Herr Pietraszek, Sie und Ihr Team kümmern sich um die Sicherheit der Nutzerkonten. Wie verhindern Sie, dass jemand in die Konten Ihrer Nutzerinnen und Nutzer einbricht?

Tadek Pietraszek, Chefentwickler für Kontosicherheit: Zunächst ist es wichtig, einen Hackerangriff überhaupt zu entdecken. Es gibt mehr als hundert Variablen, anhand derer wir verdächtige Aktivitäten erkennen. Nehmen wir an, Sie leben in Deutschland, reisen sehr selten ins Ausland und jemand versucht, aus einem anderen Land auf Ihr Konto zuzugreifen, dann ist das für uns ein Alarmsignal.

Stephan Micklitz, Entwicklungschef für Sicherheit und Datenschutz: Deshalb fragen wir Sie dann zum Beispiel nach der Telefonnummer, die Sie bei uns hinterlegt haben, oder anderen Informationen, die nur Sie als Eigentümer des Kontos kennen.


Wie oft kommen solche Attacken vor?

Pietraszek: Es sind täglich hunderttausende. Unser größtes Problem ist, dass es im Internet unzählige Listen mit von gehackten Websites gestohlenen Nutzernamen und Passwörtern gibt. Da ein großer Teil unserer Nutzer das gleiche Passwort für unterschiedliche Konten verwendet, finden sich natürlich auch Login-Daten von Google-Konten darunter.

Tadek Pietraszek und Stephan Micklitz (Foto: Conny Mirbach)


Sind diese Listen das größte Sicherheitsproblem?

Pietraszek: Ja, genau. Die Listen und außerdem die typischen Phishing-Attacken. Fast jeder hat ja schon E-Mails bekommen, mit denen sich Kriminelle fremde Passwörter erschleichen wollen. Wir können natürlich unseren Teil dazu beitragen, dass sie das nicht schaffen. Kommt uns eine E-Mail verdächtig vor, können wir sie in Gmail mit Warnhinweisen kennzeichnen, damit Sie genauer hinschauen, oder die E-Mail sofort filtern. Unser Browser Chrome macht Sie ebenfalls darauf aufmerksam, wenn Sie versuchen, uns bekannte Phishing-Websites aufzusuchen.

Micklitz: Grundsätzlich gibt es zwei Arten von Phishing. Die Massen-E-Mails, mit denen Täter möglichst viele Login-Daten sammeln wollen, und das sogenannte Spear-Phishing, bei dem sie es auf das Konto einer bestimmten Person abgesehen haben. Das können ziemlich ausgeklügelte Aktionen sein, die mehrere Monate dauern und bei denen die Täter das Leben des Opfers detailliert durchleuchten und gezielt angreifen.


Wie unterstützt Google seine Nutzer, damit diese Aktionen keinen Erfolg mehr haben können?

Pietraszek: Zum Beispiel mit der Zwei-Faktor-Authentifizierung. Die kennen viele Nutzer vielleicht vom Online-Konto ihrer Bank. Wenn sie Geld überweisen wollen, müssen sie zum Beispiel neben dem Passwort einen SMS-Code eingeben. Google hat die Zwei-Faktor-Authentifizierung schon 2009 eingeführt, früher als die meisten anderen großen E-Mail-Provider. Darüber hinaus profitieren Google-Nutzer, die aktiv ein Mobiltelefon nutzen und ihre Telefonnummer registriert haben, automatisch von einem ähnlichen Schutzniveau bei verdächtigen Anmeldeversuchen.

Micklitz: Die Zwei-Faktor-Authentifizierung ist eine gute Methode, aber auch SMS-Codes lassen sich herausfinden. Ein Krimineller könnte zum Beispiel bei Ihrem Mobilfunkanbieter anrufen und versuchen, sich eine zweite SIM-Karte schicken zu lassen. Noch sicherer ist die Authentifizierung mit physischen Sicherheitsschlüsseln, zum Beispiel einem Bluetooth-Sender oder einem USB-Stick.

Pietraszek: Diese Option gehört zum Erweiterten Sicherheitsprogramm.


Was verbirgt sich hinter diesem Programm?

Pietraszek: Wir bieten es seit 2017 all jenen an, die unter einem erhöhten Risiko stehen, gehackt zu werden. Also zum Beispiel Journalisten, Geschäftsführern, Dissidenten oder Abgeordneten.

Micklitz: Neben dem physischen Sicherheitsschlüssel schränken wir auch den Datenzugriff von Drittanbieter-Apps ein, indem wir zusätzliche Schritte für die Nutzer einbauen, mit denen sie ihre Identität bestätigen müssen, falls sie den Sicherheitsschlüssel verlieren.

(Foto: Conny Mirbach)


Wann war der letzte große Hackerangriff, mit dem Sie zu tun hatten?

Pietraszek: Anfang 2017. Hacker hatten ein bösartiges Programm erstellt, um Zugriff auf die Google-Konten der Opfer zu erhalten, und gefälschte E-Mails an die Kontakte der Nutzerinnen und Nutzer verschickt. Darin forderten sie die Empfänger auf, Zugriff auf ein gefälschtes Google-Dokument zu genehmigen. Wer das tat, gab der Schadsoftware unfreiwillig Zugriff und schickte automatisch gefälschte E-Mails an seine eigenen Kontakte. So konnte sich der Virus schnell verbreiten. Für solche Fälle haben wir Notfallpläne.

Micklitz: In diesem konkreten Fall haben wir zum Beispiel  die Verbreitung dieser E-Mails in Gmail blockiert, um dem Programm gewährte Genehmigungen zu widerrufen und so die Konten zu sichern. Natürlich haben wir auch systematische Schutzmaßnahmen hinzugefügt, die ähnliche zukünftige Angriffe erschweren. Google-Konten werden ständig angegriffen und es ist am besten, wenn unsere automatisierten Systeme sie schützen. Das setzt natürlich voraus, dass wir die Nutzer unabhängig von ihrem Google-Konto zum Beispiel über eine zweite E-Mail-Adresse oder eine bei uns angegebene Mobilnummer erreichen können.


Welchen Stellenwert hat das Thema Sicherheit beim Durchschnittsnutzer?

Pietraszek: Es ist vielen sehr wichtig, aber Sicherheitsvorkehrungen sind auch lästig. Das erklärt zum Beispiel auch, warum Nutzer die gleichen Passwörter für mehrere Konten benutzen – der schlimmste Fehler überhaupt. Unsere Aufgabe ist es, Nutzer darüber aufzuklären, wie sie ihre Konten ohne großen Aufwand schützen können. In Google-Konto bieten wir deshalb den Sicherheitscheck an, mit dem man seine Einstellungen unkompliziert prüfen kann.

Micklitz: Eigentlich reicht schon aus, dass man sich an ein paar Regeln hält.


Die da wären?

Micklitz: Benutzen Sie nicht das gleiche Passwort für mehrere Dienste, installieren Sie Sicherheitsupdates und vermeiden Sie verdächtige Software. Geben Sie Ihre Telefonnummer oder eine alternative E-Mail-Adresse an, damit Sie auf anderen Wegen erreicht werden können. Und aktivieren Sie die Bildschirmsperre Ihres Smartphones, um Unbefugten den einfachen Zugang zu erschweren. Damit ist schon viel erreicht.



Mehr zum Thema lesen: Transparenz und Kontrolle an einem Ort: das Google-Konto