Der Fall Google+: Ende einer Illusion

Lange Zeit konnten Techkonzerne den Eindruck erwecken, die Sicherheit der von ihnen gehorteten Daten zu gewährleisten. Auch wenn Google betont, die Probleme bei G+ seien nicht gravierend, ist es mit dieser Illusion spätestens jetzt vorbei. Seien wir ehrlich: Den Datenkapitalismus gibt es nicht ohne Risiko. Ein Kommentar

Augen auf: Es gibt den Datenkapitalismus nicht ohne Risiko. – Gemeinfrei-ähnlich freigegeben durch unsplash.com h heyerlein [Zuschnitt: netzpolitik.org]

Berichte über Sicherheitsprobleme und Datenlecks bei Technologieunternehmen gehören in unserer digital vernetzen Welt zur Tagesordnung. Jetzt trifft es also Google, ausgerechnet im Jubiläumsjahr. Durch einen Software-Fehler war es hunderten externen Entwicklern lange Zeit möglich, Daten von Google+-Nutzern ohne deren Kenntnis oder Erlaubnis abzugreifen. Das Unternehmen betont in einer Stellungnahme, man habe keine Hinweise darauf, dass Unbefugte die Sicherheitslücke tatsächlich ausgenutzt hätten. Doch das ändert wenig, denn gesicherte Erkenntnisse, die auf das Gegenteil schließen lassen, kann Google auch nicht vorlegen.

Im Umgang mit der Sicherheitslücke beweist der „Don’t be evil“-Konzern, dass er dem massiv unter Druck geratenen Konkurrenten Facebook in Sachen Kaltschnäuzigkeit in nichts nachsteht: Bereits im Frühjahr bekam Google Wind von der offenen Schnittstelle, entschied sich aber aus taktischen Gründen, weder die Öffentlichkeit noch die Aufsichtsbehörden zu informieren. Man wollte Regulierern kurz vor dem Wirksamwerden der Datenschutzgrundverordnung keine Angriffsstelle bieten und in der Öffentlichkeit nicht in den Sog des Cambridge-Analytica-Skandals geraten, berichtet das Wall Street Journal unter Verweis auf interne Quellen.

Ohne die Recherche der Zeitung hätte Google den Vorfall vermutlich auch heute noch verschwiegen. In der Zwischenzeit hatten sich die Kalifornier PR-technisch vorbereitet: Eine Privatsphäre-Initiative wurde genauso angekündigt wie die Schließung des ohnehin verwaisten Netzwerks. Bei der medienwirksamen Präsentation neuer Produkte am heutigen Nachmittag erwähnten die Google-Verantwortlichen das Problem mit keiner Silbe.

Das nächste Datenleck kommt mit Sicherheit

So weit, so erwartbar. Google ist am Ende eben doch nur ein Unternehmen, das sein Gewinnstreben im Zweifelsfall über das öffentliche Interesse stellt. Schwerer wiegt da die Konfrontation mit einer anderen Realität, die vor lauter Google-Mystifizierung leicht in Vergessenheit gerät: Auch der Riese des Datenkapitalismus ist nicht unverwundbar. Selbst wenn das Malheur aufgrund der geringen Verbreitung von Google+ mit anderen Datenlecks quantitativ nicht mithalten kann: Mit diesem Fall verliert der Konzern den Nimbus der absoluten Sicherheit.

Wie jedem anderen IT-Unternehmen können auch Google Fehler passieren. Der Unterschied: Andere IT-Unternehmen sitzen nicht auf einem der wertvollsten Datenschätze der Welt. In allen Lebensbereichen sammelt der Konzern Informationen über uns: Websuche, Webbrowser, Video, Navigation, Werbung, Smartphones, Smart Home. Als Authentifizierungsdienstleister übernimmt Google zunehmend auch die Rolle als universaler Log-In-Dienst für alle möglichen anderen Anwendungen – und sammelt auch auf diesem Weg Daten. Auch wenn dass abstrakt klingt: Auf Googles Servern liegt unsere zu Daten geronnene Identität.

Menschen machen das unter der Bedingung mit, dass die über sie gespeicherten Informationen wenigstens sicher sind. Was Google weiß, dürfen Kriminelle längst nicht wissen. Mehr noch als in anderen Bereichen ist diese Sicherheit jedoch eine Illusion – nicht mal Google kann sie gewährleisten. Absolut sichere IT-Systeme existieren nicht und je mehr Daten ein Akteur sammelt, desto attraktiver ist er als Angriffssziel. Es gibt den Datenkapitalismus nicht ohne das Risiko, dass persönliche Informationen in die Hände von Kriminellen gelangen oder veröffentlicht werden – von den Gefahren, die er für Autonomie und Gerechtigkeit birgt, mal ganz abgesehen. Das nächste Datenleck kommt mit Sicherheit. Wer Wertschöpfung durch personenbezogene Daten als Zukunftsmodell preist oder Risiken kleinredet, weil es ja „nur um Werbung“ geht, nimmt das in Kauf.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

20 Ergänzungen

  1. Hmm, Ingo, bei aller Kritik: es ist gängige Praxis, dass intern entdecke und nicht ausgenutzte Sicherheitslücken gefixt und *nicht* gemeldet werden. Das ist überall so und es gibt durchaus gute Gründe für genau diese Praxis. Wenn du das ernsthaft einforderst, müsstest du es konsequenterweise überall einfordern und das Resultat wäre, dass die einschlägigen Akteure lieber aufhören, ihre internen Pentests zu machen, denn die Resultate wären durchgehend schädlich.

    1. Das Problem ist hier ja: Google weis nicht, ob nicht doch Menschen betroffen sind. Das dann zu verschweigen ist in meinen Augen nicht zu rechtfertigen.

  2. Ich zweifle, dass das das Argument entkräftet. Es ist sehr in unserem Interesse, dass dieses Nichtwissen nach Möglichkeit die Regel ist, ob bei Google oder anderswo, das fürs Sicherwissen notwendige Loggen würde datenschutztechnisch die schlechtere Alternative und drüber hinaus ein schönes Festplattenproduktionsprogramm sein. Man kann nicht das eine (Disclosure) und das andere (Datensparsamkeit) haben wollen, denn im konkreten Fall (und allen vergleichbaren) wird man hinterher weniger Sicherheit haben und keines von beiden kriegen.

  3. „Menschen machen das unter der Bedingung mit, dass die über sie gespeicherten Informationen wenigstens sicher sind.“ – Mitmachen? Wohl eher fügen in das Unvermeidliche und „Sicherheitslücken“ ändern daran auch nichts mehr. Zumal sich die Sicherheitslücken bei näherer Betrachtung als Features des Geschäftsmodells herausstellen und dann nur als „Sicherheitslücken“ verharmlost werden.

    „Was Google weiß, dürfen Kriminelle längst nicht wissen.“ – Was weiß Google über mich? Wie definieren wir „kriminell“? – Meine Meinung: Das was Google und seine Partner über mich wissen, sollte niemand wissen. Auch nicht Google & Co.

    1. d’accord. Was ändert das an meiner Aussage, dass eine der Bedingungen dafür, dass die Menschen das mitmachen, der Glaube ist, dass die Daten bei Google sicher sind?

      1. „Was ändert das an meiner Aussage, dass eine der Bedingungen dafür, dass die Menschen das mitmachen, der Glaube ist, dass die Daten bei Google sicher sind?“

        Es machen derzeit viele Millionen Menschen mit.
        Ist der Glaube an die Sicherheit ihrer Daten bei Google tatsächlich ein Beweggrund oder eine Bedingung für das Mitmachen für viele dieser Menschen?

        Mindestens für Benutzer aus Deutschland möchte ich das verneinen.
        Ich würde sogar behaupten, dass hier die Meisten davon ausgehen, dass sie prinzipiell keine Kontrolle darüber haben, welche Daten Google über sie sammelt und was damit geschieht.

        „Sicherheit meiner Daten“ ist derzeit kein Kriterium für die Benutzung von Google.

        Das entscheidende Pro-Argument für die Google-Benutzung dürfte Opportunismus sein. Schwer nachvollziehbare „Sicherheitslücken“ sind da bereits eingepreist.

        Wenn man amerikanischen Senatoren bei Befragungen von Facebook, Google, Apple etc. zuhört, dann gebe ich zu, dass dort eine andere Vorstellung von Sicherheit der eigenen Daten bei diesen Firmen zu herrschen scheint.

        1. Ich habe das Gefühl, du verwechselst hier Datenschutz und Datensicherheit. Ersteres meint den Schutz der Betroffenen vor Missbrauch der Daten durch den datenerhebenden und -verarbeitenden Akteur (in diesem Fall Google. Ich stimme dir zu, dass die Leute hier keine ausreichende Kontrolle haben – aber darum geht es in dem Text gar nicht). Letzteres meint den Schutz der Daten vor unbefugten Zugriffen durch Dritte – um dieses Thema, und nur um dieses, geht es in diesem Kommentar. Ich behaupte dabei nicht, dass Datensicherheit ein Pro-Argument dafür ist, dass die Leute dazu bewegt, das Datensammeln durch Google zu akzeptieren. Ich sage lediglich, dass die Illusion, die Daten seien dort wenigstens vor Kriminellen sicher, eine Vorraussetzung dafür ist.

  4. Ich finde es merkwürdig, dass in diesem Artikel mit keiner Silbe das Google-Projekt „Project Zero“ erwähnt wird:

    https://googleprojectzero.blogspot.com/

    Da betreibt Google öffentliche Security-Forschung, in der sie unter anderem auch Apple, Microsoft, etc. vor sich hertreiben, damit diese sich endlich um ihre Sicherheitsprobleme kümmern. Aber auch Mozilla und andere Open-Source-Projekte erhalten von Project Zero gutes Feedback. Natürlich immer mit Vorlaufzeit zum Beheben der Probleme, aber stets rigorose Veröffentlichung spätestens nach der Deadline, falls die Probleme nicht gefixt werden.

    Insgesamt also eine sehr gute Sache, von der wir alle profitieren.

    Aber: Irgendwie fehlt uns ein zweites „Project Zero“, das auch mal genauer bei Google selbst drauf schaut, und ebenfalls rigoros veröffentlicht, wenn Google sich nicht kümmert.

  5. „Das was Google und seine Partner über mich wissen, sollte niemand wissen. Auch nicht Google & Co.“. Google ist selbst die größte Gefahr. Da braucht es keine Datenlecks mehr. Hier konzentriert sich eine Machtfülle die keine Organisation auf sich vereinen sollte.

    1. ok, das haben wir hier im Blog ja oft genug geschrieben (sogar hier im Text) und auch konstruktive Lösungsvorschläge gemacht. Das ändert aber nichts an dem, was ich in dem Text hier sage, oder?

      1. Der Artikel sagt ja auch nichts Falsches. Will man lediglich den konkreten Fall beschreiben fehlen dem Artikel die Fakten. Welche Daten, welcher Umfang, wer hätte Zugang haben können, hat Google reagiert, hat Google informiert (Differenzierung), welche Konsequenzen zieht Google. Das alles muss man sich aus anderen Quellen an lesen.
        Will der Artikel hingegen eine netzpolitische Einschätzung abgeben, bleibt er viel zu trivial. Mit „Selbst Google macht mal Fehler“ und „Absolute Sicherheit ist eine Illusion“ wäre sein Inhalt schon hinreichend beschrieben.

      2. Habe mir den ganzen Artikel nochmal durchgelesen.

        Vermutlich passen einfach diese beiden Sätze (an denen ich mich reibe) nicht in den Kontext des Artikels.

        „Menschen machen das unter der Bedingung mit, dass die über sie gespeicherten Informationen wenigstens sicher sind.“

        „Was Google weiß, dürfen Kriminelle längst nicht wissen.“

        Wenn ich der Meinung bin, dass Googles Datensammlung zu einem unkalkulierbaren Risiko geworden ist, dann gibt es keine Bedingung unter der ich das Mitmache und dann hat das Ausschließen von Kriminellen irgendwas von überspezifischem Dementi.

  6. Das „Don’t be evil“ gilt schon
    seit Monaten nicht mehr.
    Das wurde aus den Richtlinien gestrichen …

  7. Auch vor den Datenkraken bekam nach Umzug, Hochzeit oder bei Nachwuchs flott Post oder Besuch von Gestalten, die zuvor unbekannt waren. Der letzte bekannte „Aufstand“ dagegen war bei der Volkszählung. Dann bekamen alle ein Piep- Blink in die Flossen und fertig.

    Dafür klappt hier das „Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere.“ nicht. Fühle mich echt sicher…..

  8. Sicherheit hat doch bei der ganzen Geschichte mit den sozialen Medien nie eine Rolle gespielt. Die Menschen haben sich in der Masse ohne das Ganze auch nur einmal zu hinterfragen angemeldet. Darauf angesprochen kommt die bekannte Antwort mit der Endung „nichts zu verbergen“.

    Für die Betreiber selber war Sicherheit auch nie ein „Problem“, denn das größte Sicherheitsrisiko war und ist grundsätzlich der Konzern / die Firma die den entsprechenden Dienst anbietet. Die machen das nicht aus sozialen Gründen, wie einem der Oberbegriff vorgaukeln soll, sondern aus knallharten finanziellen Interessen.

    Ich gebe zu: das ist keine neue Erkenntnis. Umso mehr bin ich erstaunt, das man im Bezug auf z.B. Google+ immer noch von Sicherheit redet. Die Sicherheit von der im allgemeinen geredet wird, im Bezug auf die sozialen Medien, die gab es nie, gibt es jetzt nicht und wird es auch nie geben. Wer sich dort anmeldet hat diesen Umstand auch anerkannt. Eventuell weil die meisten die Technik dahinter sowieso nicht verstehen, aber das macht es unterm Strich nicht besser. Abgewandelt könnte man auch sagen: Unwissenheit schützt vor Schaden nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.