![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Google gestand k\u00fcrzlich ein, Kennw\u00f6rter von G Suite-Konten versehentlich im Klartext gespeichert zu haben. Zudem scheint jetzt eine Untersuchung auf Verletzung der Datenschutzgrundverordnung (DSGVO) bei irischen Aufsichtsbeh\u00f6rden anzulaufen. Weiterhin sind mir zwei Untersuchungen von Google und einer Universit\u00e4t bez\u00fcglich Kontensicherheit und Hacker as a service in die Finger gefallen. <\/p>\n
<\/p>\n
Es sind zwar unabh\u00e4ngige Themen, ich fasse diese aber in einem Blog-Beitrag zusammen, da diese die Datensicherheit und den Datenschutz tangieren. <\/p>\n
Wir haben nun fast ein Jahr die Datenschutzgrundverordnung<\/a> (DSGVO) oder General Data Protection Regulation (GDPR) innerhalb der EU. In einem l\u00e4ngst \u00fcberf\u00e4lligen Schritt wird Google nun einer GDPR-Untersuchung des irischen Datenschutzbeauftragten unterzogen, wie The Verge hier schreibt<\/a>.<\/p>\n Die Untersuchung wurde durch eine Beschwerde der Entwickler des Brave-Browsers ausgel\u00f6st. Die Datensch\u00fctzer sollen untersuchen, wie Google mit personenbezogenen Daten in seinem Ad Tracking-System umgeht. Brave argumentiert, dass Google w\u00e4hrend des Ad-Tracking-Prozesses gegen die GDPR-Vorschriften verst\u00f6\u00dft, indem es personenbezogene Daten an Drittunternehmen weitergibt.<\/p>\n Googles G-Suite bietet ja verschiedene Funktionen f\u00fcr zahlende Unternehmenskunden, wobei es wohl 5 Millionen Kunden gibt. Techcrunch berichtet hier<\/a>, dass Google einen Fehler in der Speicherung von Kennw\u00f6rtern f\u00fcr Konten dieser G Suite eingestehen musste. Seit 2005 wurden wohl Kennw\u00f6rter f\u00fcr einige Konten unbeabsichtigt im Klartext gespeichert. <\/p>\n Google legte das Ganze wohl letzten Dienstag offen, weigerte sich aber, genau zu sagen, wie viele Unternehmenskunden betroffen waren. \"Wir haben k\u00fcrzlich eine Teilmenge unserer Kunden der Enterprise G Suite dar\u00fcber informiert, dass einige Passw\u00f6rter unverschl\u00fcsselt in unseren verschl\u00fcsselten internen Systemen gespeichert wurden\", sagte Google Vice President of Engineering Suzanne Frey.<\/p>\n Passw\u00f6rter werden typischerweise mit einem Hash-Algorithmus verschl\u00fcsselt, um zu verhindern, dass sie von Menschen gelesen werden. G-Suite Administratoren sind in der Lage, neue Benutzerpassw\u00f6rter f\u00fcr Unternehmensbenutzer manuell hochzuladen, zu setzen und wiederherzustellen. Aber hat wohl im April festgestellt, dass Funktionen zur Passworteinstellung und -wiederherstellung f\u00fcr seine an Unternehmen gerichtete G Suite seit der Implementierung der im Jahr 2005 fehlerhaft war und eine Kopie des Passworts unsachgem\u00e4\u00df im im Klartext gespeichert wurde.<\/p>\n Google hat Anfang dieses Monats einen zweiten Sicherheitsfehler entdeckt, als es eine Fehleranalyse in Funktionen zur Anmeldung neuer Kunden der G-Suite untersuchte. Seit Januar wurde wohl eine Teilmenge von nicht gehashten G-Suite-Passw\u00f6rtern bis zu zwei Wochen lang unsachgem\u00e4\u00df auf seinen internen Systemen speichert. Diese Systeme, so Google, seien nur f\u00fcr eine begrenzte Anzahl von autorisierten Google-Mitarbeitern zug\u00e4nglich, sagte das Unternehmen.<\/p>\n \"Um das klarzustellen, diese Passw\u00f6rter blieben in unserer sicheren verschl\u00fcsselten Infrastruktur\", sagte Frey. \"Dieses Problem wurde behoben und wir haben keine Beweise f\u00fcr unsachgem\u00e4\u00dfen Zugriff auf oder Missbrauch der betroffenen Passw\u00f6rter gefunden.\"<\/p>\n Gmail-Konten, die auch von Privatnutzern kostenlos verwendet und bei jedem Android-Ger\u00e4t angelegt werden, waren \u00fcbrigens nicht betroffen. Google hat diese Schwachstellen in seiner G-Suite entfernt.<\/p>\n Im Google Security Blog findet sich ein interessanter Artikel<\/a> mit Erkenntnissen zum Risiko, dass Google-Konten durch Dritte gekapert werden. Jeden Tag sch\u00fctzt Google Benutzerkonten vor Hunderttausenden von Angriffen, die den Zugang knacken wollen. Die meisten Angriffe stammen von automatisierten Bots mit Zugriff auf Passwortlisten, die \u00fcber Hacks Dritter erbeutet wurden. Hinzu kommen Phishing-Versuche und gezielte Angriffe. <\/p>\n Anfang 2019 Jahres habt Google einen Ansatz vorgeschlagen, wie nur f\u00fcnf einfache Schritte wie das Hinzuf\u00fcgen einer Recovery-Rufnummer dazu beitragen k\u00f6nnen, dass Konten vor einem Hijacking sicher sind. Das wollten die Sicherheitsforscher in der Praxis beweisen. Daher hat sich Google mit mit Forschern der New York University und der University of California, San Diego, zusammengetan. Ziel war es, herauszufinden, wie effektiv die grundlegende Kontohygiene ist, um Konten-Hijacking zu verhindern. Die einj\u00e4hrige Studie \u00fcber wide-scale Angriffe und gezielte Angriffe wurde auf The Web Conference<\/a> vorgestellt.<\/p>\n Die Studie zeigt, dass das einfache Hinzuf\u00fcgen einer Recovery-Telefonnummer zu einem Google-Konto bis zu 100% der automatisierten Bots, 99% der Bulk-Phishing-Angriffe und 66% der gezielten Angriffe blockieren kann, die w\u00e4hrend der Untersuchung aufgetreten sind. Details lassen sich bei Interesse hier<\/a> nachlesen.<\/p>\n Interessante Geschichte: Es gibt ja angeblich 'Miet-Hacker', sprich Angebote von Hackern als Dienstleistung (Hacker as a service). Auftraggeber k\u00f6nnen diese dann gegen Bezahlung f\u00fcr verschiedene Dienstleistung anmieten. Und wo wird am meisten betrogen? Im zwielichtigen Gewerbe, wo man Betrug schlecht anzeigen kann. <\/p>\n Online verf\u00fcgbare Dienstleistungen (Hacker-for-hire) sind meist Betrug und ineffektiv. Das ergaben neuer Forschungen die von Google und Akademikern der University of California, San Diego, vorgestellt wurden.<\/p>\n \"Mit einzigartigen Online-K\u00e4uferpers\u00f6nlichkeiten haben wir uns direkt mit 27 solchen Anbietern von Hacking-Diensten in Verbindung gesetzt und sie gefragt, ob sie Opfer-Accounts unserer Wahl gef\u00e4hrden k\u00f6nnten\", sagten die Forscher.<\/p>\n Diese Opfer wiederum waren \"Honey Pot\"-Gmail-Konten, die in Abstimmung mit Google betrieben wurden. Ziel war es, wichtige Interaktionen mit dem 'Opfer' sowie mit anderen gef\u00e4lschten Aspekten ihrer von den Wissenschaftlern erstellten Online-Pers\u00f6nlichkeiten aufzuzeichnen (z.B. Business Webserver, E-Mail-Adressen von Freunden oder Partnern)\".<\/p>\n Ergebnis der Studie: Von den 27 kontaktierten Hacking-Diensten haben10 nie auf die Anfragen geantwortet. Es gab 12 Antworten, aber diese Dienste haben nie wirklich versucht, einen Angriff durchzuf\u00fchren. Von den 12, die geantwortet, aber nie irgendwelche Angriffe gestartet haben, teilten neun mit, dass sie nicht mehr Gmail-Konten hacken w\u00fcrden. Die anderen drei Dienste scheinen rein auf Betrug aus zu sein. <\/p>\n Lediglich f\u00fcnf kontaktierte Dienste f\u00fchrten zu Angriffen gegen die Test Gmail-Konten. Insgesamt eine magere Ausbeute aus Sicht der Auftraggeber. Bei Interesse, ZDNet.com hat einen ausf\u00fchrlicheren Artikel zum Thema<\/a> (Englisch) verfasst. Erg\u00e4nzung: Gerade gesehen, dass meine Redakteurin bei heise diesen deutschsprachigen Beitrag<\/a> ver\u00f6ffentlicht hat.<\/p>\n","protected":false},"excerpt":{"rendered":" Google gestand k\u00fcrzlich ein, Kennw\u00f6rter von G Suite-Konten versehentlich im Klartext gespeichert zu haben. Zudem scheint jetzt eine Untersuchung auf Verletzung der Datenschutzgrundverordnung (DSGVO) bei irischen Aufsichtsbeh\u00f6rden anzulaufen. Weiterhin sind mir zwei Untersuchungen von Google und einer Universit\u00e4t bez\u00fcglich Kontensicherheit … Weiterlesen Passw\u00f6rter der G-Suite im Klartext gespeichert<\/h2>\n
Google: Konten-Hygiene verhindert Hijacking<\/h2>\n
Hacker as a service: Mehr Betrug als Substanz <\/h2>\n