ZITAT DES TAGES
Googles Security-Expertin Parisa Tabriz betont im Gespräch, dass für die breite Masse Phishing ein größeres Problem als Meltdown und Spectre ist, und verrät, warum sie Antivirenprogramme nicht mag.
„Es gibt leider viele Tools, die mehr Risiko mit sich bringen, als sie Nutzen haben, weil sie einfach schlecht geschrieben sind.“
München – Langweilig dürfte Parisa Tabriz wohl eher selten werden: Sie ist nicht nur seit mehr als sechs Jahren federführend für die Sicherheit des Chrome-Browsers verantwortlich, sondern leitet auch das Project Zero – jenes Google-Team, das seit Jahren regelmäßig mit der Aufdeckung von spektakulären Sicherheitslücken für Schlagzeilen sorgt. Das passiert nicht immer zur Freude der davon betroffenen Unternehmen. So war es etwa ein Forscher aus diesem Team, der die unter den Namen Meltdown und Spectre bekannt gewordenen Sicherheitslücken in aktuellen Prozessoren als Erster aufgespürt hat – und damit Tabriz’ anderem Aufgabenbereich ganz gehörig Arbeit verschafft hat, wie die Sicherheitsexpertin im Gespräch mit dem STANDARD freimütig bekennt.
Die Folgen von Spectre
„Im Moment sind wir bei Chrome noch stark mit den Folgen von Meltdown und Spectre beschäftigt“, betont Tabriz. Dabei gehe es nicht zuletzt darum, dass die vorgenommenen Fehlerbereinigungen keine allzu negativen Auswirkungen auf die Performance des Browsers haben. Ganz lassen sich solche Effekte zwar nicht vermeiden, durch Optimierungen an anderer Stelle sollen die Einbußen für die Nutzer aber subjektiv nicht merkbar sein. Ganz generell betont die Sicherheitsexpertin, dass ausgeklügelte Attacken auf Hardwareebene zwar sehr spannend seien, für die breite Masse aber viel profanere Dinge eine wesentlich relevantere Bedrohung darstellen. PhishingAngriffe, bei denen es darum geht, sensible Daten wie Passwörter zu erheischen, würden nicht nur weiter zunehmen, sondern auch immer ausgeklügelter werden. Vor allem gezielte Attacken gegen einzelne Personen, das sogenannte „Spear-Phishing“, hätten mittlerweile ein sehr hohes Niveau erreicht. Solche Nachrichten seien für Laien kaum mehr von echten Mails zu unterscheiden, da sie sich öffentlich verfügbarer Informationen von LinkedIn, Facebook und Co bedienen, um die Zielperson in die Falle zu locken. Eine Einschätzung, die auch Mark Risher, zuständig für die Account- Sicherheit bei Google, teilt. Laut Risher führe der aktuelle Boom bei Kryptowährungen dazu, dass solche gezielten Angriffe derzeit stark zunehmen. Man könne etwa anhand von Gmail beobachten, dass Personen, die in sozialen Medien über Bitcoin diskutieren, wesentlich öfter Ziel für SpearPhishing-Attacken werden als andere – dies natürlich mit der Motivation, nach einem Einbruch das virtuelle Geld zu entwenden.
Welch großes Unterfangen es ist, ein Produkt wie Chrome sicher zu halten, verdeutlicht Tabriz mit einer Zahl: Der Google-Browser setzt sich mittlerweile aus mehr als zwei Millionen Zeilen Code zusammen. Hier keine Fehler zu machen sei praktisch unmöglich. Also habe man in den letzten Jah- ren viel investiert, um Bugs möglichst früh aufzuspüren. Das passiert zum Teil über automatisierte Tests, aber auch das Bug-BountyProgramm, mit dem ein finanzieller Anreiz für externe Sicherheitsforscher geschaffen wird, Fehler – unter temporärer Verschwiegenheit – direkt an Google zu melden.
Die Anti-Viren-Problematik
Keine sonderliche Begeisterung hegt Tabriz für Antivirensoftware: „Es gibt leider viele Tools, die mehr Risiko mit sich bringen, als sie Nutzen haben, weil sie einfach schlecht geschrieben sind.“Es gebe natürlich Ausnahmen, der Windows Defender etwa sei so eine, auch wenn das Project Zero in der Microsoft-Software ebenfalls bereits verheerende Lücken aufgedeckt hat. Eines der ersten großen Schwerpunktthemen des Project Zero war der Flash Player von Adobe, hier habe man eng mit Adobe zusammengearbeitet, um dessen Sicherheit zu verbessern. Trotzdem bleibt dieser bis heute ein problematischer Bereich für die Browser-Sicherheit – aber zumindest einer mit Ablaufdatum. Ende 2020 soll der Flash Player endgültig aus Chrome entfernt werden, ein Zeitrahmen, auf den man sich mit anderen Herstellern verständigt hat. Ob Tabriz diesen Tag herbeisehnt? „Oh ja. Sehr. Da wird es eine Party geben“, lässt die Google-Managerin keinerlei Zweifel an ihrer Meinung zu diesem Thema aufkommen. Die Reise zum Interview erfolgte auf Einladung von Google.