Sonstiges

Für immer ausgesperrt bei Google – eine Leidensgeschichte


Hier in diesem Beitrag geht es mir nicht darum, mit dem Finger auf jemanden zu zeigen. Von Seiten des Betreibers ist eigentlich alles korrekt gelaufen. Dieser Vorfall beschreibt, was passieren kann, wenn man einmal einen kleinen Fehler macht. Unser Leser André hat uns geschrieben. Sein Nachname ist uns bekannt, aber wir verzichten hier auf die Nennung, um ihm den Spott zu ersparen. André teilte uns mit, dass er sich vor einigen Monaten für eine sicherere Login-Methode bei Google freigeschaltet hatte: die 2-Step-Verification. Dann hat er sich ausgesperrt und kam nicht mehr rein. Egal, was er tat. Was war passiert?

Zunächst war alles gut. André registrierte sich für die 2-Step Verification und die Sicherheitsabfrage funktionierte reibungslos:

Von da an, wurde mein Login immer erst nach einer Bestätigung per SMS wirksam. Fand ich gut, schließlich habe ich mein Handy immer dabei. Und wie oft muss ich mich schon einloggen? Ich habe meinen Chrome Browser einfach mit meinem Google Konto verbunden. Außerdem mache ich ja schon alles über Google. Ich nutze den Kalender, synchronisiere ihn mit meinem iPhone und mit meinem Outlook auf Arbeit. Außerdem schreibe ich alles auf Google Docs, ist auch sehr praktisch, der Chrome Browser ist ja mit Google verbunden.

Der Webriese bietet die Sicherheitsstufe bereits seit Februar 2011 für Privatnutzer an. Statt sich einfach nur mit Login und Passwort bei seinen Google-Diensten anzumelden, wird die Eingabe eines zusätzlichen Codes verlangt. Den verschickt Google bei jedem Login-Vorgang, ähnlich wie beim mTAN-Verfahren, auf ein einmalig registriertes Handy. Ideal für Nutzer, die ihren Account sicher verriegeln und verrammeln wollen. Google warb im vergangenen Herbst noch einmal dafür. Auch Facebook bietet diese Sicherheitsstufe als „Login Approvals“ an. Andrés Probleme begannen, als er seine Handy-Nummer wechselte – und leider vergaß, Google davon in Kenntnis zu setzen:

Die Tage vergingen und mein Google+ auf dem iPhone bat mich, mich mal wieder neu anzumelden. Kein Problem, Passwort eingegeben … und … oh Mist. Bestätigung per SMS. Ab hier fängt das Drama, meine Hilflosigkeit und die Erkenntnis der Nichtexistenz eines Google Supports, an. Ich war ja zum Glück auf meinem Laptop noch an meinem Google Konto angemeldet. Kurz noch E-Mails über GMail checken. Ok. Rechts oben auf Profil geklickt, um meine neue Handynummer zu hinterlegen. Oh nein, ich muss mich erneut anmelden. Ok, was habe ich für Möglichkeiten? Alternative Telefonnummer? Hatte ich nicht angegeben. Ersatzcodeliste? Moment, die hab ich … stundenlanges Suchen … nicht mehr. Uff.

Letzter Ausweg für André: In Googles Online-Support ein Formular ausfüllen. Die Fragen dort sind aber nicht ohne: „Seit welchem Monat besteht der GMail-Account?“, „Nennen Sie E-Mail-Adressen von Personen, denen Sie oft schreiben.“ Oder auch: „Welche Google Apps benutzen Sie und wann (JJJJ/MM/TT) haben Sie sich dort angemeldet?.“ Sicher ist sicher ist sicher.

André erhält eine Bestätigung, dass die Bearbeitung bis zu drei Tage dauern kann. Schon am nächsten Tag dann aber eine sonderbare Nachricht:

„Glückwunsch, dass Sie sich wieder bei Ihrem Google Konto anmelden können!“

André vermutet, dass er die Nachricht erhielt, weil er in seinem GMail-Account noch angemeldet war, der von der Sicherheitsstufe teilweise abgekoppelt ist. Er meldete sich dort ab, damit Google das nicht falsch verstand und erhielt am nächsten Tag die Nachricht:

„Glückwunsch, dass Sie sich wieder bei Ihrem Google Konto anmelden können!“

Konnte er gar nicht. Aber seine Exchange-Verknüpfung mit GMail auf dem iPhone und die Outlook-Synchronisation waren noch aktiv, was Google offenbar als erfolgreiche Wiederanmeldung wertete. André meldete sich auch dort ab und füllte das Formular abermals aus. Einen Tag später erhielt er eine automatische Nachricht an seine geschäftliche E-Mail-Adresse:

„Wir haben zu viele Freischaltungsanfragen für dieses Konto erhalten. Bitte warten Sie ein paar Tage und versuchen Sie es erneut.“

Im Support-Forum teilen ihm die Administratoren mit, dass es ohne das Sicherheitsformular nicht gehe:

„Entschuldige, wenn ich das so frage – aber wie hast du dir denn vorgestellt, dass das Ganze funktioniert? Es könnte ja jemand hier im Forum einfach behaupten, er wäre du und hätte dein Problem.“

Die Nummer zu einem Telefonsupport bei Google findet André nicht. Aber er bekommt wenige Tage später eine Nachricht von Google, dass sein Formular geprüft worden sei. Aber leider…

„… können wir auf Basis der von Ihnen gemachten Informationen nicht verifizieren, dass Sie diesen Account besitzen. Wenn Sie weitere Informationen angeben können, besuchen Sie [eine Website] und füllen Sie eine erneute Anfrage aus, bei der Sie so viele korrekte Informationen angeben wie möglich. Wenn Sie bei spezifischen Daten nicht sicher sind, raten Sie!“

Raten Sie… Aber André hatte schon geraten und das Formular bereits mehrere Male komplett ausgefüllt. Das war er also, der endgültige Ausschluss bei Google. Kein Zugriff mehr auf Kontakte, Apps, Docs und vor allem die darin gespeicherten Daten. Keine Möglichkeit mehr, noch irgendetwas zu tun. Google präsentiert sich als eiserner Türsteher.

Denkt euch euren Teil zu dieser Geschichte. Seht es als Beweis für Googles hohe Sicherheitsstandards oder als die Gefahr, sich zu sehr in die Abhängigkeit eines Anbieters zu begeben. Wie ich an früherer Stelle schon einmal schrieb: Jeder kann zu jeder Zeit etwas Dummes tun und dann in die Falle tappen. Im Web lauern Werbeanbieter und findige Startups oft darauf, dass wir einen Fehler machen und dann auf eine Werbeseite weitergeleitet werden oder plötzlich alle unsere Freunde in ein Social Network einladen. Google unterstelle ich hier keine böse Absicht, aber eine kleine Schwäche in der 2-Step Verification sehe ich schon. Rundum sorglos – geht nicht.

(Jürgen Vielmeier)

Jobs in der IT-Branche


Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

42 Kommentare

  • Wow, Horrorszenario wenn man Google Mail auch geschäftlich nutzt.. und ich glaube das machen eine ganze Menge Leute. Prinzipiell läuft zwar auch nochmal alles über eigene Server, aber sich bei Google auszusperren ist natürlich trotzdem ne ganz schön bescheidene Situation.

    Hab nach dem lesen des Artikels aber mal geguckt was noch so möglich ist zur „Passwort“ oder auch „Code“-Recovery. Man kann eben so eine Ersatzemail, als auch eine Ersatztelefonnummer angeben. Daneben gibts noch eine App (sowohl fürs iphone, android und blackberry) als auch die Möglichkeit sich Ersatzcodes auszudrucken und diese an einem sicheren Ort aufzubewahren.

  • Warum machen die nicht ein Formular wo nach der alten Handynummer gefragt wird inkl. Email (Login) und Kennwort? dann evtl. noch die Sicherheitsfrage für den PW reset (was man bei der Registrierung ja anlegen musste) und fertig?

  • Extrem ärgerlich – aber wirklich nur ein Zeichen für die Sicherheit.

    Ob Google da anders entscheiden könnte, dazu fehlt uns das Wissen. Was hat er angegeben – etwa alte Mails? Oder die zuletzt versandte (bzw. eine der zuletzt versandten)?

    Ich habe mir jedenfalls gleich die Ersatzcodes nochmal ausgedruckt und „in die Cloud“ gespeichert. In eine ANDERE Cloud, nicht nur bei Google Docs. Und eine andere Mailadresse habe ich zum Glück schon immer angegeben. Musste ich damals, als ich mich (noch mit Invitation, ach ja… damals… *träum*) bei GMail anmeldete – aber wann das war, wüsste ich auch nicht mehr. Erster oder zweiter Monat? 🙂

  • Tja, wie im richtigen Leben. Der Schlüsseldienst kostet auch Geld, und zwar richtig! Ich vermute mal, dass der junge Mann bislang noch keinen einzigen Cent bezahlt hat. Weder für die Nutzung des Services noch für den selbstverschuldeten Verlust seines Logins und den Aufwand den Google damit hat. Das ist halt der Preis des Kostenlosen.
    Telefonsupport ist mit das teuerste, was man überhaupt machen kann. Daher kann ich verstehen, dass google den nicht bietet – bei den vielen Millionen Kunden…

  • @JSG

    Tja, was hat er angegeben?

    – E-Mail-Adressen der zuletzt angemailten Personen
    – Die alte Telefonnummer
    – Die (richtige) Antwort auf die „Passworterinnerungsfrage“
    – Alle Formularfelder nach bestem Wissen ausgefüllt

    Google ist der Meinung, die Informationen sind ungenügend. Was denn nun fehle, dass teilt einem Google nicht mit. ;o)

  • @Eric Reiche

    Wenn man das Account-Freischalte-Formular ausfüllt, informiert Google sofort den Account-Inhaber. Dieser hat die Möglichkeit die Freischaltung zu unterbinden. Der automatisierte Freischaltung-Prozess läuft erst nach einem Tag an.

  • Das ist mir aber auch mal so passiert. Andere Handynummer im Ausland und keine Möglichkeit einzuloggen und der Zettel mit den Ersatzcodes zu Hause. Seit dem habe ich die Authenticator App auf dem Handy.

  • Ich nutze die Google-Dienste Mail, Kalender, Kontakte und Docs und ich liebe diese praktischen „Cloud“-Sachen. Aber: Ohne Backup ist einfach sehr leichtsinnig!
    OK, Termine und Kontakte hat man ja eh mit dem Smart-Phone gesynct.
    Für die Mails kann man sich sowas wie „MailStore Home“ oder „IMAPSize“ (Windows) kostenlos installieren.
    Und für die Docs verwende ich „insync“. Da werden alle Dokumente automatisch auf die lokale Platte gesynct (is so’n bisschen wie Dropbox, nur eben für GDocs).

  • Das Problem hier ist wohl, dass Google einen bei der 2-Step-Verification nicht zwingt, einen zweiten Weg (z.B. Festnetz-Telefon) anzugeben.

    @Nothing: Das von dir vorgeschlagene Formular hätte den Nachteil, dass es die 2-Step-Verification untergraben würde (jemand der das Passwort errät könnte es ja dann auch resetten).

  • nicht ganz @7 & 13,

    Was würde da untergraben werden? Zuerst benötigt man das Passwort, dann die alte telefonnummer und zusätzlich noch das PW (antwort) auf die Geheimfrage.

    Das jemand alle 3 Dinge hat ist dann doch schon zu bezweifeln, zumindest gebe ich nicht alles in der Welt bekannt. Hinzu kommt das man die Antwort auf die geheime Frage ebenfalls nicht zu einfach gestallten sollte… also möglichkeiten gäbe es schon….

    Das sind ganze 3 dinge die man beötigt, anstatt nur die 2 😀

  • Ich verstehe diese Authenticator-App nicht (muss aber sagen, dass ich sie noch nicht installiert habe): Wenn ich mein Handy verliere, kann dann der Finder die App starten und kommt quasi immer in meine GoogleMail-Services rein?

  • Ein weiteres Beispiel dafür, wie man 1. sich selbst ausknocken kann, und wie blöd man 2. dasteht, wenn man es mit einem Weltkonzern zu tun hat, der wegen seiner Riesengröße nicht mehr in der Lage ist, individuell zu reagieren. Hatte neulich eine ähnliche Geschichte bei admob.de (was ja auch eine Google-Plattform ist). Sozusagen aussichtslos, egal, was man tut. Kriegst nicht mal ne Antwort – nicht mal irgendeine, von einer gescheiten ganz zu schweigen. 🙁

  • Und warum nicht die Telefonnummer gefordert um doch die SMS lesen zu können? Schließlich weiß der „alte“ Provider, dass dem Kunden André die Telefonnummer vergeben wurde und kann diese eventuell wieder freischalten?
    Vielleicht..

  • „Ersatzcodeliste? Moment, die hab ich … stundenlanges Suchen … nicht mehr. Uff.“

    Naja…mehr braucht man wohl nicht zu sagen. Wenn man die Sicherheit will, sollte man sie auch ernst nehmen. Google hat meines Erachtens alles richtig gemacht.

  • @#20
    Google hat zwar ‚alles‘ richtig gemacht, aber nach Angabe von


    – E-Mail-Adressen der zuletzt angemailten Personen
    – Die alte Telefonnummer
    – Die (richtige) Antwort auf die “Passworterinnerungsfrage”
    – Alle Formularfelder nach bestem Wissen ausgefüllt

    ist es schade, dass man Ihm nicht wenigstens entgegen kommt und vllt sogar mal persönlich anschreibt, oder anruft, oder per Post irgendwas…

    Da bekommt man so ein feeling wie damals, als man noch jung und unerfahren war und plötzlich überall Viren waren und es hieß „format c:“.
    Schade..

  • So etwas ähnliches hatte ich mal bei Paypal. Die haben dort nämlich ganz exotische Sicherheitsfragen. Und ich habe vergessen, wen ich damals als Lieblingslehrer angegeben habe…
    Wenigstens haben die einen kostenpflichtigen Telefon-Service, mit dem ich das Problem zum Glück beheben konnte.
    Könnte Google normalerweise auch so einrichten…

  • Nur Schuld des Nutzers? Nein, Nutzer sind dumm, dass weiß jeder Unternehmer… deswegen werden wir leider überall auch „vor uns selber“ beschützt.

    Wenn ein Nutzer sich so ausschließen kann, ist das System nicht in Ordnung.

    Krass aber, wie wenig Reaktion hier auf die Tatsache kommt, was passieren kann, wenn man alles „in die cloud“ schiebt.

    Der totale Kontrollverlust über die eigenen Daten.

    Wie könnt ihr mit dieser Abhängigkeit vom Netz und irgendwelchen Konzernen klar kommen?

    Und wenn ich dann noch lese, dass „man Google Mail auch geschäftlich nutzt.. “ wird mir schlecht…

  • Ricardo hat völlig recht. Wie naiv kann man sein, dass man sich von denen (solchen Konzernen) so abhängig macht!
    Kann es mir an die eigene Kappe heften und hab darauf gelernt. Möchte aber nicht die Hand dafür ins Feuer legen, dass ich nicht, wenn ich mal wieder eilig bin, vielleicht doch vergesse zu sichern.
    Wäre gut, einfach noch ein paar Sicherungsmechanismen einzubauen … 😉

  • cloud ist ok, wenn man _verschlüsselt_ und backups macht.
    Macht imho aber so viel Aufwand, dass man sich die Cloud einfach sparen kann.

    Meine Cloud ist eine 1TB, 2,5″ Platte.
    Immer mit dabei, komm an mein Zeug auch ohne Inet und keiner liest in meine Unterlagen. Ist auch verschlüsselt.

    Programme zum Schreiben oder für Tabellen etc, hab ich auf meinem Laptop… was daran so schlecht ist bzw. was der Gewinn daran sein soll, das online zu haben verstehe ich auch nicht.

  • immerhin bietet google formulare etc zur wiederbeschaffung an.

    ich habe mal mein pw von meinem skype account vegessen weil ich auf dem alte pc autologin hatte.
    email war auch eine alte wovon ich die domain nicht mehr besaß. eine anfrage bei skype zusätlzlich der info, dass ich ihnen 95% der namen der kontaktliste geben könne wurde abgelehnt.

    in dem fall also nicht so schlimm, da ich kaum verlusst hatte, aber es zeigt das es auch firmen gibt die garnicht gewollt sind denn account wieder rauszurücken.

  • Mit Kunden, die Googlemail geschäftlich nutzen, mache ich definitiv keine Geschäfte. Wer Rechnungen, Angebote etc. über Googlemail versendet, handelt grob fahrlässig.

  • @thosch

    Woher willst Du wissen, dass jemand Google nutzt. Wie bei anderen Mail-Anbietern gibt es auch bei Googlemail die Möglichkeit seine E-Mails von anderen Konten auslesen zu lassen und auch unter derem Namen zu versenden. Heißt also, es fällt dem Empfänger gar nicht auf, ob die Mail von G-Mail kommt.

  • Puh, da bin ich ja direkt froh, dass es bei mir mit Skype vor kurzem nach langem Hin und Her dann doch noch geklappt hat… @graf blah: Hatte exakt(!) das gleiche Problem gehabt und schon einen neuen Skype-Account angelegt und aus dem Gedächtnis heraus die meisten Kontakte hinzugefügt gehabt (dachte ich). Aber neulich wollte ich dann doch mal wissen, ob ich nochmal drankommen kann und habe es auch geschafft (trotz fehlender Telefon-Hotline, was mich erst ziemlich genervt hatte). Klappte dann per Email insgesamt ganz gut, sie haben mich nach einigen Kontakten in der Kontaktliste gefragt, mit welcher Emailadresse ich den Account wann und in welchem Land eröffnet hatte (was in meinem Fall tatsächlich sehr entscheidend war!). Und dann konnte ich das Passwort endlich wieder zurücksetzen und immerhin 30 weitere Kontakte hinzufügen, worüber ich mich natürlich sehr gefreut hab. 🙂

  • […] ruft den Schlüsseldienst. Wer sich allerdings aus dem Internet aussperrt, der sollte sich Andrés netten Selbstversuch anschauen. Was der Mensch sonst noch so alles anstellt und mich sich machen lässt, zeigt Riese […]

  • Ich bin der Meinung, dass er selbst schuld ist. Eine alternative Mail-Adresse oder dergleichen hätte er wohl einrichten können.
    Bei irgendeinem anderen Anbieter und fertig.

    Geschäftlich halte ich es irgendwie für sinnvoll seine Mail mit einer richtigen E-Mail-Adresse zu handhaben.

  • Zur Klärung:
    GMail geschäftlich betrieben (GAPPS for Business):
    – Administrator kann 2Step Verifikation für einen User deaktivieren
    – Google bietet für bezahlende Geschäftskunden einen 7x24h Support

    Notabene erhält man mit 2Step Verifikation ein Enterprise Feature gratis. Da darf man sich auch 10 Minuten Zeit nehmen wenn man dieses aktiviert.

    Alternative Möglichkeiten zu Code via SMS:
    1. Backup Codes drucken
    2. zus. Telefonnummer für Voice angeben
    3. APP auf iOs oder Android oder Blackberry installieren

    Dies wird beim Einrichten alles schön erklärt.

  • geschäftliche e-mails gehören in der Tat auf einen eigenen Server – schon um Google nicht alles mitlesen lassen zu können (vonwegen Datenschutz und Speicherung von dAten in Amerika).

    Grundsätzlich hilft auch Verlässlichkeit im Umgang mit den Passwörten. Wir speichern alle unsere Passwörter direkt in einem Passwort-Verwaltungstool – bspw. http://keepass.info/ – wenn man das einfach konsequent durchzieht, kann eigentlich nicht viel passieren….

  • @#39 (WordPress-Webdesigner):
    Ähh…. Angst vor Google, aber Passwörter gebündelt lagern? Verstehe wer will. Nicht falsch verstehen: ich nutze auch eine Passwort-Verwaltung, aber ein latentes Risiko birgt das eben doch immer, selbst bei denen mit offenem Quellcode.

    @Viele: Wer hier G-Mail für Business so vehement ablehnt, der hat diese Vorbehalte hoffentlich auch gegenüber GMX, Web.de, Hotmail, Yahoo etc? Alle schalten Werbung, und alle filtern Viren und Spam. Heißt: alle „lesen“ Mails mit. Gut, viele hundert Millionen verhinderte Kunden, wenn man wie thosch und ricardo mit solchen nicht Geschäfte macht.

    Übrigens scannt selbst der kostenpflichtige Premiumhost mit eigener Domain alle Mails… Zum Glück, gegen Spam und Viren! 😉

  • An dieser Stelle wäre einem übrigens, so blöd es klingt, auch wiedermal mit der datenschutztechnisch so kritisierten „eindeutigen Identifikation“ etwa per ePerso geholfen. Mit diesem identifizierbare Konten sind immer wieder, auch nach einem Verlust des Passwortes (zum Ausweis) oder des Ausweises wiederherstellbar, da die Meldebehörden wohl die einzigen sind, die die Identität eines Menschen dann wieder rechtsverbindlich anerkennen können.

    Schon vor dem Hintergrund würde ich es sofort machen, wenn (seriöse) Anbieter mir diese Identifizierung erlauben – und im Ernstfall dann auch durch solche meine Identität anerkennen.

  • Tut mir leid, aber Andre ist selber schuld… Google hat alles richtig gemacht.

    Ich habe alle Optionen für Wiederherstellung konfiguriert und alles ist stets einsatzbereit. (Codes für den Notfall ausgedruckt und bewahre die sicher auf // Stets die aktuelle Handynummer hinterlegt usw.) Logisch: Wer das nicht hat oder etwas von vergisst, kann unter Umständen Schwierigkeiten bekommen.

    Zitat:

    „Entschuldige, wenn ich das so frage – aber wie hast du dir denn vorgestellt, dass das Ganze funktioniert? Es könnte ja jemand hier im Forum einfach behaupten, er wäre du und hätte dein Problem.”

    Ich bin der gleichen Meinung. Wenn ich Google wäre, würde ich genauso verfahren.

    Grüße

Kommentieren