„Kundendaten sind höchstes Gut“
Interview. Gerhard Eschelbeck ist beim Internetkonzern Google für Datenschutz und Datensicherheit zuständig. Der gebürtige Oberösterreicher über Hacker, Passwörter und Privatsphäre.
Die Presse: Mit wem reden wir eigentlich: Mit dem Sicherheitschef von Google oder dem der neuen Über-Holding Alphabet? Gerhard Eschelbeck: Ich bin Mitarbeiter von Google, aber ich bin für den gesamten Konzern zuständig, also auch für Alphabet.
Was ist denn schwieriger vor Hackerangriffen zu schützen: Google-Mail oder selbstfahrende Autos? Es geht um sehr verschiedene Techniken: einmal um die digitale Welt, einmal um die physikalische Welt. Bei Gmail sind wir seit vielen Jahren im Abwehren von Attacken sehr erfolgreich. Bei selbstfahrenden Autos, Robotern und beim Internet der Dinge (die Vernetzung von Kühlschrank, Kaffeemaschine bis zur Waschmaschine mit dem Internet, Anm.) steckt derzeit noch viel in der Forschung. Auch die Frage, wie man diese Bereiche am besten schützt.
In den USA haben Wissenschaftler bereits testweise über das Internet ein Auto gehackt und gebremst, Studenten der Universität von Alabama haben einen Herzschrittmacher gehackt und ihn ausgeschaltet – bringt die Vernetzung aller möglichen Geräte mit dem Internet nicht enorme Gefahren mit sich? Durchaus, hier haben die Unternehmen eine große Verantwortung. Aber es ist auch eine große Chance, weil wir die Möglichkeit haben, von Beginn an sehr viel zu gestalten. Wir können die Sicherheitssysteme von vornherein integrieren, wir müssen nicht später nachbessern und hoffen, dass der Nutzer ein Update durchführt. Die Verschlüsselung, die Authentifizierung – das alles muss ab der Markteinführung ein fixer Bestandteil sein. Damit haben wir viel weitergehende Möglichkeiten des Schutzes, als wenn man es später nachholen muss.
Die Schwachstelle ist ja immer der Benutzer. Man kann noch so gut verschlüsseln, wenn der Benutzer als Passwort 12345 hat, ist jeder Schutz sinnlos. Das Passwort ist mit Sicherheit eines der schwächsten Glieder der Kette. Aber auch hier tut sich jetzt gerade sehr viel durch die Einführung der Zweifach-Authentifizierung: ein Passwort und ein Code, den ich eingeben muss, der etwa per SMS aufs Handy kommt. Aktuell gibt es auch einen SecuritySchlüssel, den man über USB an den Computer anschließen kann. Damit wird bei der Benutzeranmeldung Phishing ausgeschlossen. Bei Google verwenden bereits alle Mitarbeiter diesen USB-Key. Diese Anwendung wird sich in den kommenden Jahren zweifellos weit verbreiten. In fünf, zehn Jahren können wir das Passwort vielleicht völlig ersetzen.
Durch den seit Jahren versprochenen Durchbruch der biometrischen Daten, also Fingerabdruck oder Retina-Scan? Das gibt es vielleicht als zweiten Faktor, nicht als Hauptfaktor. Ich glaube eher, dass sich kryptographische Lösungen per Hardware durchsetzen werden, nicht unbedingt biometrische Daten.
Vor wem schützen Sie die Google-Nutzer eigentlich: Vor Kriminellen oder vor Geheimdiensten? Wir unterscheiden bei Angreifern nicht. Wir schützen die Daten un- serer Nutzer vor unerlaubten Zugriffen, egal gegen wen.
Angeblich müssen die Geheimdienste ja nicht angreifen, Google gewährt ihnen laut vielen Gerüchten direkten Zugang zu den Daten. Das weise ich strikt zurück, das gibt es nicht. Es gibt keine Hintertür, keine Blackbox, keinen versteckten Zugriff. Der einzige Weg, um an Nutzerdaten zu kommen, ist per richterlicher Anfrage. Dafür gibt es einen ganz klaren Ablauf: Es gibt eine Anfrage vom Gericht, die von unserer Rechtsabteilung und unserer Sicherheitsabteilung bearbeitet wird. Wir veröffentlichen die Anzahl und Art dieser Anfragen pro Land jährlich im „Google Transparency Report“.
Unter dem Strich weiß Google mehr über mich als der Geheimdienst. Das ist für viele Nutzer mittlerweile zu einer erschreckenden Vorstellung geworden. Der User ist ja in Kontrolle, welche Daten wir über ihn haben, und welche Daten wir speichern. Wir haben gerade im vergangenen Jahr sehr intensiv daran gearbeitet, Transparenz zu schaffen und die Kontrollmöglichkeiten auszubauen. Der Benutzer kann über eine Einstellung auf seinem Google-Konto („Mein Konto“, Anm.) nicht nur sehen, welche Daten gespeichert werden, sondern auch einstellen, welche Daten überhaupt gespeichert werden sollen.
Das Image von Google hat in den vergangenen Jahren gelitten, man wurde als allwissende Datenkrake dargestellt. Das Firmenmotto „Don’t be evil“wollte man dem Unternehmen nicht mehr glauben. Das kommt daher, dass wir in der Vergangenheit vielleicht zu wenig über Datenschutz und Privatsphäre geredet haben. Wir haben viel für die Datensicherheit und für die Sicherheit der Nutzer im Internet getan, aber das möglicherweise zu wenig kommuniziert. Jetzt gibt es nicht nur Schutz und Sicherheit, wir reden auch darüber und sind sehr transparent. Sie selbst sind ja ein sehr privater Mensch. Ich habe Sie gegoogelt, alles was ich gefunden habe, waren zwei Einträge auf Facebook – einmal, dass Sie im Februar vergangenen Jahres 50 Jahre alt geworden sind, ein anderer, dass Sie im April 2014 Austerntauchen in einem Tank in Middlesex waren – , auf dem Facebook-Gegenstück Google Plus steht gar nichts über Sie. Das ist meine private Seite. Ich will mit meinem Privatleben nicht in der Öffentlichkeit stehen. Aber wenn eine Suchmaschine meine Vorlieben kennt und mir entsprechende Vorschläge machen kann, die ja nur ich sehe – damit habe ich kein Problem, das reich.
ist
hilf-
Das müssen Sie jetzt natürlich sagen. Finden Sie es nicht unangenehm, wenn ein Unternehmen, in dem Fall Google, so viel über Ihre privaten Vorlieben weiß? Da sind wir wieder bei den Einstellungen, die jeder Nutzer bei Google kontrollieren kann. Wenn der Nutzer das nicht will, kann er das jederzeit ausschalten. Wir geben dem Benutzer die Möglichkeit selbst zu entscheiden, was er uns über sich und seine Interessen bekannt geben will. Wenn er aber ein solches Service wie Google Now nützen will, muss er mehr Zugang zu seinen Daten gewähren.
Würden Sie auch Ihre privatesten Daten in der Cloud speichern? Ich bin ein sehr aktiver Benutzer von Google Drive, da liegen alle meine Dokumente, und auch meine Fotos. Bei Google arbeiten fast 600 Personen im Bereich Datenschutz und Datensicherheit, so gut kann eine Privatperson oder ein kleines Unternehmen seine eigene IT-Infrastruktur oder seinen Server nie schützen.
Bis jemand das Passwort hackt oder vielleicht ein Google-Mitarbeiter in Mountain View nachschaut, welche Daten jemand gespeichert hat. Bei Google kann man nur dann auf einen Account zugreifen, wenn der Inhaber um Hilfe oder Unterstützung anfragt. Wenn ein Mitarbeiter, der nicht mit einem Kunden in einem Supportfall zu tun hat, auf Daten zugreift – das bringt den Ausschluss aus dem Unternehmen, da sind wir sehr streng. Die Kundendaten sind unser höchstes Gut, den Mitarbeitern wird ab der ersten Arbeitswoche eingetrichtert, diese Daten zu schützen.
Bei vielen großen Unternehmen hat es bereits Hacks gegeben, bei denen Kreditkarten- oder Privatdaten kopiert wurden. Bei Google gab es vor fünf Jahren den letzten geglückten Angriff. Was hat man damals falsch gemacht? Dieser Einbruch war ein prägender Moment und hat das Unternehmen ganz maßgeblich verändert. Als eine Folge wurde das Security Team von 50 auf 300 Mitarbeiter aufgestockt. Wir haben viel in neue Techniken gesteckt und möglichen künftigen Gefahren vorgebaut. Momentan ist es nicht sehr einfach, sich bei uns einzuhacken. Ich sage das mit großem Selbstbewusstsein.
Das Hacken hat ja auch mit dem Angriff auf Sony eine ganz neue Dimension bekommen, solche Angriffe hat man bis dahin nicht gekannt. Die Muster sind alle ähnlich. Es geht oft über einen Mitarbeiter, von dem man ein Passwort ertrickst. Daher ist der Security-Key so ein wichtiges Element. Wenn ich nur auf ein Passwort setzen würde, könnte ich auch nicht gut schlafen. Aber mit dem Sicherheitsschlüssel, mit der ZweifachAuthentifizierung, ist es bedeutend sicherer.
Aber man hinkt doch immer der Entwicklung hinterher, weil man eine Lücke im System erst erkennt, wenn sie jemand ausgenützt hat? Der Trick ist, seiner Zeit voraus zu sein. Wir arbeiten gerade daran, was in eineinhalb, zwei Jahren an Gefahren auf uns zukommen könnte. Dagegen schützen wir unsere Systeme schon jetzt.
Was kommt denn? Es wird sehr viel in Richtung Vernetzung gehen, die Handys werden ein großes Thema werden, das Internet der Dinge – aber ich bitte um Verständnis, dass ich darauf nicht zu detailliert eingehen kann.
Wann haben Sie eigentlich das letzte Mal ein gefälschtes E-Mail bekommen, in dem eine angebliche Bank Ihre Zugangsdaten wollte oder ein Nigerianer um Hilfe bat? Das passiert immer wieder. Aber ich bin mir recht sicher, dass ich darauf nicht hereinfalle.
ist seit 2014 IT-Sicherheitschef bei Google und zuständig für Datenschutz und Datensicherheit. Seine Abteilung hat knapp 600 Mitarbeiter. Der gebürtige Oberösterreicher hat bereits als Student in Linz ein Start-up gegründet, das später vom IT-Sicherheitsunternehmen Mc Afee gekauft wurde. Anschließend arbeitete Eschelbeck bei den IT-Sicherheitsfirmen Qualys und Sophos, bevor er zu Google wechselte.