Wie Google mit Sicherheit umgeht

Egal ob Suchen, Surfen oder Mailen: Wer die Dienste von Google benutzt, gibt viel Privates preis. Wie das Unternehmen diese Daten schützen möchte, darüber hat der Google-Sicherheitschef Gerhard Eschelbeck bei den Alpbacher Technologiegesprächen berichtet.

E-Mails sind für Hacker die leichteste Möglichkeit, um in Systeme von Computern zu kommen und Daten zu stehlen – alternativ sind es zu einfache Passwörter – „123456“ hält sich hartnäckig an der Spitze das beliebtesten Kennwörter auch in Österreich, erklärt Gerhard Eschelbeck. Leicht zu knacken für einen Profi.

Seit zwei Jahren ist der österreichische Informatiker dafür zuständig, die Anwendungen von Google wie der Internet Browser Chrome, E-Mails oder Android-Handys gegenüber Cyberangriffen zu schützen. Diese passieren zwar immer häufiger und sind besser organisiert, so Eschelbeck – dennoch zeigt sich der Google-Sicherheitschef optimistisch, dass er die Nase vorne hat.

Gerhard Eschelbeck
ORF/Hans Leitner

Gerhard Eschelbeck ist Vice President Security and Privacy Engineering von Google. Er hat 2000 an der Universität Linz habilitiert und schon als Student ein Start-up gegründet, das schließlich vom IT-Sicherheitsunternehmen McAfee gekauft wurde. Er arbeitete später für Branchengrößen wie Sophos und Qualys und ist seit 2014 bei Google im Silicon Valley.

science.ORF.at: Sie bezeichnen als Ihr oberstes Ziel, die Sicherheit der User zu schützen und zu verteidigen: Aber sind deren Daten nicht die Ware, mit der Google seine Geschäfte macht?

Gerhard Eschelbeck: Hier gibt es viele Missverständnisse. Grundsätzlich würden wir keine Kundendaten verkaufen oder in irgendeiner Form weitergeben. Faktum ist aber, dass viele der Google Services frei zur Verfügung stehen. Um das machen zu können, benutzen wir die Informationen der User, um Werbung zu schalten.

Google kooperiert auch mit Staaten und Regierungen, um Systeme besser vor Cyberattacken zu schützen. Wie sehen Sie die Rolle von Google dabei, was den Datenschutz betrifft?

Die internationale Gemeinschaft arbeitet intensiv bei Computersicherheit zusammen. Das ist eine Teamaufgabe. Aber hier geht es nicht um Austausch von Userdaten, sondern von Information, die relevant ist für Sicherheit. Etwa Angriffsdaten und -muster, die aber nicht benutzerbezogen sind. Das sind zwei verschiedene Welten: einerseits der verschlüsselte Schutz unserer Userdaten, andererseits der Austausch von Information, die explizit der Sicherheitsarbeit dient.

Wenn Regierungen – wie neulich bei Apple – an Google herantreten, um bestimmte Daten zu fordern: Wie gehen Sie damit um?

Es gibt eine Anlaufstelle, wo Behörden Kundendaten anfragen können. Typischerweise hängen sie mit Terrorgefahren, Verbrechen oder größeren Unfällen zusammen. Die Anfragen werden rechtlich geprüft und es wird nach genau definierten Kriterien entschieden, ob eine Freigabe rechtmäßig ist. Diese Anfragen und Freigaben werden dann in unserem Transparenzbericht veröffentlicht. Wir glauben, dass Transparenz ganz wichtig ist, um Vertrauen zu schaffen.

Wie bietet Google konkret Schutz?

Technologiegespräche Alpbach

Von 25. bis 27. August finden im Rahmen des Europäischen Forums Alpbach die Technologiegespräche statt, organisiert vom Austrian Institute of Technology (AIT) und der Ö1-Wissenschaftsredaktion.

Auf allen Ebenen. Einerseits schützen wir Datencenter und Infrastruktur, anderseits auch die Endpunkte: die Handys und Computer. Dort haben wir Technologien wie das Safe browsing, das in den Chrome-Browser integriert ist und Nutzer vor gefährlichen Webseiten schützt. Dazu muss man durch Verschlüsselung auch die Ketten zwischen Datencenter und dem Browser schützen. Derzeit sind wir bei fünf Millionen Warnungen, die wir hier täglich ausgeben.

Sie sind seit zwei Jahren Sicherheitschef bei Google. Wie hat sich der Bereich seither verändert?

Bei der Netzsicherheit gibt es sehr viele neue Entwicklungen, besonders bei Passwörtern. Wir haben z.B. den Sicherheitsschlüssel entwickelt, der irgendwann das Passwort ersetzen wird. Auch in der „connected world“ der Zukunft – in der Sensoren, Geräte, das Haus, das Auto etc. miteinander kommunizieren – ist Sicherheit ein wichtiger Bestandteil.

Wie haben sich die Bedrohungen verändert?

Die Anzahl der Angreifer hat sich vervielfacht, auch ihr Knowhow ist viel höher. Wir versuchen immer zwei Jahre voraus zu sein und vorherzusehen, wie sich die Angriffe verändern und worauf man vorbereitet sein muss, um unsere Kundendaten zu schützen.

„Zwei Jahre voraussein“ ist keine leichte Aufgabe ...

Das stimmt. In der Vergangenheit war Sicherheit immer ein Vorgang, wo man versucht hat zu reagieren. Durch neue Technologien wie Cloud Computing hat man jetzt die Möglichkeit nach vorne zu schauen, zu erahnen, wohin sich Bedrohungen entwickeln. Das ist nicht leicht, aber ich habe ein Team von 600 Mitarbeitern, das 24 Stunden pro Tag im Einsatz ist – darunter die besten Sicherheitsexperten der Welt.

Gerhard Eschelbeck
ORF/Hans Leitner
Eschelbeck beim Interview in Alpbach

Wie häufig sind Angriffe im Internet?

Man sieht alle paar Sekunden oder öfter Angriffe. Vieles davon ist aber nur „noise“ - ein Geräusch, das nicht so wichtig ist und dem wir nicht nachgehen. Wir sehen uns pro Tage eine Handvoll Angriffe an, die neue Muster aufweisen und versuchen sie zu analysieren – so können wir erkennen, wohin sich die Gefahrenlandschaft entwickelt.

Was sind aktuell die größten Gefahren für Google-Nutzer?

Für mich sind gefälschte Emails die besten und klassischen Beispiele. Jeder kann davon betroffen sein, sollte vorsichtig sein und etwa Passwörter nicht leichtsinnig aus der Hand geben. Das sind Situationen, die man durch entsprechende Ausbildung leicht vermeiden kann. Technologische Hilfsmittel sind das eine, auf der anderen Seite geht es auch um das Verhalten der User.

Seit dem Vorjahr haben Google-Nutzer die Möglichkeit, ihre Sicherheitsdaten und Privatsphäre via „MeinKonto“ einzustellen – wie?

Dabei kann der Benutzer erstens sehen, welche Daten wir speichern und andererseits festlegen, welche Informationen die Person gespeichert haben will. Man hat also die Kontrolle über seine Daten. Das hat sehr viel Vertrauen geschafft.

Ist es ratsam, die Daten von Handys und Computern in die Hände von einem Unternehmen zu geben? Oder ist es nicht sinnvoller sie zu streuen?

Da ich unsere Sicherheitsmaßnahmen gut kenne, bin ich natürlich der Meinung, dass man Google alle Daten anvertrauen kann. Ich habe das übrigens schon getan, bevor ich IT-Sicherheitschef wurde. Seit ich weiß, was hier abläuft, noch mehr – denn ich denke, dass man Sicherheit selber nicht in der Qualität machen kann wie mit einem Team.

Interview: Ruth Hutsteiner, science.ORF.at

Mehr zu den Technologiegesprächen: