Tipps vom ExpertenGoogle-Sicherheitschef Mark Risher: «Diese drei Fehler sind unverzeihlich»
Pascal Landolt
23.10.2018
Mark Risher ist bei Google Chef der Online-Betrugsabteilung. Im exklusiven «Bluewin»-Interview erklärt der Sicherheitsexperte, wie sich Spam-Mails in den letzten Jahren verändert haben – und er verrät drei simple Tricks, wie Nutzer ihre Privatsphäre im Internet schützen können.
Mark Risher arbeitet als «Director of Product Management» am Google-Hauptsitz in Mountain View, Kalifornien. Dort ist er verantwortlich für Missbrauchsbekämpfung im Internet und den Google Login – also das Eingangsportal der Nutzer zu den Google-Diensten. Deshalb beschäftigt er sich täglich mit dem Schutz vor Cyber-Angriffen aller Art. Für «Bluewin» stand er im Vorfeld des Schweizer Digitaltags am 25. Oktober Rede und Antwort.
«Bluewin»: Herr Risher, wie viele ihrer eigenen Passwörter kennen Sie auswendig?
Mark Risher (lacht): Das versuche ich gar nicht erst, denn für solche Aufgaben ist das menschliche Gehirn tatsächlich nicht geschaffen. Deshalb empfehle ich grundsätzlich, dafür einen Passwort-Manager zu nutzen.
Sind Passwörter noch immer der sicherste Schutz eines Online-Kontos?
Weder der sicherste noch der beste – aber sie sind das, was die meisten Webseiten und Online-Services nutzen. Darum sind sie nach wie vor sehr verbreitet. Wir bei Google versuchen nun, diese Passwörter sicherer zu machen.
Also zusammengefasst: Passwörter, ja – aber keine, die so simpel sind, dass man sich noch daran erinnern kann?
Passwörter sind momentan noch weit verbreitet. Also müssen wir damit arbeiten. Unser Job ist es, die Systeme hinter den Passwörtern sicherer zu machen. Bei einem Google-Login ist es ja schon so, dass dein Passwort alleine dich noch nirgends hinbringt: Auch wenn jemand deine Mail-Adresse, dein Passwort oder deine Telefonnummer kennt, reicht das nicht, um auf deine Daten zuzugreifen.
Reden Sie hier über die immer weiter verbreitete 2-Faktor-Authentifizierung?
Ja, aber das bedeutet nicht unbedingt den klassischen 6-Ziffer PIN-Code, der automatisch auf das Handy geschickt wird – das ist nur eine mögliche Form. Das Ziel muss sein, diesen zweiten Schritt für die Nutzer so angenehm wie möglich zu machen und dabei unberechtigte Zugriffe auszusperren.
«Was für mich aufwändig ist, muss auch für Hacker schwierig sein – oder?»
Faszinierend ist doch, dass Nutzer oft denken, dass das, was für sie selbst mit mehr Aufwand verbunden ist, auch sicherer sei. Beispielsweise, dass das Abtippen eines 6-stelligen Pins sicherer sei, als eine automatische Sicherheitsanfrage auf seinem Smartphone per Tastendruck zu bestätigen. Das tönt zwar nachvollziehbar, ist aber nicht richtig.
Von welchen Gefahren sprechen wir denn überhaupt? Wie tiefgreifend kann ein Online-Angriff durch Unberechtigte sein?
Unglücklicherweise können Angreifer mit vorhandenen Informationen immer mehr anfangen. Der Betroffene denkt ja zuerst fast immer an finanzielle Transaktionen – dass also jemand Geld von einem E-Banking-Konto abzweigt.
Es geht aber weiter: Je mehr Informationen ein Angreifer über sein Opfer hat, desto besser kann er sich im Internet auch als dieses Individuum ausgeben – und mit diesem Wissen auch andere Menschen manipulieren. Google bietet Lösungen an, um die Nutzer auf solche Gefahren hinzuweisen.
Sie sprechen das Manipulieren von Menschen oder «Social Engineering» im Internet an: Das erinnert an die Spam-Flut mit den «Nigerianischen Prinzen», die es seit der Erfindung der E-Mail gibt. Warum fallen noch immer Menschen auf E-Mails mit solchen Versprechungen rein? Warum sind sie so vertrauensselig?
Es ist ein menschliches Bedürfnis, Vertrauen zu haben. Die Welt wäre schecklich, wenn wir einander nicht vertrauen könnten. Ein «Phishing»-Angriff ist nichts weiter als das Ausnutzen einer Vertrauenssituation. Das gab es schon lange vor E-Mails, dem Internet oder gar Computern.
«Es ist ein menschliches Bedürfnis, anderen zu vertrauen»
Was sich bei den Spam- und Phishing-Mails geändert hat, ist, dass die weit gestreuten Nachrichten, die früher mit «Liebe Frau oder Lieber Herr ...» anfingen, nun viel zielgerichteter geworden sind. Betrüger haben herausgefunden, dass solche Angriffe viel effizienter sind, wenn man dem Opfer massgeschneiderte Informationen ausspielt. Solch tiefgreifende Informationen lassen sich zum Beispiel über Social-Media-Kanäle finden.
Wie verhindert Google, dass es zu solchen Betrugsversuchen kommt?
Dafür haben wir das erweiterte Sicherheitsprogramm («Google Advanced Protection Program», Anm. d. Red.), das auf drei Pfeiler setzt: Erstens setzen wir dafür einen «Google Security Key» – einen physischen Schlüssel – voraus, der die Wahrscheinlichkeit stark reduziert, dass jemand über einen falschen Kanal Zugriff erhält.
Zweitens können nur Programme und Webseiten, die von Google verifiziert und als vertrauenswürdig befunden wurden, auf die Informationen unserer Nutzer zugreifen.
Und drittens unternehmen unsere eigenen Programme und Apps ihre eigenen Schritte: Gmail beispielsweise scannt automatisch E-Mail-Anhänge auf Schadsoftware. Und wenn jemand zum Beispiel vorgibt, dein Freund Mark zu sein, aber eine leicht abgeänderte E-Mail-Adresse verwendet, wird Gmail aktiv darauf aufmerksam machen, dass bei dieser Mail diesmal etwas leicht anders ist und man besonders vorsichtig sein sollte.
Wie stellen Sie die Sicherheit des Google-Logins über mehrere Plattformen sicher? Was ist, wenn man seinen Login fürs E-Mail-Konto, für den Thermostaten zu Hause oder in Zukunft gar für das «Google Car» verwendet?
Sie haben recht: Technologie wird immer wertvoller, wenn sie untereinander verknüpft ist. Das bringt natürlich neue Risiken mit sich. Wir bieten anderen Firmen an, dass ihre Nutzer auch hier ihr Google Login nutzen können. Ein Online-Shop muss sich keine eigenen Sicherheitsmassnahmen erarbeiten, er kann von unserer langjährigen Expertise und den Ressourcen von Google in dem Bereich profitieren.
Wir wollen Partner sein, gemeinsam Identifikation und Zugang verwalten – so reduziert sich das Risiko für alle Beteiligten. Das würde auch die Fälle reduzieren, bei denen ganze Datenbanken über Nutzer von kleinen und grossen Unternehmungen plötzlich im Internet publik werden.
Können wir uns als Nutzer auf eine bestimmte Art verhalten, um nicht zur Zielscheibe von Online-Angriffen zu werden?
Sicherlich schadet es nicht, wenn man sich mit Informationen über seine Verhältnisse zurückhält: Mit seinem Reichtum an Kryptowährungen in Foren anzugeben, überhaupt private Details auf seinen Social Media-Kanälen mit Unbekannten zu teilen, ist nicht ratsam.
Im Internet mit anderen in Kontakt zu treten, heisst mitunter natürlich auch, Informationen von sich preiszugeben. Und das wird dazu führen, dass Informationen auch von einem bestimmten Publikum mitgelesen werden – unweigerlich.
«Persönliche Details werden im Netz unweigerlich mitgelesen»
Anstatt also seine Informationen gut zu verstecken, würde ich eher empfehlen, die Zugriffe auf wichtige Konten zu schützen, wie beispielsweise mit dem vorhin erwähnten 3-Stufen-Programm. Wer sich exponiert fühlt oder auf Nummer sicher gehen will, dem bieten wir im Google Konto die Möglichkeit an, einen Sicherheits- und Privatsphäre-Test durchzuführen.
Haben Sie gute Ratschläge zur Sicherheit im Netz?
Es gibt natürlich ein paar gute Ratschläge, aber die Nutzer kriegen auch täglich viele schlechte Ratschläge erteilt. In Sicherheits-Fachkreisen reden wir oft von «FUD», «Fear, Uncertainty and Doubt», also Angst, Unsicherheit und Zweifel, die oft auch von den Medien im Bezug auf Internet-Sicherheit gestreut werden. Die aktuell spektakulärsten Sicherheitslücken sind nicht die Fälle, über die sich Nutzer die meisten Sorgen machen sollten.
Welchen Tipp geben Sie unseren Lesern?
Unsere Aufmerksamkeit gilt immer dem aktuell schlimmstmöglichen Sicherheits-Desaster, obwohl die grösste Gefahr eigentlich in folgenden drei Fehlverhalten liegt:
Erstens: Das Recyclen von Passwörtern über mehrere Plattformen hinweg.
Zweitens: Einem Angreifer direkt und freiwillig Informationen zu geben – wie beim Beispiel Phishing per E-Mail oder Telefon.
Drittens: Bereits vorhandene Sicherheits-Updates für seine Geräte und Programme nicht zu installieren.
Wenn Sie diese drei «No-Gos» verinnerlichen, ist damit schon sehr viel Sicherheit gewonnen. Das ist wichtiger, als sich gegen das gerade aktuelle «Sicherheitsdisaster des Tages» aus den Nachrichten zu wappnen.
Sicherheit im Internet: Die essentielle 7-Punkte-Checkliste
Sicherheit im Internet: Die essentielle 7-Punkte-Checkliste
Für die eigene Sicherheit im Netz ist man selbst verantwortlich. Einige einfache Schritte sorgen hier bereits für den richtigen Schutz. Wir zeigen Ihnen, welche Sicherheitchecks Sie regelmässig durchführen sollten:
Bild: iStock
1) Passwörter müssen regelmässig geändert werden.
Bild: iStock
Regelmässig sollten Sie zudem checken, ob Ihre Passwörter oder Ihre Accountdaten vielleicht kompromittiert wurden. Diese geht unter «Have I been pwned» (https://haveibeenpwned.com/).
Bild: Bluewin/Dirk Jacquemin
2) Von wo waren Sie überall eingeloggt? Dienste wie Facebook oder Google bieten Übersichtsseiten an, auf denen man sehen kann, wo man sich alles eingeloggt hat. Dazu gibt es dann meistens Infos wie die genutzte IP-Adresse oder den verwendeten Browser.
Bild: Bluewin/Dirk Jacquemin
3) Bei vielen Websites und Diensten muss man sich nicht direkt anmelden, stattdessen wird der Umweg über den Facebook- oder Google-Account genommen. Daher sollte bei diesen Zugriffsrechten regelmässig aufgeräumt werden. Was nicht genutzt wird, fliegt raus.
Bild: Bluewin/Dirk Jacquemin
4) Das gleiche Prinzip gilt für Apps auf dem Smartphones. Brauchen diese wirklich alle ihnen zugestandene Berechtigungen? Will man eine App nicht ganz löschen, kann man zumindest ihre Rechte einschränken.
Bild: Bluewin/Dirk Jacquemin
5) Wissen Sie, was alles gerade auf Ihrem PC aktiv ist? Der Task-Manager von Windows...
Bild: Bluewin/Dirk Jacquemin
...sowie die Aktivitätsanzeige von macOS geben Antwort
Bild: Bluewin/Dirk Jacquemin
6) Gefahr droht nicht nur von Hackern in fernen Ländern. Vielleicht macht sich der 15-jährige Sohn Ihrer Nachbarn ein Spass daraus, in fremde WLANs einzudringen. Daher sollten Sie regelmässig überprüfen, ob sich nicht Eindringlinge in Ihrem Netzwerk tummeln.
Bild: iStock
7) Schliesslich sind regelmässige Updates auf allen Geräten und bei aller Art von Software essentiell. Aktuelle Software ist der beste Schutz gegen jegliche Gefahren. Daher sollte wo immer möglich das automatische Updaten aktiviert werden oder ersatzweise regelmässig manuell nach Updates geschaut werden.
Gamescom hat begonnen: Es kriselt in der Welt der Zocker
Die Gamescom ist eröffnet: Wie auch in den letzten Jahren werden wieder hunderttausende Besucher erwartet. Doch es kriselt in der Welt Zocker.
21.08.2024
Nach langer Pause: Trump meldet sich mit Musk bei X zu Wort
Trump zurück auf X: Nach langer Abstinenz hat sich der Ex-Präsident Donald Trump wieder auf der Plattform zu Wort gemeldet und das gleich mit dem Eigentümer des Netzwerks.
13.08.2024
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen
Aktuell häufen sich Warnungen vor sogenannten Ping-Calls, besonders auf WhatsApp. Doch was steckt eigentlich dahinter?
22.02.2024
Gamescom hat begonnen: Es kriselt in der Welt der Zocker
Nach langer Pause: Trump meldet sich mit Musk bei X zu Wort
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen