Tipps vom Experten

Google-Sicherheitschef Mark Risher: «Diese drei Fehler sind unverzeihlich»

Pascal Landolt

23.10.2018

Mark Risher ist Sicherheitsexperte bei Google und gibt der «Bluewin»-Leserschaft Tipps für ihre Sicherheit im Internet.
zvg

Mark Risher ist bei Google Chef der Online-Betrugsabteilung. Im exklusiven «Bluewin»-Interview erklärt der Sicherheitsexperte, wie sich Spam-Mails in den letzten Jahren verändert haben – und er verrät drei simple Tricks, wie Nutzer ihre Privatsphäre im Internet schützen können.

Mark Risher arbeitet als «Director of Product Management» am Google-Hauptsitz in Mountain View, Kalifornien. Dort ist er verantwortlich für Missbrauchsbekämpfung im Internet und den Google Login – also das Eingangsportal der Nutzer zu den Google-Diensten. Deshalb beschäftigt er sich täglich mit dem Schutz vor Cyber-Angriffen aller Art. Für «Bluewin» stand er im Vorfeld des Schweizer Digitaltags am 25. Oktober Rede und Antwort.

«Bluewin»: Herr Risher, wie viele ihrer eigenen Passwörter kennen Sie auswendig?

Mark Risher (lacht): Das versuche ich gar nicht erst, denn für solche Aufgaben ist das menschliche Gehirn tatsächlich nicht geschaffen. Deshalb empfehle ich grundsätzlich, dafür einen Passwort-Manager zu nutzen.

Sind Passwörter noch immer der sicherste Schutz eines Online-Kontos?

Weder der sicherste noch der beste – aber sie sind das, was die meisten Webseiten und Online-Services nutzen. Darum sind sie nach wie vor sehr verbreitet. Wir bei Google versuchen nun, diese Passwörter sicherer zu machen.

Beispiel einer Multi-Faktor-Authentifizierung (MFA) bei Google-Diensten: Ein Login lässt sich per Klick auf dem Handy bestätigen.
Google

Also zusammengefasst: Passwörter, ja – aber keine, die so simpel sind, dass man sich noch daran erinnern kann?

Passwörter sind momentan noch weit verbreitet. Also müssen wir damit arbeiten. Unser Job ist es, die Systeme hinter den Passwörtern sicherer zu machen. Bei einem Google-Login ist es ja schon so, dass dein Passwort alleine dich noch nirgends hinbringt: Auch wenn jemand deine Mail-Adresse, dein Passwort oder deine Telefonnummer kennt, reicht das nicht, um auf deine Daten zuzugreifen.

Reden Sie hier über die immer weiter verbreitete 2-Faktor-Authentifizierung?

Ja, aber das bedeutet nicht unbedingt den klassischen 6-Ziffer PIN-Code, der automatisch auf das Handy geschickt wird – das ist nur eine mögliche Form. Das Ziel muss sein, diesen zweiten Schritt für die Nutzer so angenehm wie möglich zu machen und dabei unberechtigte Zugriffe auszusperren.

«Was für mich aufwändig ist, muss auch für Hacker schwierig sein – oder?»

Faszinierend ist doch, dass Nutzer oft denken, dass das, was für sie selbst mit mehr Aufwand verbunden ist, auch sicherer sei. Beispielsweise, dass das Abtippen eines 6-stelligen Pins sicherer sei, als eine automatische Sicherheitsanfrage auf seinem Smartphone per Tastendruck zu bestätigen. Das tönt zwar nachvollziehbar, ist aber nicht richtig.

Von welchen Gefahren sprechen wir denn überhaupt? Wie tiefgreifend kann ein Online-Angriff durch Unberechtigte sein?

Unglücklicherweise können Angreifer mit vorhandenen Informationen immer mehr anfangen. Der Betroffene denkt ja zuerst fast immer an finanzielle Transaktionen – dass also jemand Geld von einem E-Banking-Konto abzweigt.

Es geht aber weiter: Je mehr Informationen ein Angreifer über sein Opfer hat, desto besser kann er sich im Internet auch als dieses Individuum ausgeben – und mit diesem Wissen auch andere Menschen manipulieren. Google bietet Lösungen an, um die Nutzer auf solche Gefahren hinzuweisen.




Sie sprechen das Manipulieren von Menschen oder «Social Engineering» im Internet an: Das erinnert an die Spam-Flut mit den «Nigerianischen Prinzen», die es seit der Erfindung der E-Mail gibt. Warum fallen noch immer Menschen auf E-Mails mit solchen Versprechungen rein? Warum sind sie so vertrauensselig?

Es ist ein menschliches Bedürfnis, Vertrauen zu haben. Die Welt wäre schecklich, wenn wir einander nicht vertrauen könnten. Ein «Phishing»-Angriff ist nichts weiter als das Ausnutzen einer Vertrauenssituation. Das gab es schon lange vor E-Mails, dem Internet oder gar Computern.

«Es ist ein menschliches Bedürfnis, anderen zu vertrauen»

Was sich bei den Spam- und Phishing-Mails geändert hat, ist, dass die weit gestreuten Nachrichten, die früher mit «Liebe Frau oder Lieber Herr ...» anfingen, nun viel zielgerichteter geworden sind. Betrüger haben herausgefunden, dass solche Angriffe viel effizienter sind, wenn man dem Opfer massgeschneiderte Informationen ausspielt. Solch tiefgreifende Informationen lassen sich zum Beispiel über Social-Media-Kanäle finden.

Wie verhindert Google, dass es zu solchen Betrugsversuchen kommt?

Dafür haben wir das erweiterte Sicherheitsprogramm («Google Advanced Protection Program», Anm. d. Red.), das auf drei Pfeiler setzt: Erstens setzen wir dafür einen «Google Security Key» – einen physischen Schlüssel – voraus, der die Wahrscheinlichkeit stark reduziert, dass jemand über einen falschen Kanal Zugriff erhält.

Zweitens können nur Programme und Webseiten, die von Google verifiziert und als vertrauenswürdig befunden wurden, auf die Informationen unserer Nutzer zugreifen.

Und drittens unternehmen unsere eigenen Programme und Apps ihre eigenen Schritte: Gmail beispielsweise scannt automatisch E-Mail-Anhänge auf Schadsoftware. Und wenn jemand zum Beispiel vorgibt, dein Freund Mark zu sein, aber eine leicht abgeänderte E-Mail-Adresse verwendet, wird Gmail aktiv darauf aufmerksam machen, dass bei dieser Mail diesmal etwas leicht anders ist und man besonders vorsichtig sein sollte.

Beispiel einer proaktiven Sicherheitsmeldung von Google: «Vorsicht – dein Bekannter schreibt von einer neuen Mail-Adresse aus. Stelle sicher, dass deine Antwort wirklich an die richtige Person geht.»
Google

Wie stellen Sie die Sicherheit des Google-Logins über mehrere Plattformen sicher? Was ist, wenn man seinen Login fürs E-Mail-Konto, für den Thermostaten zu Hause oder in Zukunft gar für das «Google Car» verwendet?

Sie haben recht: Technologie wird immer wertvoller, wenn sie untereinander verknüpft ist. Das bringt natürlich neue Risiken mit sich. Wir bieten anderen Firmen an, dass ihre Nutzer auch hier ihr Google Login nutzen können. Ein Online-Shop muss sich keine eigenen Sicherheitsmassnahmen erarbeiten, er kann von unserer langjährigen Expertise und den Ressourcen von Google in dem Bereich profitieren.

Wir wollen Partner sein, gemeinsam Identifikation und Zugang verwalten – so reduziert sich das Risiko für alle Beteiligten. Das würde auch die Fälle reduzieren, bei denen ganze Datenbanken über Nutzer von kleinen und grossen Unternehmungen plötzlich im Internet publik werden.

Können wir uns als Nutzer auf eine bestimmte Art verhalten, um nicht zur Zielscheibe von Online-Angriffen zu werden?

Sicherlich schadet es nicht, wenn man sich mit Informationen über seine Verhältnisse zurückhält: Mit seinem Reichtum an Kryptowährungen in Foren anzugeben, überhaupt private Details auf seinen Social Media-Kanälen mit Unbekannten zu teilen, ist nicht ratsam.

Im Internet mit anderen in Kontakt zu treten, heisst mitunter natürlich auch, Informationen von sich preiszugeben. Und das wird dazu führen, dass Informationen auch von einem bestimmten Publikum mitgelesen werden – unweigerlich.

«Persönliche Details werden im Netz unweigerlich mitgelesen»

Anstatt also seine Informationen gut zu verstecken, würde ich eher empfehlen, die Zugriffe auf wichtige Konten zu schützen, wie beispielsweise mit dem vorhin erwähnten 3-Stufen-Programm. Wer sich exponiert fühlt oder auf Nummer sicher gehen will, dem bieten wir im Google Konto die Möglichkeit an, einen Sicherheits- und Privatsphäre-Test durchzuführen.

Google bietet mit «Titan» einen USB-Schlüssel zum sicheren Login an.
Google

Haben Sie gute Ratschläge zur Sicherheit im Netz?

Es gibt natürlich ein paar gute Ratschläge, aber die Nutzer kriegen auch täglich viele schlechte Ratschläge erteilt. In Sicherheits-Fachkreisen reden wir oft von «FUD», «Fear, Uncertainty and Doubt», also Angst, Unsicherheit und Zweifel, die oft auch von den Medien im Bezug auf Internet-Sicherheit gestreut werden. Die aktuell spektakulärsten Sicherheitslücken sind nicht die Fälle, über die sich Nutzer die meisten Sorgen machen sollten.

Welchen Tipp geben Sie unseren Lesern?

Unsere Aufmerksamkeit gilt immer dem aktuell schlimmstmöglichen Sicherheits-Desaster, obwohl die grösste Gefahr eigentlich in folgenden drei Fehlverhalten liegt:

Erstens: Das Recyclen von Passwörtern über mehrere Plattformen hinweg.

Zweitens: Einem Angreifer direkt und freiwillig Informationen zu geben – wie beim Beispiel Phishing per E-Mail oder Telefon.

Drittens: Bereits vorhandene Sicherheits-Updates für seine Geräte und Programme nicht zu installieren.

Wenn Sie diese drei «No-Gos» verinnerlichen, ist damit schon sehr viel Sicherheit gewonnen. Das ist wichtiger, als sich gegen das gerade aktuelle «Sicherheitsdisaster des Tages» aus den Nachrichten zu wappnen.

Mark Risher sieht Online-Sicherheit pragmatisch.
Google

Sicherheit im Internet: Die essentielle 7-Punkte-Checkliste

Zurück zur Startseite