit seinem grossen Cyber-Security-Team verantwortlich. Das ist gerade für kleinere Anbieter*innen attraktiv.

Ein Passwort allein schützt kaum

Doch natürlich sind Sicherheitsmassnahmen nur ein Teil der Lösung. „Wir wollen auch die Nutzerinnen und Nutzer über eigenverantwortliche Datensicherheit aufklären und ihnen einfach nutzbare Sicherheitstools zur Verfügung stellen“, sagt Kemperman. Zum Beispiel rät der Hijacking-Experte, niemals das gleiche Passwort auf mehreren Websites zu benutzen. Am besten sollte man starke Passwörter mithilfe des sogenannten Passwortmanagers erstellen und speichern. Ausserdem sollten die Kontoeinstellungen samt gespeicherten Passwörtern – beispielsweise parallel zum Frühjahrs- und Herbstputz – mithilfe des Google Online-Sicherheitschecks überprüft werden.

„Unsere Arbeit hat mehrere Schwerpunkte“, erklärt der promovierte Softwareingenieur Pietraszek. „Wir versuchen einerseits, Cyberangriffe von den User-Konten fernzuhalten. Andererseits wollen wir die Nutzer*innen unterstützen, ihre Konten möglichst sicher zu machen – durch Aufklärung und durch Tools.“

Allerdings: Ein Passwort allein reicht laut Kemperman längst nicht mehr aus. Zusätzlich zu den Schutzmassnahmen, die für alle Konten erstellt wurden, hat Google 2021 die Zwei-Faktor-Authentifizierung im Google-Konto für rund 150 Millionen Nutzerinnen und Nutzer automatisch aktiviert. Sie funktioniert zum Beispiel mit einer Handynummer. Nach Einschätzung von Google wird so das Risiko, gehackt zu werden, halbiert. Im Notfall gibt es dadurch auch einen Kommunikationskanal zwischen dem Google-Sicherheits-Service und den Nutzer*innen. Ein wichtiger Teil des Google-Konto-Schutzes ist nämlich die genaue Beobachtung ungewöhnlicher Aktivitäten auf dem Benutzerkonto, wie ein Login mit einem neuen Gerät oder das Ändern des Passworts. „Wir senden eine kurze Nachricht und fragen, ob mit dieser Aktivität alles in Ordnung ist. Tritt ein Problem auf, reicht ein Klick aus, um Gegenmassnahmen einzuleiten“, beschreibt Pietraszek die Strategie.

Auch hier ist das Google-Team in Zürich ein wichtiger Partner der Nutzer*innen. Es hilft zum Beispiel bei der Kontowiederherstellung und der Änderung aller Passwörter. Gleichzeitig verweist Google auf die Unterstützung von Behörden. „Opfer von Konto-Hijacking zu werden ist keine Schande. Umso offener sollten wir damit umgehen“, sagt der Sicherheitsexperte. Und dazu gehöre im schlimmsten Fall auch, die IT-Abteilung des Arbeitgebers, die Familie, aber auch die Bank und die Polizei einzuschalten und so Vorkehrungen gegen schlimmeren Missbrauch der vertraulichen Daten zu treffen.