Sonstiges

ZDF: Neue "massive Sicherheitslücke" bei Google Docs (Update)

freigabePuh, das mit dem sicheren Cloud-Computing müssen wir aber noch einmal ein bisschen üben, Google. Erst im März hatte sich bei Google Docs ein ziemlich großes Leck aufgetan, durch das private Daten in die Öffentlichkeit gerutscht sind. Ein Bug hatte dazu geführt, dass Dokumente mit anderen geteilt wurden, ohne dass zuvor eine Freigaben erteilt worden wäre. Und allem Anschein nach ist es nun wieder soweit.

Wie das „Heute“-Magazin meldet, hat sich am Wochenende eine weitere, „massive Sicherheitslücke“ bei Google Docs offenbart. Ein Informant musste dem ZDF zuvor die Information zugespielt haben; denn auf diese Weise hatte die Redaktion Zugang zu einem Konto, in dem die Dokumente eines Dritten auftauchten. Darunter befand sich unter anderem ein Brief, der „Bankverbindung, Telefonnummern und Adressdaten“ enthielt. „Heute“ informierte den Betroffenen, der sich erwartungsgemäß schockiert zeigte. Das erwähnte Dokument war darüber hinaus für 37 fremde Dritte freigegeben worden – obwohl der Nutzer die Funktion nie genutzt hatte. „Als er sich in seinem Google-Konto anmeldet, findet er dort selbst ein Dokument, das er nicht sehen sollte“, so das ZDF. „Es gehört einem Personalberater und kann von 45 weiteren Personen gesehen und bearbeitet werden.“ Das ist zweifelsohne ziemlich übel.

Es ist zu vermuten, dass es sich auch in diesem Fall um ein hausgemachtes Problem des Suchriesen handelt. Vor genau einer Woche wurde Google Docs ein wenig aufgehübscht, zudem wurde die Freigabe von kompletten Ordnern erleichtert. Zuvor war dafür manuelles Fummeln an der API nötig. Offensichtlich hat sich das Verknüpfen mit fremden Konten nun bei einigen selbständig gemacht.

Wir haben vorhin eine Anfrage bei Google in Hamburg gestellt und erwarten im Laufe des Tages eine Antwort. Sicher haben die Jungs dort auch ein Interesse daran, die Sache aufzuklären, jetzt wo Google Wave bald den Mail-Verkehr ablösen und eine neue Home-Office-Revolution ausrufen könnte – und alle privaten und geschäftlichen Daten online gespeichert werden.

Update, 20. Oktober, 17 Uhr

Ich wußte, weshalb ich gestern die Vorwürfe in Anführungszeichen zitierte. Laut Google sei an dem, was das ZDF herausfand, nichts dran – leider haben sie aber auch reichlich lange mit ihrer Stellungnahme gewartet. Hier die Google-Mitteilung im O-Ton:

Ein Artikel auf ZDF.de hat eine Freigabe-Funktion in Google Docs fälschlich als angebliche Sicherheitslücke beschrieben. Wir nehmen die Sicherheit der Daten unserer Nutzer sehr ernst, und wir haben diesen Bericht schnellstens untersucht. Wie sich herausstellt, erfolgt die Freigabe-Funktion wie geplant, und nur durch die explizite Berechtigung in den Dokument-Einstellungen gewannen Nutzer Zugang zu den Dokumenten. Um es deutlich zu sagen: Der Reporter hat keine Schwachstelle in Google Text & Tabellen identifiziert. Die Freigabe-Einstellungen, die direkt in dem Produkt und in unserer „Text & Tabellen“-Hilfe erklärt werden, erlauben es den Anwendern, gemeinsam auf Dokumente zuzugreifen und daran gemeinsam zu arbeiten.

(André Vatter)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

13 Kommentare

  • Und auf die Idee, dass die betreffende Person sich einfach verklickt hat oder irgendwas ins falsche Feld geschrieben hat kommt keiner?

    Der beschriebene Fall klingt für mich mehr nach einem Einzelfall als nach einem Bug. Und Einzelfälle sind bei solch weit verbreiteten Softwareservices leider meistens Bedienerfehler.

  • Stell dir vor von deinem Bankkonto verschwindet viel Geld, aber bei 99.99% der anderen Kunden nicht. Du versicherst alles richtig gemacht zu haben und trotzdem hält man dich für einen Dau… Dann lieber eine Falschmeldung zu viel überprüfen, als möglicherweise gravierende Probleme zu ignorieren…

  • Wow, das ist aber eine schlechte Nachricht. Ich kann mir vorstellen, dass auch andere solche Bugs irgendwo bei den Google-Diensten versteckt sind, das mit dem Docs ist aber ganz gefährlich wegen der Vertraulichkeit …

  • Es ist eine bodenlose Frechheit das man nur über einen Informanten an diese Infos kommt. Hier sieht man mal wieder wie Google manipuliert und Fehler nicht eingestehen kann.

  • Kurzes Update: Google hat es leider (trotz mehrmaliger Nachfrage) bis jetzt noch nicht geschafft, auf die Vorwürfe zu reagieren. In Hamburg scheint ein wenig Verwirrung zu herrschen. Hoffentlich bekommen wir heute noch Antwort…

  • Mal abwarten, was wirklich dahinter steckt.

    Aber wenn ich ein Unternehmen hätte und mich mit der Einführung von Cloud Computing beschäftigen würde, würde ich solche Entwicklungen mit Argusaugen betrachten und entweder einen Anbieter wählen, der ein bisschen mehr Sicherheit garantiert, z.B. durch eine private cloud oder noch eine Weile warten …

  • So. Wer hatte jetzt recht? 😉 In Zukunft solltet ihr Vorsichtig mit der Meldung solcher Einzelfälle als „schlimme Sicherheitslücke“ sein.

  • @Marek: Deshalb hatte ich schon bei Veröffentlichung die ZDF-Vorwürfe auch in „“ gesetzt. Also haben wir den Sachverhalt unter Berufung auf heute.de geschildert, eine Anfrage bei Google gestellt und mehrere Stunden gewartet. Nichts kam und da man sich in unserem Rahmen normalerweise auf GEZ-finanzierte Infos verlassen kann, sind wir damit (wie viele andere) online gegangen. Google hat drei Tage für die Stellungnahme gebraucht. Wir haben _mehrmals_ telefonisch und per Mail angefragt. Mehr geht nicht. Durch die Google-Bummelei hat ZDnet sogar einen Google Docs-Boykott als Alternative vorgeschlagen: http://www.zdnet.de/mobiles_arbeiten_blog_nach_der_google_docs_panne_zeit__der_cloud_den_ruecken_zu_kehren_story-39002399-41516032-1.htm

    Interessant ist es indes, dass das ZDF auch jetzt noch keinen Fehler direkt eingesteht…

  • Gut, wenn sich google bei der Pürfung des Vorwurfes Zeit gelassen hat um detailiert nachzuprüfen, ist das okey. Bei dem meisten Unternehmen wäre das wohl ungünstig, dass das so lange gedauert hat – google kann das gut verkraften.

Kommentieren