Schwäbische Zeitung (Sigmaringen)
Google verschweigt Datenleck
Der Internetriese schwieg ein halbes Jahr über eine Datenpanne bei seinem Onlinenetzwerk Google Plus
BERLIN (dpa) - Daran, dass das Internet ein unsicherer Ort ist, hat man sich inzwischen gewöhnt, doch seit Tagen jagt ein Alarm den nächsten. Facebook entdeckte, dass bei fast 50 Millionen Profilen unbekannte Angreifer den vollen Zugriff hatten. Apple und Amazon mussten einen Bericht über chinesische SpionageChips zurückweisen, die sie angeblich in ihren Servern gefunden hätten. Der Westen warf Russlands Militärgeheimdienst vor, hinter großen Hackerangriffen zu stecken. Und jetzt also Google, wo beim verschlafenen Onlinenetzwerk Google Plus Profildaten jahrelang für App-Entwickler offenstanden.
Nun war Google Plus bereits seit Jahren nur noch eine Fußnote der Internetgeschichte, ein schnell gescheiterter Versuch, im „sozialen Web“auf Augenhöhe mit Facebook zu konkurrieren. Doch seit dem Start 2011 dürften sich dennoch Millionen Profile angesammelt haben. Und wenn Nutzer ihre Grundprofildaten wie Name, E-Mail-Adresse oder Alter mit Freunden geteilt haben, hatten auch App-Entwickler seit 2015 unkontrollierten Zugriff darauf. Noch in diesem Frühjahr fand Google rund 500 000 potenziell betroffene Profile. Daten zur Vergangenheit gibt es schlicht nicht.
Der Internetkonzern entdeckte und schloss das Datenleck bereits im März – und traf dann eine möglicherweise folgenschwere Entscheidung, die Sache für sich zu behalten. Google verweist darauf, dass es nicht möglich gewesen sei, die betroffenen Nutzer zu identifizieren, es keine Hinweise auf einen Missbrauch gebe und Verbraucher und App-Entwickler auch nichts hätten unternehmen können.
Doch der vergangene März war auch ein denkbar schlechter Zeitpunkt, um ein Datenleck zu entdecken: Gerade kam der FacebookSkandal um Cambridge Analytica ins Rollen. Und das „Wall Street Journal“bekam eine interne Analyse von Googles Rechts- und Politikexperten in die Hände, die darauf anspielt. Den Vorfall öffentlich zu machen hätte zur Folge, „dass wir in den Fokus zusammen oder sogar anstelle von Facebook geraten, obwohl wir im Skandal um Cambridge Analytica bisher unter dem Radar geblieben sind“, heißt es da. Damit wäre auch praktisch garantiert, dass GoogleChef Sundar Pichai vor dem Kongress aussagen müsste, warnen die Experten.
Die Analyse sei kein Faktor in der Entscheidung gewesen, das Datenleck nicht öffentlich zu machen, versicherte ein anonym gebliebener Beteiligter dem „Wall Street Journal“. Sie spiegele aber die Meinungsverschiedenheiten über den Umgang mit dem Fall wider. Pichai wurde übrigens auch so im Kongress vorgeladen – gemeinsam mit Facebook-Geschäftsführerin Sheryl Sandberg und Twitter-Chef Jack Dorsey. Er blieb der Anhörung zu Propagandakampagnen aus Russland im US-Wahlkampf vor einigen Wochen aber überraschend fern. War es, weil er sich hätte des Meineids schuldig machen können, wenn das Datenleck bei Google Plus unerwähnt geblieben wäre?
Dabei hatte sich gerade Google in den vergangenen Jahren als Saubermann in Sachen Cyber-Sicherheit mit einer Null-Toleranz-Politik bei Schwachstellen profiliert. „Project Zero“, ein firmeninternes Team von Sicherheitsforschern, durchforstet auch Software anderer auf der Suche nach Lücken – und gibt ihnen dann 90 Tage Zeit, sie zu stopfen, bevor es die Informationen öffentlich macht.
Die Vorgehensweise ist umstritten – „Project Zero“förderte aber schwerwiegende Schwachstellen wie die „Heartbleed“-Lücke in der vielgenutzten OpenSSL-Verschlüsselung zutage.