Onlinepasswörter sicher verwalten.

Herr Risher, Sie sind Director of Product Management bei Google und arbeiten im Bereich Internetsicherheit. Sind Sie schon einmal Opfer eines Onlinebetrugs geworden?

Mark Risher: Mir fällt gerade kein konkretes Beispiel ein, aber ich gehe davon aus. Ich mache beim Surfen im Internet Fehler so wie andere auch. Vor Kurzem habe ich zum Beispiel mein Google-Passwort auf der falschen Website eingegeben. Glücklicherweise hatte ich das Chrome-Plug-in „Passwort-Warnung“ installiert, das mich auf meinen Fehler aufmerksam machte. Ich habe dann natürlich sofort mein Passwort geändert.

Stephan Micklitz, Director of Engineering im Google-Team für Datenschutz und Sicherheit: Das ist nur menschlich. Wenn wir uns ein Passwort gemerkt haben, kann es leicht passieren, dass wir es eingeben, ohne genau darauf zu achten, wo wir das tun.

Mark Risher: Wir würden Passwörter am liebsten ganz abschaffen, aber leider ist das nicht so einfach.

„Viele Sicherheitsmaßnahmen laufen im Hintergrund ab.“

Mark Risher

Was ist denn an Passwörtern so schlimm?

Mark Risher: Sie haben viele Nachteile – sie sind leicht zu stehlen, aber schwer zu merken, und die Verwaltung unserer Passwörter kann mühsam sein. Viele glauben, dass ein Passwort so lang und kompliziert wie möglich sein sollte – obwohl das sogar das Sicherheitsrisiko erhöht. Komplizierte Passwörter verleiten dazu, sie für mehrere Konten zu verwenden, was sie noch anfälliger macht.

Stephan Micklitz: Je seltener man ein Passwort eingeben muss, desto besser. Deshalb sollte man sich eigentlich nicht ständig in seinen Konten an- und abmelden. Langfristig führt das nämlich dazu, dass man nicht mehr genau hinsieht, auf welcher Webseite man sich gerade befindet. So haben Personen, die Passwörter stellen, ein leichteres Spiel. Deshalb empfehlen wir unseren Nutzerinnen und Nutzern, angemeldet zu bleiben.

Auf der Website meiner Bank werde ich aber automatisch abgemeldet, wenn ich ein paar Minuten lang inaktiv war.

Stephan Micklitz: Leider halten sich viele Unternehmen immer noch an veraltete Regeln. Der Rat, sich immer abzumelden, stammt aus einer Zeit, in der die meisten Menschen in Internetcafés online gingen oder sich einen Computer teilten. Unsere Untersuchungen zeigen, dass die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden, mit der Anzahl der Passworteingaben steigt. Es ist daher sicherer, einfach die Displaysperre auf dem Smartphone oder Computer zu aktivieren und ein starkes Passwort zu verwenden.

Mark Risher: Das stimmt. Leider gibt es viele falsche oder unpraktische Ratschläge, die sehr verwirrend sein können. Im schlimmsten Fall führt das zu einer solchen Verunsicherung, dass die Leute einfach aufgeben: „Ich kann mich ja sowieso nicht schützen, dann kann ich es auch gleich sein lassen.“ Das ist ungefähr so, als würde man die Haustür immer offen lassen, weil man weiß, dass es Menschen gibt, die einbrechen.

Mark Risher ist Director of Product Management für Sicherheit und Datenschutz bei Google. 2010 gründete er das Cybersecurity-Start-up Impermium, das 2014 von Google übernommen wurde. Seitdem arbeitet er in der Unternehmenszentrale in Mountain View, Kalifornien. Rechts: Ein Sicherheitsschlüssel, wie er im erweiterten Sicherheitsprogramm verwendet wird. Er kostet nur wenige Euro und kann auf einer Vielzahl von Websites verwendet werden.

Wie würde Google die Sicherheit der Nutzerinnen und Nutzer gewährleisten, wenn Passwörter abgeschafft würden?

Mark Risher: Wir haben bereits viele zusätzliche Sicherheitsmaßnahmen, die im Hintergrund laufen. Selbst wenn jemand durch Hacking Ihr Passwort und Ihre Handynummer herausfindet, können wir die Sicherheit Ihres Google-Kontos trotzdem zu 99,9 % gewährleisten. Wir prüfen beispielsweise, von welchem Gerät oder welchem Land aus sich Personen anmelden. Wenn sich jemand mehrmals hintereinander mit einem falschen Passwort in Ihrem Konto anzumelden versucht, schlagen unsere Sicherheitssysteme Alarm.

Stephan Micklitz: Wir haben auch den Sicherheitscheck entwickelt, mit dem Nutzerinnen und Nutzer ihre persönlichen Sicherheitseinstellungen in ihrem Google-Konto Schritt für Schritt überprüfen können. Mit dem erweiterten Sicherheitsprogramm gehen wir sogar noch einen Schritt weiter.

Was ist die Idee hinter diesem Programm?

Stephan Micklitz: Ursprünglich wurde dieses Angebot für Menschen in der Politik und im Journalismus sowie CEOs geschaffen, die für Kriminelle von besonderem Interesse sein könnten. Jetzt ist es für alle verfügbar, die sich zusätzlichen Schutz im Internet wünschen. Nur wer einen speziellen USB- oder Bluetooth-Dongle hat, kann auf sein geschütztes Google-Konto zugreifen.

Mark Risher: Wir wissen aus eigener Erfahrung, wie effektiv dieses System ist, da alle bei Google einen Sicherheitsschlüssel verwenden, um ihr Unternehmenskonto zu schützen. Seit der Einführung dieser Sicherheitsmaßnahme gab es keinen einzigen Fall von Phishing, der auf eine Passwortbestätigung zurückgeführt werden konnte. Der Schlüssel erhöht die Sicherheit von Google-Konten erheblich, denn selbst wenn jemand das Passwort kennt, kann ohne den Schlüssel nicht auf das Konto zugegriffen werden. Ein Onlinekonto kann in der Regel von überall auf der Welt gehackt werden. Bei Konten, die mit einem physischen Sicherheitsschlüssel geschützt sind, ist das nicht möglich.

Stephan Micklitz: Diese Sicherheitsschlüssel können übrigens für viele Websites verwendet werden – nicht nur für das erweiterte Sicherheitsprogramm von Google. Es gibt sie für wenige Euro bei uns oder bei anderen Anbietern. Alle Details finden Sie unter g.co/advancedprotection.

„Manchmal ist es schwierig, Risiken im Internet einzuschätzen.“

Stephan Micklitz

Was sind Ihrer Meinung nach die größten Gefahren, die heute im Internet lauern?

Mark Risher: Ein Problem sind die vielen Listen mit Nutzernamen und Passwörtern, die es im Internet gibt. Unser Kollege Tadek Pietraszek und sein Team haben sechs Wochen lang das Internet durchforstet und 3,5 Milliarden Kombinationen aus Nutzernamen und Passwörtern gefunden. Es handelt sich nicht um Daten aus gehackten Google-Konten, sondern um Daten, die bei anderen Anbietern gestohlen wurden. Da viele jedoch dasselbe Passwort für mehrere Konten verwenden, stellen diese Listen auch für uns ein Problem dar.

Stephan Micklitz: Aus meiner Sicht ist Spear-Phishing ein Riesenproblem. Dabei wird eine so geschickt personalisierte Nachricht verfasst, dass das Opfer die betrügerische Absicht kaum erkennen kann. Diese Methode wird beim Hacking immer häufiger und mit Erfolg eingesetzt.

Mark Risher: Da gebe ich Stephan recht. Außerdem ist Spear-Phishing nicht so zeitaufwendig, wie es sich anhört. Oft dauert es nur wenige Minuten, eine Spam-E-Mail zu personalisieren. Hackerinnen und Hacker können die Informationen nutzen, die andere über sich selbst ins Netz stellen. Das ist zum Beispiel ein Problem bei Kryptowährungen. Wer öffentlich bekannt gibt, 10.000 Bitcoins zu besitzen, sollte sich nicht wundern, wenn diese Information die Aufmerksamkeit von Cyberkriminellen auf sich zieht.

Stephan Micklitz: Das wäre so, als würde ich mit einem Megafon auf dem Marktplatz stehen und meinen Kontostand verraten. Wer würde so etwas tun? Niemand. Aber im Internet fällt es den Leuten manchmal schwer, die Risiken einzuschätzen.

Sind herkömmliche Spam-E‑Mails immer noch ein Problem?

Mark Risher: Die Verknüpfung von Geräten und Diensten ist eine große Herausforderung für uns. Es wird nicht nur mit Laptops und Smartphones online gegangen, sondern auch mit Fernsehern, Smartwatches und Smart Speakern. Auf all diesen Geräten laufen unterschiedliche Apps, die viele verschiedene potenzielle Angriffspunkte bieten. Und da viele Geräte miteinander verbunden sind, können Hackerinnen und Hacker ein Gerät nutzen, um auf Informationen zuzugreifen, die auf einem anderen gespeichert sind. Deshalb müssen wir überlegen, wie wir die Sicherheit trotz der Vielzahl neuer Nutzungsgewohnheiten gewährleisten können.

Stephan Micklitz: Zuerst müssen wir uns fragen, welche Daten wir für jeden Dienst wirklich benötigen und welche Daten zwischen den Diensten ausgetauscht werden.

Inwiefern hilft Ihnen künstliche Intelligenz, die Nutzerinnen und Nutzer zu schützen?

Stephan Micklitz: Google setzt schon seit geraumer Zeit auf künstliche Intelligenz.

Mark Risher: Bei unserem E-Mail-Dienst Gmail haben wir von Anfang an mit solchen Technologien gearbeitet. Google hat sogar eine eigene Bibliothek für maschinelles Lernen entwickelt, die TensorFlow heißt und die Arbeit beim Programmieren im Bereich des maschinellen Lernens erleichtert. Gmail profitiert besonders von TensorFlow, da es einen wertvollen Dienst bei der Erkennung typischer Muster bietet.

Können Sie erklären, wie diese Mustererkennung funktioniert?

Mark Risher: Nehmen wir an, es treten bei mehreren Personen verdächtige Aktivitäten auf, die wir nicht einordnen können. Eine selbstlernende Maschine kann diese Ereignisse vergleichen und im besten Fall neue Formen von Betrug erkennen, bevor sie sich online verbreiten.

Stephan Micklitz: Aber es gibt Grenzen. Eine Maschine ist nur so intelligent wie die Person, die sie benutzt. Wenn ich eine Maschine mit falschen oder einseitigen Daten füttere, werden auch die Muster, die sie erkennt, falsch oder einseitig sein. Trotz des ganzen Hypes um künstliche Intelligenz hängt ihre Effektivität immer von der Person ab, die sie nutzt. Es liegt in ihrer Verantwortung, die Maschine mit hochwertigen Daten zu trainieren und die Ergebnisse anschließend zu überprüfen.

Mark Risher: Als ich noch bei einem anderen E‑Mail-Anbieter arbeitete, erhielten wir eine Nachricht von einem Bankangestellten in Lagos. Damals waren viele betrügerische E‑Mails im Umlauf, die angeblich aus Nigeria stammten. Der Mann beschwerte sich, dass seine E‑Mails immer im Spamordner landeten, obwohl er für eine angesehene Bank arbeitete. Dies ist ein typischer Fall von falscher Verallgemeinerung bei der Mustererkennung aufgrund unzureichender Informationen. Wir konnten dieses Problem durch eine Änderung des Algorithmus lösen.

.

Fotos: Conny Mirbach