„Datensicherheit darf nicht kompliziert sein.“

Herr Dr. Holfelder, das Google Safety Engineering Center, kurz GSEC, wurde 2019 in München eröffnet. Was passiert im GSEC?

Das GSEC ist das globale Zentrum für die Entwicklung von Datenschutz- und Sicherheitsprodukten bei Google. Hier entwickeln wir neue Produkte, ermitteln Nutzeranforderungen, teilen unser Wissen und arbeiten mit unseren Partnern zusammen, um die Internetsicherheit zu verbessern.

Datenschutz und Datensicherheit sind in Deutschland ein wichtiges Thema. Welche Rolle hat diese Tatsache bei der Errichtung des Google Safety Engineering Center an diesem Standort gespielt?

Als ich vor zwölf Jahren das Google-Büro in München eröffnete, wurde schnell klar, dass Datenschutz für unsere deutschen Nutzerinnen und Nutzer sehr wichtig ist. Also haben wir als Erstes spezialisierte Entwicklungsteams für den Bereich Datenschutz und Datensicherheit zusammengestellt. Nachdem wir diese Themen zehn Jahre lang in München entwickelt hatten, wollten wir den Rahmen erweitern und den Dialog fördern. Deshalb war es sinnvoll, das GSEC in München zu etablieren, wo diese Themen stark im Mittelpunkt stehen. Unter anderem haben wir hier all unsere Produkte an die Anforderungen der Europäischen Datenschutz-Grundverordnung angepasst. Dieses Wissen und Bewusstsein strahlen nun auch in andere Länder aus, das Thema Datenschutz und Datensicherheit gewinnt auf der ganzen Welt immer mehr an Bedeutung.

Das GSEC ist ein internationaler Arbeitsplatz mit Mitarbeitenden aus über 40 Ländern.

Da wir an internationalen Produkten arbeiten, ist es uns wichtig, die Dinge aus vielen verschiedenen Perspektiven beleuchten. Das ist nur möglich, wenn unsere Mitarbeitenden die Nutzerinnen und Nutzer so gut wie möglich repräsentieren. Wir sind aber noch lange nicht da, wo wir sein wollen, und setzen uns weiter dafür ein, Teams zu bilden, die von Vielfalt geprägt sind. Wir würden uns zum Beispiel wünschen, dass mehr Frauen in unseren Entwicklungsteams arbeiten.

Wie sieht ein normaler Tag bei GSEC aus?

Wir haben mehr als 200 Datenschutzfachleute, die jeden Tag an Google-Produkten wie dem Google-Konto und dem Google Chrome-Browser arbeiten. Außerdem bieten wir Workshops für Interessierte an, darunter Sicherheitsschulungen und Veranstaltungen wie Differential Privacy Codelabs. Das ist mir besonders wichtig, weil sich die Landschaft rasant verändert und wir mehr Informationen zum Thema Internetsicherheit anbieten möchten.

Ein Leitbild aus München: Einblick in das Google Safety Engineering Center

Welche Elemente Ihrer Arbeit begegnen Menschen in ihrem Alltag?

Wenn Sie Google-Produkte verwenden, haben Sie sich vielleicht schon einmal gefragt, welche Daten für die Personalisierung verwendet werden, um beispielsweise bessere Suchergebnisse zu erzielen. Im Google-Konto erhalten Sie einen Überblick über die Aktivitätsdaten, die für diese personalisierten Informationen verwendet werden. Sie können selbst entscheiden, ob diese Datenerhebung fortgesetzt werden soll. Dafür haben wir den Privatsphärecheck entwickelt, mit dem Sie schnell Ihre Datenschutzeinstellungen in Ihrem Google-Konto festlegen können. Für Chrome und Android haben wir den Passwortmanager entwickelt, der auf Wunsch automatisch ein Passwort für jede Website und App erstellt und speichert. Der Passwortcheck kann auch verwendet werden, um die eigenen Passwörter auf Sicherheitsprobleme zu analysieren. Innerhalb weniger Sekunden sehen Nutzerinnen und Nutzer, ob eines ihrer Passwörter bei einem Datendiebstahl kompromittiert wurde, und erhalten Anweisungen, wie sie diese Passwörter ändern können. Auf die Arbeit des GSEC rund um die Entwicklung dieser Tools zum Schutz von Passwörtern bin ich besonders stolz.

Können Sie erklären, warum?

Der Passwortmanager lässt sich nicht von Phishing-Websites täuschen und Sie können für jede Website ein neues, starkes Passwort erstellen, ohne es sich merken zu müssen. So können Cyberkriminelle Passwörter nicht erraten – und Sie verwenden nicht dasselbe Passwort für mehrere Websites.

Warum wäre das ein Problem?

Nehmen wir an, ich bestelle auf einer Website Blumen für meine Frau und gebe schnell ein Passwort für mein Kundenkonto ein, das ich auch woanders verwende. Wird der Server des Blumenladens nun gehackt und mein Passwort gelangt in die falschen Hände, können die Kriminellen damit automatisch auch auf mein E‑Mail-Konto oder mein Google-Konto zugreifen, falls ich dort dasselbe Passwort nutze. Außerdem können sie dann auch neue Passwörter für andere Konten erstellen, die ich nutze, sodass ich selbst nicht mehr reinkomme. Der Passwortmanager sorgt für mehr Sicherheit im Internet, indem er automatisch starke und nur einmal verwendete Passwörter für jede Website generiert.

„Bei der Arbeit mit international genutzten Produkten sind unterschiedliche Perspektiven wichtig.“

Wieland Holfelder

Vice President of Engineering bei Google und Standortleiter

Gibt es noch sicherere Maßnahmen?

Ja, Sie können auch die 2‑Faktor-Authentifizierung verwenden, wenn Sie ein Google-Konto haben. Das bedeutet, dass Sie sich jedes Mal, wenn Sie sich auf einem neuen Gerät in Ihrem Konto anmelden, mit einem Code authentifizieren müssen, den wir Ihnen auf Ihr Smartphone senden.

Wie genau entwickeln Sie diese Art von neuen Produkten bei GSEC?

Wir laden zum Beispiel Leute in unser „User Experience Research Lab“ ein oder führen Online-Interviews durch, um herauszufinden, wie sie das Internet nutzen oder wie sie nach Dingen suchen. So können wir besser verstehen, welche Tools und Hilfestellungen sie benötigen, um fundierte Entscheidungen zu ihren Datenschutzeinstellungen zu treffen. Wir stellen Fragen wie: „Wie nutzen Sie den Chrome-Browser zusammen mit verschiedenen Familienmitgliedern?“ und bitten die Teilnehmenden, unsere Produkte zu verwenden, damit wir sehen können, wie sie darauf reagieren. Diese Erkenntnisse sind sehr wichtig, da sie uns helfen zu verstehen, ob unsere Informationen an der richtigen Stelle platziert sind oder ob die Benutzeroberfläche und die Schaltflächen hilfreich sind oder nicht. So können wir sicherstellen, dass unsere Produkte den Bedürfnissen unserer Nutzerinnen und Nutzer entsprechen. Wir sind der Ansicht, dass alle sich im Internet sicher fühlen sollten, nicht nur Sicherheitsfachleute. Diese Bedingungen und die Tatsache, dass die Anforderungen in diesem Kontext sehr unterschiedlich sind, werden auch in Zukunft unsere Arbeit bestimmen.

Unter anderem arbeiten Sie derzeit daran, Drittanbieter-Cookies abzuschaffen. Was sind Cookies?

Cookies gibt es schon so lange wie das Internet. Sie sind kleine Dateien, die von Websiteanbietern verwendet werden, um Informationen lokal auf einem Computer zu speichern. Cookies spielen im Internet nach wie vor eine wichtige Rolle. Eigene Cookies werden beispielsweise verwendet, um Sie in einem Onlinekonto angemeldet zu halten oder Einkaufswagen auf E-Commerce-Websites zu betreiben. Außerdem gibt es Drittanbieter-Cookies, die es ermöglichen, relevante Werbung anzuzeigen. Drittanbieter-Cookies können auch aufzeichnen, dass Sie online nach einem bestimmten Produkt gesucht haben. Ein Cookie kann also registrieren, dass Sie auf einer Website nach einem Rucksack suchen, und Ihnen dann eine ähnliche Rucksackanzeige von einer anderen Website präsentieren.

Warum ist das so?

Das Internet ist eine offene und größtenteils kostenlose Plattform. Websiteangebote werden hauptsächlich durch Werbung finanziert. Je relevanter die Werbung ist, desto besser ist das für Kaufinteressierte und Anbieter.

Drittanbieter-Cookies ermöglichen es, die Bewegungen von Nutzerinnen und Nutzern online zu verfolgen. Sie arbeiten derzeit an Möglichkeiten, dies in Zukunft zu verhindern. Stimmt das?

Ja, wir entwickeln gerade die „Privacy Sandbox“, damit Werbetreibende in Zukunft Personen nicht mehr über ihre Cookies identifizieren können. In der Web-Community hat sich die Erkenntnis durchgesetzt, dass Drittanbieter-Cookies nicht den Erwartungen der Nutzerinnen und Nutzer entsprechen. Sie verlangen mehr Datenschutz, zu dem auch Transparenz, Mitbestimmung und Kontrolle darüber gehören, wie Daten genutzt werden – und es steht außer Frage, dass das Web und alle, die daran beteiligt sind, diesen steigenden Anforderungen gerecht werden müssen. Um das websiteübergreifende Tracking zu beenden, müssen Drittanbieter-Cookies und andere verdeckte Techniken wie Browser-Fingerprinting im Web abgeschafft werden. In den letzten 30 Jahren haben sich aber auch viele wichtige Webfunktionen auf diese Techniken verlassen. Wir möchten nicht, dass das Internet wichtige Funktionen verliert – beispielsweise Publishern zu ermöglichen, ihre Unternehmen weiter auszubauen und das Web zukunftsfähig zu halten, den universellen Zugang zu Inhalten zu gewährleisten, Nutzerinnen und Nutzern auf ihren Geräten die bestmögliche Erfahrung zu bieten, echte Personen von Bots und Cyberkriminellen zu unterscheiden und vieles mehr. Mit der Open-Source-Initiative „Privacy Sandbox“ wollen wir sowohl die Privatsphäre von Nutzerinnen und Nutzern besser schützen und ihre Sicherheit erhöhen, als auch Publisher unterstützen.

Wie löst Google das Problem?

Im Rahmen der Privacy Sandbox-Initiative arbeiten wir mit der Web-Community zusammen, um neue Technologien zu entwickeln, die die Daten der Nutzerinnen und Nutzer schützen und invasive Tracking-Techniken wie Fingerprinting vermeiden. Gleichzeitig sollen Websites die Möglichkeit haben, relevante Werbung auszuliefern und so ihre Einnahmen zu sichern. Anfang des Jahres haben wir die Topics API vorgestellt, einen neuen Vorschlag für die Privacy Sandbox für interessenbezogene Werbung, der FLoC ersetzt. Dieser Vorschlag basiert auf dem Feedback von Aufsichtsbehörden, Datenschutzorganisationen und Entwicklungsteams. So können Werbetreibende Kaufinteressierten relevante Anzeigen präsentieren, die auf ihren Interessen basieren, zum Beispiel „Sport“. Diese Interessen werden aus den jeweils besuchten Websites abgeleitet. Dabei wird die Privatsphäre der Nutzerinnen und Nutzer bestmöglich geschützt. Cookies wurden in der Vergangenheit verwendet, um Personen, die im Web surfen, zu identifizieren. Bei Topics bleibt der persönliche Browserverlauf jedoch im Browser oder auf dem Gerät und wird mit niemandem geteilt – auch nicht mit Werbetreibenden. So können Werbetreibende auch weiterhin relevante Anzeigen und Inhalte bereitstellen, ohne die Kaufinteressierten im Web zu tracken.

Auch bei anderen Vorschlägen für die Privacy Sandbox, wie FLEDGE und Measurement APIs, machen wir große Fortschritte. Außerdem arbeiten wir weiterhin mit der britischen Wettbewerbs- und Marktaufsichtsbehörde CMA zusammen, um sicherzustellen, dass unsere Vorschläge so entwickelt werden, dass sie für das gesamte Ökosystem funktionieren.

In den letzten Jahren hat sich München zu einem beliebten Standort für digitale Start-ups und andere Technologieunternehmen entwickelt. Welche Erfahrungen haben Sie als Standortleiter von Google München damit gemacht?

München befindet sich in einem bemerkenswerten Wandel. Apple, Amazon und Google investieren und bauen ihre Aktivitäten hier aus, ebenso wie andere fantastische Unternehmen wie Celonis, ein Einhorn-Unternehmen, das Datenanalysedienste anbietet. Hier wurden mehr B2B-Unternehmen gegründet als anderswo, weil es in der Region so viele andere starke Technologieunternehmen gibt. Außerdem gibt es hier einige hervorragende Universitäten wie die LMU und die TUM, die lokale Entrepreneurship-Zentren betreiben. Darüber hinaus bietet die bayerische Staatsregierung mit ihrem Aktionsplan „Hightech-Agenda“ eine beispiellose Unterstützung. So werden etwa enorme Summen in künstliche Intelligenz und Quantencomputing investiert – was sehr gut ist. Neben einer langen regionalen Tradition und Expertise in den Bereichen Ingenieurwesen und Technologie sind die starke Wirtschaftslage, die gute politische Unterstützung, die exzellenten Bildungseinrichtungen und die hohe Lebensqualität eine unschlagbare Kombination, die München zu einem so attraktiven Standort macht.

Das GSEC wurde vor zwei Jahren in der bayerischen Hauptstadt eröffnet.

Derzeit werden neue Google-Büros in München gebaut. Hat die Coronapandemie Ihre Pläne verändert?

Vor der Pandemie verbrachten wir die meiste Zeit im Büro, wo es viele Cafés, Besprechungsräume und Restaurants gab, in denen sich die Mitarbeitenden treffen und in persona zusammenarbeiten konnten. Diese Arbeitsweise hat sich während der Pandemie natürlich stark verändert. Viele unserer Erkenntnisse aus dem letzten Jahr fließen nun in die Planung unseres neuen und spannenden Projekts „Arnulfpost“ ein.

Lässt sich diese Atmosphäre auch im Homeoffice schaffen?

Unser Unternehmen wurde in der Cloud geboren, hat sich in der Cloud weiterentwickelt und wir alle leben in der Cloud. Deshalb versuchen wir, die Mitarbeitenden zu Online-Interaktionen zu ermutigen, zum Beispiel bei Frühstückstreffen oder offenen Videokonferenzen. Wir sind jedoch der Meinung, dass wir nicht ewig auf das soziale Kapital zurückgreifen können, das wir über die Jahre aufgebaut haben. Wir haben viele Leute eingestellt, die noch nie in unseren Büros waren. Es ist eine Herausforderung für alle Führungskräfte, jede einzelne Person mitzunehmen.

Was bedeutet das für die Art und Weise, wie in Zukunft im GSEC in München gearbeitet wird?

Wir sind fest davon überzeugt, dass es wichtig ist, Menschen bei der Arbeit zusammenzubringen. Nur so kommt es zu diesen wertvollen Augenblicken gegenseitiger Inspiration, die notwendig sind, um neue innovative Ideen zu entwickeln. Aus diesem Grund werden wir nicht zu 100 % virtuell arbeiten. Wir haben uns aber gefragt, ob jede Person einen festen Arbeitsplatz braucht. Unsere Vertriebsteams können bereits flexibel arbeiten. Viele Entwicklungstools unserer Ingenieursteams werden in die Cloud verlagert. In Zukunft kann jedes Team selbst entscheiden, wie viele flexible und wie viele feste Arbeitsplätze es behalten möchte. Und vielleicht brauchen wir anstelle von festen Arbeitsplätzen mehr kreative Räume für Brainstorming, mit Kameras, Projektoren und elektronischen Whiteboards.

.

Fotos: Sima Dehgani