So trägt Google zum Schutz Ihrer Daten bei

Herr Pietraszek, Sie und Ihr Team sind für die Sicherheit der Nutzerkonten verantwortlich. Wie verhindern Sie, dass Hacker Zugriff erhalten?

Tadek Pietraszek, Principal Software Engineer für die Sicherheit von Nutzerkonten: Zuerst einmal ist es wichtig, dass wir den Angriff erkennen. Wir verwenden mehr als hundert Variablen, um verdächtige Aktivitäten zu erkennen. Wenn Sie beispielsweise in Deutschland leben, nur selten ins Ausland reisen und jemand versucht, von einem anderen Land aus auf Ihr Konto zuzugreifen, wird ein Alarm ausgelöst.

Stephan Micklitz, Director of Engineering im Google-Team für Datenschutz und Sicherheit: Deshalb bitten wir Sie manchmal, die von Ihnen angegebene Telefonnummer oder andere Informationen zu bestätigen, die nur Sie als Kontoinhaberin oder -Inhaber kennen.

Für Tadek Pietraszek (links) ist Phishing eine der größten Bedrohungen für die Onlinesicherheit.

Wie oft kommt es zu solchen Angriffen?

Pietraszek: Jeden Tag kommt es zu Hunderttausenden von Cyberangriffen. Unser größtes Problem ist, dass das Internet unzählige Listen mit Nutzernamen und Passwörtern enthält, die von gehackten Websites gestohlen wurden. Da viele dasselbe Passwort für verschiedene Konten verwenden, enthalten diese Listen auch Anmeldedaten für Google-Konten.

Stellen diese Listen die größte Sicherheitsbedrohung dar?

Pietraszek: Ja, eindeutig. Die Listen und natürlich die klassischen Phishing-Angriffe. Fast jeder hat schon einmal E‑Mails von Kriminellen erhalten, die versuchen, an Kontopasswörter zu gelangen. Wir tun natürlich unser Bestes, um das zu verhindern. Wenn wir eine E‑Mail, die in Ihrem Gmail-Posteingang landen soll, als verdächtig einstufen, können wir sie mit einer Warnung versehen, damit Sie sie genauer prüfen können, oder sie automatisch herausfiltern. Unser Chrome-Browser sendet auch Warnungen, wenn Sie versuchen, eine Website zu besuchen, die uns als Phishing-Website bekannt ist.

Micklitz: Es gibt zwei grundlegende Arten von Phishing. Massen-E-Mails, mit denen so viele Anmeldedaten wie möglich gesammelt werden sollen, und das sogenannte „Spear-Phishing“, bei dem versucht wird, sich Zugriff auf das Konto einer bestimmten Person zu verschaffen. Spear-Phishing-Angriffe können sehr ausgeklügelt sein und sich über mehrere Monate erstrecken. In dieser Zeit wird das Leben des Opfers bis ins kleinste Detail analysiert und dann ein sehr gezielter Angriff gestartet.

„Wenn wir eine E‑Mail, die in Ihrem Gmail-Posteingang landen soll, für verdächtig halten, können wir sie mit einer Warnung kennzeichnen.“

Tadek Pietraszek

Wie hilft Google Nutzerinnen und Nutzern, solche Angriffe zu verhindern?

Pietraszek: Ein Beispiel ist unser System zur 2‑Faktor-Authentifizierung. Viele kennen dieses System von ihren Online-Bankkonten. Wenn Sie beispielsweise Geld überweisen möchten, müssen Sie möglicherweise sowohl Ihr Passwort als auch einen per SMS gesendeten Code eingeben. Google hat die 2-Faktor-Authentifizierung im Jahr 2009 eingeführt – früher als die meisten anderen großen E‑Mail-Anbieter. Außerdem profitieren Google-Nutzerinnen und -Nutzer, die ihre Mobiltelefonnummer registriert haben, automatisch von einem ähnlichen Schutz vor verdächtigen Anmeldeversuchen.

Micklitz: Die 2-Faktor-Authentifizierung ist eine gute Methode, um ein Konto zu schützen, aber selbst SMS-Codes können abgefangen werden. Kriminelle könnten sich beispielsweise an Ihren Mobilfunkanbieter wenden und versuchen, eine zweite SIM-Karte zu erhalten. Noch sicherer ist die Authentifizierung mit einem physischen Sicherheitstoken, zum Beispiel einem Bluetooth-Sender oder einem USB-Stick.

Pietraszek: Diese Methode nutzen wir für unser erweitertes Sicherheitsprogramm.

Was ist das?

Pietraszek: Das erweiterte Sicherheitsprogramm wurde 2017 von Google eingeführt und richtet sich an Personen, die ein höheres Risiko haben, gehackt zu werden, wie zum Beispiel Journalistinnen und Journalisten, CEOs, Regimekritikerinnen und -Kritiker oder auch Politikerinnen und Politiker.

Micklitz: Zusätzlich zu unserem physischen Sicherheitsschlüssel beschränken wir den Datenzugriff durch Drittanbieter-Apps, indem wir weitere Schritte implementieren, bei denen Nutzerinnen und Nutzer ihre Identität bestätigen müssen, wenn sie den Schlüssel verlieren.

Stephan Micklitz, Director of Engineering, ist bei Google für Datenschutz und Sicherheit zuständig. Er hat Informatik an der Technischen Universität München studiert und arbeitet seit 2007 im Google-Büro in München.

Können Sie uns von einem großen Cyberangriff erzählen und davon, wie sie darauf reagiert haben?

Pietraszek: Anfang 2017 kam es zu einem großen Cyberangriff. Damals haben Hackerinnen und Hacker ein schädliches Programm entwickelt, um sich Zugriff auf die Google-Konten ihrer Opfer zu verschaffen und gefälschte E‑Mails an die Kontakte der Opfer zu senden. In diesen E‑Mails wurden die Kontakte aufgefordert, Zugriff auf ein gefälschtes Google-Dokument zu gewähren. Dadurch haben sie ungewollt der Malware Zugriff gewährt und automatisch die gleichen gefälschten E-Mails an ihre eigenen Kontakte gesendet. Das Virus hat sich rasend schnell verbreitet. Wir haben Notfallpläne für solche Situationen entwickelt.

Micklitz: In diesem speziellen Fall haben wir beispielsweise die Verteilung dieser E‑Mails in Gmail blockiert, den Zugriff auf das Programm widerrufen und die Konten gesichert. Natürlich haben wir auch systematische Schutzmaßnahmen hinzugefügt, um ähnliche Angriffe in Zukunft zu erschweren. Google-Konten sind ständig Angriffen ausgesetzt und unsere automatisierten Systeme bieten effektiven Schutz. Der Schutz hängt aber natürlich davon ab, ob wir unsere Nutzerinnen und Nutzer auch über andere Wege als ihr Google-Konto erreichen können – also über eine zweite E‑Mail-Adresse oder eine Mobiltelefonnummer.

„Eigentlich reichen schon ein paar grundlegende Regeln aus.“

Stephan Micklitz

Wie wichtig ist Sicherheit für Durchschnittsnutzerinnen und -Nutzer?

Pietraszek: Viele Menschen finden sie sehr wichtig, aber die notwendigen Sicherheitsvorkehrungen zu treffen, kann mühsam sein. Das erklärt zum Beispiel, warum oft dasselbe Passwort für mehrere Konten verwendet wird – was der schlimmste Fehler ist, den man machen kann. Unsere Aufgabe ist es, den Nutzerinnen und Nutzern zu erklären, wie sie ihre Konten mit minimalem Aufwand schützen können. Deshalb bieten wir den Sicherheitscheck im Google-Konto an, mit der sie ihre Einstellungen ganz einfach überprüfen können.

Micklitz: Eigentlich reicht es schon, ein paar einfache Regeln einzuhalten.

Und welche sind das?

Micklitz: Verwenden Sie nicht dasselbe Passwort für mehrere Dienste, installieren Sie Sicherheitsupdates und meiden Sie verdächtige Software. Geben Sie eine Telefonnummer oder eine alternative E‑Mail-Adresse an, damit Sie auf anderem Wege kontaktiert werden können. Und aktivieren Sie die Displaysperre auf Ihrem Smartphone, um es Unbefugten zu erschweren, auf Ihre Daten zuzugreifen. Diese Schritte sind ein guter Anfang.

.

Fotos: Conny Mirbach