Erst Facebook, jetzt auch Google: Der Internet-Riese hat Google-Passwörter von Nutzern der Produktiv-Cloud G Suite jahrelang unverschlüsselt gespeichert. Warum fällt es Unternehmen so schwer, ihre Daten zu schützen?
Die G Suite ist ein kostenpflichtiges Cloud-Angebot von Google. Es richtet sich an Firmen und liefert den vollen Umgang. Das beginnt bei Kommunikations-Tools wie Google Mail und endet bei Anwendungen wie dem Google App Maker für interne Apps.
Nun teilte das Unternehmen in einem Blog-Post mit, dass einige Google-Passwörter seit 2005 unverschlüsselt gespeichert worden sind. Betroffen waren nur Nutzer der Google G Suite. Ihre Passwörter waren über einen Administrationszugang zugänglich.
Einige Informationen waren demnach 14 Jahre lang unverschlüsselt auf internen Servern von Google abgespeichert.
Zudem sind im Januar diesen Jahres nochmals Google-Passwörter versehentlich für 14 Tage im Klartext gespeichert worden, bevor Angestellte die Datenlücke bemerkt hätten. Zu einem Daten-Diebstahl oder Missbrauch sei es in beiden Fällen nicht gekommen.
Suzanne Frey ist Googles Chefin für Cloud-Anwendungen. Sie beteuerte: „Um es deutlich zu machen: Diese Passwörter waren weiterhin durch unsere übergreifende Sicherheitsverschlüsselung geschützt.“
Außerdem hat Google inzwischen alle betroffenen Nutzer benachrichtigt und sie dazu aufgefordert, ihre Google-Passwörter zu ändern. Die Zugangsdaten hat Google aber zudem automatisch zurückgesetzt.
Was war Google passiert?
Der Grund für das Datenleck sei ein Fehler in einer Funktion gewesen, mit der Business-Administratoren manuell Passwörter erstellen oder zurücksetzen konnten. Der Fehler sei nun behoben. Das Feature ist auch nicht mehr verfügbar.
Privatkunden, die kostenlose Google-Dienste nutzen, sind von den Problemen nicht betroffen. Eine konkrete Zahl der betroffenen Nutzer und Google-Passwörter nennt der Konzern nicht.
Im Regelfall sind Daten verschlüsselt
Google erklärt in seinem Blog-Beitrag, dass das Unternehmen Kundendaten normalerweise verschlüsselt. Dabei werden die Passwörter kryptografisch durcheinander gewürfelt und in andere zufällige Zahlenfolgen übertragen.
Ohne den passenden Schlüssel ist es nicht möglich, die Zahlenkombination zu entwirren. Dadurch sind die Google-Passwörter geschützt. Für die betroffenen Zugangsdaten habe dieser Schutz jedoch über mehr als ein Jahrzehnt gefehlt. Deswegen waren die Passwörter für Administratoren der G Suite zugänglich.
Das nächste Datenleck
Der neue Fall klingt zwar nicht so gravierend wie der jüngste Instagram-Leak oder die zahlreichen Daten-Skandale von Facebook im Verlauf des letzten Jahres. Er zeigt aber, dass große Unternehmen sich offenbar schwer damit tun, Informationen und Daten zu schützen.
Warum ist das so? Fakt ist, dass die Sicherheitsmaßnahmen der Vergangenheit nicht ausreichend waren. Unternehmen und Nutzer konnten sich bislang nicht vollständig gegen den Missbrauch von Daten schützen.
Bemerkenswert ist aber, wie offen und transparent Google mit der Sicherheitslücke umgeht. Die Passwörter scheinen nie für Dritte zugänglich gewesen zu sein. Trotzdem entschuldigte sich der Internet-Riese in aller Öffentlichkeit für den Fehler, weil er seinen eigenen Sicherheitsansprüchen nicht gerecht wurde.
Auch interessant:
