Hier in diesem Beitrag geht es mir nicht darum, mit dem Finger auf jemanden zu zeigen. Von Seiten des Betreibers ist eigentlich alles korrekt gelaufen. Dieser Vorfall beschreibt, was passieren kann, wenn man einmal einen kleinen Fehler macht. Unser Leser André hat uns geschrieben. Sein Nachname ist uns bekannt, aber wir verzichten hier auf die Nennung, um ihm den Spott zu ersparen. André teilte uns mit, dass er sich vor einigen Monaten für eine sicherere Login-Methode bei Google freigeschaltet hatte: die 2-Step-Verification. Dann hat er sich ausgesperrt und kam nicht mehr rein. Egal, was er tat. Was war passiert?
Zunächst war alles gut. André registrierte sich für die 2-Step Verification und die Sicherheitsabfrage funktionierte reibungslos:
Von da an, wurde mein Login immer erst nach einer Bestätigung per SMS wirksam. Fand ich gut, schließlich habe ich mein Handy immer dabei. Und wie oft muss ich mich schon einloggen? Ich habe meinen Chrome Browser einfach mit meinem Google Konto verbunden. Außerdem mache ich ja schon alles über Google. Ich nutze den Kalender, synchronisiere ihn mit meinem iPhone und mit meinem Outlook auf Arbeit. Außerdem schreibe ich alles auf Google Docs, ist auch sehr praktisch, der Chrome Browser ist ja mit Google verbunden.
Der Webriese bietet die Sicherheitsstufe bereits seit Februar 2011 für Privatnutzer an. Statt sich einfach nur mit Login und Passwort bei seinen Google-Diensten anzumelden, wird die Eingabe eines zusätzlichen Codes verlangt. Den verschickt Google bei jedem Login-Vorgang, ähnlich wie beim mTAN-Verfahren, auf ein einmalig registriertes Handy. Ideal für Nutzer, die ihren Account sicher verriegeln und verrammeln wollen. Google warb im vergangenen Herbst noch einmal dafür. Auch Facebook bietet diese Sicherheitsstufe als „Login Approvals“ an. Andrés Probleme begannen, als er seine Handy-Nummer wechselte – und leider vergaß, Google davon in Kenntnis zu setzen:
Die Tage vergingen und mein Google+ auf dem iPhone bat mich, mich mal wieder neu anzumelden. Kein Problem, Passwort eingegeben … und … oh Mist. Bestätigung per SMS. Ab hier fängt das Drama, meine Hilflosigkeit und die Erkenntnis der Nichtexistenz eines Google Supports, an. Ich war ja zum Glück auf meinem Laptop noch an meinem Google Konto angemeldet. Kurz noch E-Mails über GMail checken. Ok. Rechts oben auf Profil geklickt, um meine neue Handynummer zu hinterlegen. Oh nein, ich muss mich erneut anmelden. Ok, was habe ich für Möglichkeiten? Alternative Telefonnummer? Hatte ich nicht angegeben. Ersatzcodeliste? Moment, die hab ich … stundenlanges Suchen … nicht mehr. Uff.
Letzter Ausweg für André: In Googles Online-Support ein Formular ausfüllen. Die Fragen dort sind aber nicht ohne: „Seit welchem Monat besteht der GMail-Account?“, „Nennen Sie E-Mail-Adressen von Personen, denen Sie oft schreiben.“ Oder auch: „Welche Google Apps benutzen Sie und wann (JJJJ/MM/TT) haben Sie sich dort angemeldet?.“ Sicher ist sicher ist sicher.
André erhält eine Bestätigung, dass die Bearbeitung bis zu drei Tage dauern kann. Schon am nächsten Tag dann aber eine sonderbare Nachricht:
„Glückwunsch, dass Sie sich wieder bei Ihrem Google Konto anmelden können!“
André vermutet, dass er die Nachricht erhielt, weil er in seinem GMail-Account noch angemeldet war, der von der Sicherheitsstufe teilweise abgekoppelt ist. Er meldete sich dort ab, damit Google das nicht falsch verstand und erhielt am nächsten Tag die Nachricht:
„Glückwunsch, dass Sie sich wieder bei Ihrem Google Konto anmelden können!“
Konnte er gar nicht. Aber seine Exchange-Verknüpfung mit GMail auf dem iPhone und die Outlook-Synchronisation waren noch aktiv, was Google offenbar als erfolgreiche Wiederanmeldung wertete. André meldete sich auch dort ab und füllte das Formular abermals aus. Einen Tag später erhielt er eine automatische Nachricht an seine geschäftliche E-Mail-Adresse:
„Wir haben zu viele Freischaltungsanfragen für dieses Konto erhalten. Bitte warten Sie ein paar Tage und versuchen Sie es erneut.“
Im Support-Forum teilen ihm die Administratoren mit, dass es ohne das Sicherheitsformular nicht gehe:
„Entschuldige, wenn ich das so frage – aber wie hast du dir denn vorgestellt, dass das Ganze funktioniert? Es könnte ja jemand hier im Forum einfach behaupten, er wäre du und hätte dein Problem.“
Die Nummer zu einem Telefonsupport bei Google findet André nicht. Aber er bekommt wenige Tage später eine Nachricht von Google, dass sein Formular geprüft worden sei. Aber leider…
„… können wir auf Basis der von Ihnen gemachten Informationen nicht verifizieren, dass Sie diesen Account besitzen. Wenn Sie weitere Informationen angeben können, besuchen Sie [eine Website] und füllen Sie eine erneute Anfrage aus, bei der Sie so viele korrekte Informationen angeben wie möglich. Wenn Sie bei spezifischen Daten nicht sicher sind, raten Sie!“
Raten Sie… Aber André hatte schon geraten und das Formular bereits mehrere Male komplett ausgefüllt. Das war er also, der endgültige Ausschluss bei Google. Kein Zugriff mehr auf Kontakte, Apps, Docs und vor allem die darin gespeicherten Daten. Keine Möglichkeit mehr, noch irgendetwas zu tun. Google präsentiert sich als eiserner Türsteher.
Denkt euch euren Teil zu dieser Geschichte. Seht es als Beweis für Googles hohe Sicherheitsstandards oder als die Gefahr, sich zu sehr in die Abhängigkeit eines Anbieters zu begeben. Wie ich an früherer Stelle schon einmal schrieb: Jeder kann zu jeder Zeit etwas Dummes tun und dann in die Falle tappen. Im Web lauern Werbeanbieter und findige Startups oft darauf, dass wir einen Fehler machen und dann auf eine Werbeseite weitergeleitet werden oder plötzlich alle unsere Freunde in ein Social Network einladen. Google unterstelle ich hier keine böse Absicht, aber eine kleine Schwäche in der 2-Step Verification sehe ich schon. Rundum sorglos – geht nicht.
(Jürgen Vielmeier)
