Ist Google evil?

Wenn ich mal mit den Öffentlichkeitsarbeitern von Google spreche, dann muss ich mich jedes Mal wundern, in welchem Brustton der Überzeugung diese antworten (daher nenne ich sie auch „PR-Roboter“, obwohl sie privat ganz liebenswerte Menschen sein mögen). Das gilt auch, wenn man mal nicht frontal mit weitgehend vage formulierter Paranoia um sich wirft, so wie es zum Beispiel das Buch "Die Google-Falle. Die unkontrollierte Weltmacht im Internet" tut, sondern vernünftig und ohne Hysterie.

Ich zum Beispiel versuchte in der Vergangenheit stets darauf hinzuweisen, dass man doch die Angst einiger und beileibe nicht weniger Menschen verstehen müsse, und wenn schon nicht verstehen, dann wenigstens sich klar machen, dass diese existiert. Das aber ist jemandem, der im Verlauf seines Jobs durch die Mühle einer US-Amerikanischen PR-Schulung gegangen ist (die Amis können das einfach am besten), nicht möglich, jedenfalls nicht öffentlich. Bestehende Ängste werden standhaft ignoriert, statt dessen im Saubersprech darauf beharrt, das Unternehmen sei toll, alles diene nur den Menschen, und so weiter. Und ich glaube sogar, dass die PR-Roboter das wirklich glauben. Ich gehe sogar soweit: ja, glaub ich auch. Google ist nicht evil.

Was aber, wenn ein " Unternehmen" nicht mehr das " Unternehmen" ist, was es mal war?

Besitzverhältnisse und Kontrolle können sich ändern

Ich predige ja bei der Benutzung jeder Software, jeder Webware, jedes Shops ... und jedes Twitter-Tools:

  • Heute sind Ihre Daten dort vielleicht in guten Händen. Vielleicht.
  • Morgen vielleicht nicht mehr.
    Weil:
  • Weil zum Beispiel der Shop pleite geht und seine (Ihre!) Daten an den nächstbesten verschachert. Bei Amazon vielleicht unwahrscheinlich, aber was ist mit allen anderen?
  • Weil das Twitter-Tool, das die Twitter-Passwörter vieler User speichert, neben dem Studium programmiert wurde, daher Sicherheitslücken aufweist, über die sich das Twitter-Passwort ermitteln lässt, das dann vielleicht auch das Passwort zu anderen Konten ist.
  • Weil der Betreiber eines Systems (etwa: ich) längst gestorben ist, seine Domain (zwangs)verkauft wurde und nun in den Händen eines echten Scareware-Drückers liegt.
  • Oder weil in dem nicht-evil Unternehmen ein Mitarbeiter sich (seinen PC) aus Versehen infiziert hat, und dadurch seine Rechte (auf dem PC) der Infektion übertragen hat, die dann wiederum das Unternehmen infiltrieren kann.

Kurz: Im Internet haben nicht nur Sie ein "digitales Ich". Auch Unternehmen. Und dieses "ich" kann sich ändern.

Ist Google noch Google?

Google war wirklich mal ein Startup, eine Suchmaschine, die alles besser machte als andere und die daher zu Recht Marktführer ist. Heute jedoch verdient Google sein Geld mit Werbung, es ist ein Werbevermarkter, mehr noch: es ist der größte Werbevermarkter der Welt, weil Google die größte Zeitung der Welt vermarktet: das Web. (So viel zum Thema: Online-Werbung sei kein Geschäftsmodell.) Und es wird heute auch nicht mehr von zwei findigen IT-Gurus geleitet, sondern von wirtschaftlichen Interessen sowie zunehmend auch von politischen und nachrichtendienstlichen Begehrlichkeiten.

Zugleich ist Google auf der Suche nach Innovation (die es nur noch selten schafft) und neuen Werbeflächen eine Alles-Maschine geworden: auch Mail, auch Blog, auch Microblog, auch soziales Netzwerk, auch Foto-Community, auch Videoportal ... Im Zuge dessen generiert es neue User und die alten können mit ihrem bestehenden Passwort auf die - inzwischen meist zugekauften - Dienste zugreifen.

1 Konto = 1 Passwort = n Dienste = bequem + gefährlich

Als Google-Dauernutzer mache ich mir jedoch zunehmend Sorgen um meine Daten. Nicht, weil Google evil ist oder sein könnte - ich halte das längst für eine irrelevante Fragestellung in einer das Thema verfehlenden Debatte. Sondern weil sie en masse bei Google liegen, und man langsam aber sicher die Frage stellen muss, was passiert, wenn Google selbst in die falschen Hände fällt.

  • Ich habe ein Android-Handy und nutze fast alle G-Dienste aktiv; Google kennt mein Telefonverhalten - wer Google hackt, kennt es auch. (Gilt auch für Apple MobileMe, Microsoft MyPhone etc.)
  • Google kennt daher auch mein Telefonbuch; selbst Leute, die nicht extra gefragt wurden, ob sie damit einverstanden sind, dass ihre Daten gespeichert werden, sind mit Name, Adresse, Mail, teils auch mit Foto bei Google hinterlegt; wer Google hackt, kennt das Gesicht und die Adresse meiner Freunde. (Gilt auch für Facebook & Co.)
  • Ich nutze Google Mail, mehrfach, und habe verschiedene Konten, die Google abruft; wer Google hackt, hat nicht nur die Daten meines Google-Mail-Kontos, sondern auch die anderer Mail-Konten. (Gilt auch Hotmail, GMX und andere.)

Natürlich mache ich das alles freiwillig. (Und Google ist nicht der einzige alles zentralisierende Dienst.)

Und doch lese ich heute mit Schrecken die Headline "Hacker sollen Googles zentrales Passwort-System entwendet haben", der auf den Beitrag "Cyberattack on Google Said to Hit Password System" zurückgeht. Wenn stimmt, was so kolportiert wird, hat Google intern auf ein Single-Sign-on-System namens Gaia umgestellt. "Single Sign-on" stammt als Begriff aus Unternehmensnetzen, wo es irgendwann ratsam erschien, dass Mitarbeiter - etwa des Außendienstes - sich nicht mehr jedes Mal bei jedem Dienst des Firmennetzes eigens anmelden müssen (erst im Netz, dann bei Mail, dann bei der Datenbank), sondern nach einem (Single) Login (Sign-on) Zugriff auf alle Dienste haben, weil alle weiteren Systeme als Authentifizierung die Bestätigung eines Anmeldeservers akzeptieren, in diesem Fall eben Gaia.

Bei Google ist nun offenbar / möglicherweise / vielleicht dieser Dienst gehackt worden. Offenbar / möglicherweise / vielleicht sind dabei immerhin keine "digitalen Ichs" - also Username+Passwort-Kombinationen - sondern nur das Single-Sign-on-System selbst in die Hände eines "evil Dritten" gefallen. Der evil Angreifer kann dieses System jetzt aber möglicherweise in Ruhe intensiv studieren. Da darf einem schon mulmig werden, aber man braucht in so einem Fall gar nicht die PR-Roboter um Stellungnahme bitten, deren Aussagen sind eh schon vorher bekannt bzw. fänden nicht statt, auch das GoogleBlog schweigt.

Auf ein Detail möchte ich noch hinweisen und hierzu aus der NYTimes.com zitieren:

The theft began with an instant message sent to a Google employee in China who was using Microsoft’s Messenger program [...]

Hätten Sie mir vor einem Jahr gesagt, dass Google-Mitarbeiter die Erlaubnis haben, Microsoft Messenger zu nutzen, mit allen damit einhergehenden Sicherheitsproblemen, dann hätte ich Sie schallend ausgelacht. 11tech findet das immerhin ganz "menschlich" - ich auch. Mir wird dabei dennoch gleich ein zweites Mal mulmig, denn Sicherheit im Unternehmen kann man auch aktiv gestalten, aber offenbar passiert das nicht überall.

Zusammengefasst lässt sich sagen:

  • Daten fallen an
  • Daten werden zentral gespeichert, ob das nun evil ist oder nicht
  • Werden Daten zentralisiert gespeichert, dann ist aber klar: "Dr. Evil" muss nur noch die Zentrale Seiner Heiligen Datensammelunschuld knacken.
  • All die Filme, in denen clevere Hacker an bunten Bildschirmen sich irgendwo reinhacken, sind Bullshit (wussten wir ja schon immer; mein persönlicher Liebling hier: NavyCIS am Sonntagabend),
    in Wirklichkeit läuft es *immer* (naja: oft) über einen Insider, also über Erpressung, Belohnung oder - wie nun wohl auch bei Google - menschliches Versagen in Zusammenspiel mit sicherheitsproblematischer Software (Microsoft Messenger! Ich bitte euch! (Und überhaupt: Was ist mit Wave? Buzz? Talk?))

Daher kann man wohl auch sagen:

  • Unternehmen, deren Sprecher und ABGs/ToS die Sicherheit der bei ihnen liegenden Daten beteuern, bestehen auch nur aus Menschen und Software und Firmengebäuden, und alle diese Dinge haben Schwächen, auch betreffend die Sicherheit der dort liegenden Daten.

Vereinfacht:

  • Es gibt in vernetzten Systemen keine geheimen Daten.

Daher der Rat:

  • Seien Sie stets datensparsam.

Über weitergehende Auswirkungen kann man ja nur spekulieren:

  • Wenn Hacker jetzt Zugriff haben, auf was greifen sie zu?
  • Was ist mit Chrome OS? Schnitzen die Angreifer schon eine Hintertür in das OS von morgen?

Und so weiter. Dieser Beitrag ist nun etwas länger geworden als gedacht... sorry. Aber vielleicht ist er mal einen Kommentar wert?

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

2 Antworten

  1. Ralph sagt:

    Ein langer Beitrag - aber man merkt, wenn das Herz die Finger über die Tastatur hetzt und das da eine Menge Know-how und Erfahrung dahinter steckt!
    Ja, es ist richtig, was gesagt wird! Aber Google ist sicherlich nicht mehr oder weniger evil als andere, vergleichbare Unetrnehmen.

    Aber die Gefahren sind da und man entkommt ihnen nicht. Denn der Verzicht auf die Annehmlichkeiten der kombinierten Dienste stellen einen teilweise sofort ins intelektuelle und technische Abseits. Das will ja aber auch niemend. Also ist mitmachen einfach ein sozialer Druck (Zwang), den man sich nicht verweigert.
    Was aber hilft, ist die angesprochene Datenreduzierung bzw. Datenvermeidung. Aber wer denkt daran schon immer an die möglichen Ausprägungen? Denn, dass eine harmlose Twitter-Meldung "Bin am Strand, im Urlaub", die Neuigkeit für den Einbrecher ist - darauf muss man erst mal kommen.
    Aber dank unsicherheitsblog.de kommt man vielleicht eher und schneller auf so was!

    Vielen Dank für die Anregungen, die Informationen und das Herzblut!

    Ralph

    • Danke für die Ermunterung!

      "Denn, dass eine harmlose Twitter-Meldung "Bin am Strand, im Urlaub", die Neuigkeit für den Einbrecher ist - darauf muss man erst mal kommen."

      In der Tat. In den USA ist man mal wieder längst weiter: PleaseRobMe.com versucht, ein Bewusstsein zu schaffen für allzu leichtsinnigen Umgang mit geosozialen Netzwerken wie foursquare.com, Gowalla oder ganz simpel Twitter mit Geolokationsdaten.