Nicht die Nutzer, sondern die Branche muss für die Onlinesicherheit sorgen – Ein Gastbeitrag von Stephan Micklitz
24. Juli 2019
Das Thema Internetsicherheit ist komplex und für die meisten Nutzer* nicht einfach zu durchschauen. Zu schnell wechseln die Bedrohungsszenarien und die Strategien der Cyberkriminellen. Es liegt in der Verantwortung der IT-Branche, Nutzerdaten zu schützen, schreibt Stephan Micklitz, Direktor des Google Safety Engineering Center in München.
Immer wieder erschüttern Nachrichten von Datendiebstählen das Vertrauen der Nutzer in die Sicherheit des Internets. Oft landen die geklauten Zugangsdaten in Datenbanken von Cyberkriminellen, die man zuhauf online findet. Als Experten vor einigen Jahren sechs Wochen lang das World Wide Web durchforsteten, fanden sie 3,5 Milliarden unterschiedliche Nutzername-Passwort-Kombinationen in diesen Datenbanken.
Natürlich können Nutzer Vorsichtsmaßnahmen treffen, um sich vor Datenklau zu schützen – die meisten aber sind mit dem Thema Onlinesicherheit überfordert. Das liegt einerseits an der schnellen Entwicklung der Informationstechnologie in den vergangenen 40 Jahren und andererseits daran, dass Cyberkriminelle ständig neue Wege finden, Sicherheitsmaßnahmen zu umgehen. Selbst versierte Internetnutzer tun sich bisweilen schwer, mit den Entwicklungen Schritt zu halten.
Wir bei Google glauben, dass IT-Unternehmen die Sicherheit des Internets gewährleisten müssen. Unsere Sicherheitsteams überprüfen die Konten unserer Nutzer permanent anhand von rund 100 Variablen nach verdächtigen Aktivitäten. Wollen Nutzer E-Mails senden oder Webseiten besuchen, schützen wir ihre Daten mit Verschlüsselungstechnologien wie HTTPS und Transport Layer Security (encryption in transit). Inaktive Daten werden in der Google Cloud standardmäßig verschlüsselt (encryption at rest). Weltweit beschäftigen wir mehrere hundert Sicherheitsexperten, die täglich die Sicherheit unserer Produkte und unserer Infrastruktur verbessern. Nur große Unternehmen können ihre Cloud-Produkte mit vergleichbaren Investitionen schützen, weshalb ich Anwendern nur raten kann, bei der Entscheidung für einen Anbieter auf diesen Punkt zu achten.
Während systemseitige Verbesserungen allen Nutzern zugutekommen, können Internetunternehmen mit speziellen Angeboten unterschiedliche Nutzergruppen mit unterschiedlichen Voraussetzungen und Sicherheitsbedürfnissen ansprechen. Dazu gehört zum Beispiel ein guter Passwortmanager. Er hilft auf zweierlei Weise. Zum einen entgehen Nutzer damit der Gefahr, ihre Passwörter versehentlich auf Betrugswebseiten von Cyberkriminellen einzugeben. Im Gegensatz zu Menschen erkennt ein Passwortmanager die richtige Webseite automatisch anhand der URL-Adresse. Zum anderen machen es Passwortmanager Nutzern leicht, unterschiedliche Passwörter für unterschiedliche Webseiten zu verwenden. Viele Nutzer gefährden heute ihre Sicherheit, weil sie sich die Vielzahl an Passwörtern nicht merken können und deshalb das gleiche Passwort für mehrere Webseiten verwenden. Mit einem Passwortmanager entfällt dieser Grund, Passwörter wiederzuverwenden.
Daneben setzen Internetunternehmen schon seit Jahren auf die Zwei-Faktor-Authentifizierung, um die Sicherheit der Nutzerkonten zu erhöhen. Bei diesen Verfahren müssen Nutzer ihre Identität nicht nur per Passwort, sondern zusätzlich mit einer weiteren Komponente nachweisen, also zum Beispiel einem SMS-Code. Auch bei Banken und Kreditkartenunternehmen ist dieses Verfahren heute oftmals üblich.
Führende Onlineunternehmen setzen vermehrt auf die Zwei-Faktor-Authentifizierung mit Sicherheitsschlüsseln. Dabei handelt es sich um NFC-, Bluetooth-Transmitter oder USB-Sticks, die bei der Anmeldung in einem System zusätzlich zum Passwort erforderlich sind. Vor allem im Kampf gegen das Phishing, bei dem Angreifer mithilfe gefälschter Webseiten oder E-Mails an die Zugangsdaten von Nutzern zu gelangen versuchen, haben sich Sicherheitsschlüssel bewährt. Durch ihren Gebrauch verändert sich das Bedrohungsszenario radikal: Ein Konto, das nur mit einem Passwort geschützt ist, können Cyberkriminelle theoretisch von überall auf der Welt knacken; die Benutzung eines Sicherheitsschlüssels schränkt den Kreis möglicher Angreifer auf Personen ein, die sich in der Nähe des Opfers befinden und in den Besitz seines Schlüssels gelangen können. Die FIDO-Allianz (FIDO steht für fast identity online), der neben Google auch Zahlungsdienstleister und andere IT-Unternehmen angehören, hat dafür 2014 einen lizenzfreien, offenen Standard namens „U2F“ oder „Universal Second Factor“ veröffentlicht. Übrigens setzt Google solche Sicherheitsschlüssel seit einigen Jahren im eigenen Unternehmen ein und hat damit bemerkenswerte Erfolge erzielt.
Wichtig bei all diesen Lösungen: Sie erhöhen nicht nur die Sicherheit der Nutzer, sie sind auch bequem und einfach zu verwenden. Nur wenn wir die richtige Balance zwischen Datensicherheit und Nutzerfreundlichkeit finden, werden unsere Nutzer die Möglichkeiten, die wir ihnen anbieten, auch annehmen. Unser Ziel war es deshalb von Anfang an, das Sicherheitsniveau aller Nutzer zu erhöhen, ohne dadurch die Nutzerfreundlichkeit einzuschränken. Bei Sicherheitsschlüsseln ist dieses Gleichgewicht gegeben. Sie sind leicht zu benutzen, zu ersetzen und aufzubewahren. Und wer sie sicher bei sich tragen will, braucht sie nur an seinen Schlüsselbund zu hängen.
Deutschland und insbesondere das Entwicklungszentrum in München spielt bei der Entwicklung von Googles Sicherheit und Datenschutz eine führende Rolle. Schon 2009 entschied Google, die Entwicklung von Datenschutz- und Sicherheitsprodukten in der bayerischen Landeshauptstadt anzusiedeln – auch deshalb, weil die Diskussion um den Schutz persönlicher Daten in Deutschland früher als in anderen Ländern begann. Um dieses Engagement zu erweitern, haben wir hier im Mai 2019 das Google Safety Engineering Center, ein neues Zentrum für Datenschutz und Onlinesicherheit, gegründet. Dieses Zentrum wird wachsen: Die Zahl der Ingenieure, die in München in diesem Aufgabenbereich arbeiten, wird sich bis zum Ende des Jahres von 100 auf 200 verdoppeln.
*Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestotrotz beziehen sich die Angaben auf Angehörige beider Geschlechter.
Stephan Micklitz ist als Entwicklungsleiter für Datenschutz und Sicherheit bei Google Germany tätig. Er fing 2007 an, dort zu arbeiten, und war einer der ersten Mitarbeiter am Münchner Standort. Zudem ist er als einer der Leiter für das Google Safety Engineering Center verantwortlich, das im Mai in München eröffnet worden ist. Ebenso ist Herr Micklitz Teil der Projektgruppe acatech HORIZONTE Cyber Security.
Die Beiträge im HORIZONTE logbuch geben die Meinungen und Experteneinschätzungen der Autorinnen und Autoren wieder und nicht Positionen von acatech – Deutsche Akademie der Technikwissenschaften.