Datenleck seit März bekannt: Google+ wird für Nutzer geschlossen

Google schließt Google+ für seine User. Was aufgrund der relativen Bedeutungslosigkeit des Social Media-Bereichs gegenüber Facebook und Co. gar nicht so abwegig klingt, kommt nun mit einem Paukenschlag daher. Ein Systemfehler hatte dazu geführt, dass bis zu 500.000 Userkonten für Entwickler potentiell zugänglich waren. Damit hätten Dritte auf privat geglaubte Daten zugreifen können.

Der Fehler ist behoben, aber Google+ wird gehen

Ein Bericht aus dem Wall Street Journal hatte gestern publik gemacht, dass Nutzerdaten bei Google+ aufgrund eines Fehlers dem Zugriff durch Dritte ausgesetzt gewesen waren. Die Abschaltung des Segments ist allerdings keine unmittelbare Reaktion darauf. Wie der Artikel im WSJ angibt, hätte man bei Google bereits im März von dem Fehler in der Google+ People API gewusst, jedoch entschieden, es nicht öffentlich zu machen. Damit waren betroffene User – und die Zahl beläuft sich laut Google selbst auf bis zu 500.000 – nicht informiert worden. Hierbei ist festzuhalten, dass Google die Identitäten der einzelnen betroffenen User nicht zweifelsfrei ausmachen konnte. Zwar sei kein Missbrauch der Daten festzustellen gewesen, heißt es vonseiten Googles. Dennoch ist das Vorgehen des Unternehmens fragwürdig, basierte es Informationen des WSJ zufolge doch vornehmlich auf der Angst sich im Falle einer Öffentlichmachung Kontrollen aussetzen zu müssen und zugleich an Reputation einzubüßen.

Seit März sei die Lücke im System bekannt gewesen, aber nach internen Unterlagen, die das Wall Street Journal aufruft, könnte sie schon seit 2015 bestanden haben. Google hat im Blogpost erklärt, dass das Leck im Frühjahr umgehend behoben wurde. Trotzdem hatten potentiell 483 Apps und deren Entwickler Zugriff auf die Nutzerdaten. Denn der Fehler war im Rahmen des Project Strobe Audit in einer People API von Google+ entdeckt worden. Laut Google gibt es weder Beweise dafür, dass Entwickler von dem Fehler gewusst haben noch dafür, dass die Daten tatsächlich in die Hände Dritter gelangt sind.

We discovered and immediately patched this bug in March 2018. We believe it occurred after launch as a result of the API’s interaction with a subsequent Google+ code change.

Die potentielle Datenweitergabe wird klein gehalten

Die Daten, die möglicherweise für Dritte zugänglich wurden, umfassen nur statische Informationen im Kontext der Profile bei Google+.

This data is limited to static, optional Google+ Profile fields including name, email address, occupation, gender and age. (See the full list on our developer site.) It does not include any other data you may have posted or connected to Google+ or any other service, like Google+ posts, messages, Google account data, phone numbers or G Suite content.

Das kann keine Rechtfertigung dafür sein, dass durch ein Datenleck hunderttausende Nutzerdaten an Dritte gelangt sein könnten. Es zeigt sich, dass kein großer digitaler Player vor dieser Art der Datenpannen gefeit ist. Ein gewisser Reputationsverlust ist dabei unvermeidlich. Solche Fehler im technischen Bereich komplett auszuschließen, scheint aber auch kaum möglich; und Facebook dürfte diese Panne bei Google mit etwas Genugtuung wahrnehmen.

Das Datenleck wird heruntergespielt, das Ende von Google+ hat andere Gründe

Google selbst erkennt aber, dass die Ansprüche der User, aber genauso der Medien und Datenschützer, an Social Media wachsen.

The review did highlight the significant challenges in creating and maintaining a successful Google+ that meets consumers’ expectations. Given these challenges and the very low usage of the consumer version of Google+, we decided to sunset the consumer version of Google+.

Über die nächsten zehn Monate soll der Dienst für die Nutzer geschlossen werden, sodass ein fließender Übergang für diese möglich wird. Dabei sollen auch Wege geschaffen werden, um die Daten der Nutzer sicher zu extrahieren. Von einem neuen Set-Up für Social Media ist vorerst keine Rede. Nun stellt Google das Abschalten von Google+ eher wie einen Tribut an die Herausforderungen der Zeit dar. Das mag zutreffend sein, vor allem, das der Bereich keine große Bedeutung mehr bei der globalen Nutzerschaft genießt. Dennoch kann man es positiv ausgedrückt nur als cleveren Schachzug begreifen, ein so immenses Datenleck, das zudem noch längere Zeit für sich behalten wurde, als eine von mehreren Ursachen für die Abschaltung von Google+ zu inszenieren: „Sunsetting Consumer Google+“.

Wie schon bei Facebook, wird die Medienschelte für Google nicht ausbleiben. Aufgrund der unerhörten Marktmacht des Unternehmens wird dieser kleine Skandal sich aber nicht verheerend auswirken. Allerdings dürfte er zumindest dazu beitragen, dass Nutzer und Unternehmen, die Daten speichern, gleichermaßen erkennen, dass in Sachen Sicherung für Personendaten noch viel Arbeit zu verrichten ist. Von beiden Seiten.

Google setzt direkt auf Features zur Datensicherung

Ebenfalls ähnlich wie bei Facebook reagiert Google auf die Erkenntnisse mit ersten Updates im Kontext der Datensicherheit bei ihren Plattformen und Accounts. Zum einen werden detailliertere Zugriffsrechte für die Google Accounts eingeführt.

Dabei können Nutzer Apps, die Zugriff auf einzelne Sektionen des Accounts haben möchten, in Dialogboxen einzelne Erlaubnisse erteilen, andere zugleich aber ablehnen. Zuvor mussten Zugriffe im Paket erlaubt oder abgelehnt werden (siehe Grafik oben).

Weiterhin werden weniger Apps Zugriff auf Daten aus Gmail erlaubt.

Only apps directly enhancing email functionality—such as email clients, email backup services and productivity services (e.g., CRM and mail merge services)—will be authorized to access this data. Moreover, these apps will need to agree to new rules on handling Gmail data and will be subject to security assessments.

Schlussendlich sollen Apps künftig ebenso seltener Zugriff auf die Nutzung von Smartphone-Funktionen wie Call Logs oder SMS haben. Nur für eine Funktion voreingestellte Standard-Apps sollen diesen Zugriff erhalten dürfen. Der Android Contact API wird in den kommenden Monaten außerdem der Zugriff auf Kontaktinteraktionen entzogen, die bisher angezeigt wurden.

In der Folge dieser Updates, die im Blogpost von Googles Ben Smith nachzuvollziehen sind, sollen demnächst weitere Kontrollmechanismen und Sicherheitsrichtlinien ausgerollt werden. Das erscheint für alle Nutzer sinnvoll; schade nur, dass solche Bestrebungen meist erst auf ein Datenleck etc. folgen.