Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Technologie
Google speicherte G Suite-Passwörter seit 2005 im Klartext
G Suite, © Google

Google speicherte G Suite-Passwörter seit 2005 im Klartext

Niklas Lewanczik | 22.05.19

Nach Facebook hat nun auch Google angegeben, dass Passwörter im Plain Text gespeichert worden sind. Das Problem betrifft nur Unternehmen in der G Suite.

Eine Reihe von Business-Passwörtern für die G Suite ist ohne Verschlüsselung im Klartext gespeichert worden. Seit 2005 lagen diese Passwörter auf internen Servern, allerdings in einer verschlüsselten Infrastruktur. Google gibt an, dass es keine Hinweise auf unrechtmäßige Nutzung gibt und fordert Betroffene doch zum Wechseln der Passwörter auf.

Nach Facebook nun Google

Vor wenigen Monaten war publik geworden, dass Facebook Passwörter im Plain Text gespeichert hatte, die theoretisch für Mitarbeiter einsehbar waren. Jetzt hat Google in einem Blogpost darüber informiert, dass Passwörter von G Suite-Kunden, also Unternehmenskunden, ebenfalls im Plain Text gespeichert waren. Und das seit 2005, als man bei der Implementierung einen Fehler machte. Dabei wurden Kopien von nicht gehashten Passwörtern gespeichert. Das Problem ist nach Googles Aussagen lange behoben und für einen Missbrauch der Passwörter gibt es keine Anzeichen.

Auch im Januar 2019 wurden versehentlich einige Passwort-Sets ohne Hashing gespeichert. Doch blieben diese nur für den Zeitraum von 14 Tagen in der verschlüsselten Infrastruktur der G Suite vorhanden. Aktuell arbeitet Google mit den Entwicklern zusammen, um betroffene User ausfindig zu machen und ihnen nahezulegen, ihre Passwörter zu ändern.

In einer weiterführenden Erklärung zeigt der Konzern, wie die Passwörter von Kunden gehasht werden, sodass Google die tatsächlichen Passwörter im Normalfall nicht kennt. Das ist etwa auch der Grund, warum das Unternehmen im Falle des vergessenen Passworts nicht angeben kann, wie dieses lautet. Dafür ist mit der Methode des Hashings aber mehr Sicherheit verbunden. Denn es ist relativ einfach ein Passwort zu scramblen, also zu verschlüsseln, während die Entschlüsselung fast unmöglich ist.

Weitere Reaktionen von Google

Domain-Administratoren der G Suite hatten zuletzt die Möglichkeit, Passwörter einzustellen und wiederherzustellen, da dies ein gewünschtes Feature war. Das Tool hierfür war in der Admin Console verortet, wo die Admins auch händisch Passwörter für die G Suite-Nutzer hochladen oder einstellen konnten. Damit sollte neuen Nutzern der Einstieg erleichtert werden. Diese Funktion, um Passwörter wiederherzustellen, ist jedoch von nun an nicht mehr existent.

Aus Sicherheitsbedenken hat Google die Administratoren der G Suite weiterhin angewiesen die betroffenen Passwörter zu ändern, falls das nicht geschehen ist. Accounts, deren Passwörter ungehasht gespeichert waren und die diese noch nicht geändert haben, werden einem Reset unterzogen. Selbst wenn aber Dritte an ein Passwort der Kunden gelangen, wird die Sicherheit des Kontos noch immer geschützt, da Google auch automatisch verdächtige Logins wahrnimmt. Zudem gibt es Zwei-Faktor-Verifikationsoptionen, bei denen ein potentieller Hacker neben dem Passwort auch das entsprechende Mobilgerät oder einen Security Key bräuchte. Die Security Keys setzt Google übrigens auch bei den Accounts der eigenen Mitarbeiter ein.

Folgenlose Fehler?

Schließlich entschuldigt sich Google für den Fehler:

Here we did not live up to our own standards, nor those of our customers. We apologize to our users and will do better.

Der Vorfall zeigt, dass die Sicherheitsmaßnahmen der Vergangenheit nicht immer ausreichend waren, um sich gegen den Missbrauch von Daten zu schützen. Die Möglichkeiten, die Google, aber auch andere Player inzwischen bieten, um einen Login abzusichern, sind heute aber sehr viel umfassender. Auf diese sollten User, Unternehmen wie Privatpersonen, unbedingt zurückgreifen. Damit wird die Gefahr eines unerwünschten Kontenzugriffs minimiert. Bemerkenswert ist, dass Google hier transparent Bericht erstattet. Leider können wir als Nutzer nie genau wissen, welche Daten von uns tatsächlich in Sicherheit sind. Ein Grund mehr, sich auch gut zu überlegen, welche Daten preisgegeben werden und wie diese gesichert werden sollten. Das Bewusstsein ist ein wichtiger Faktor für den Datenschutz. Für Google und Co. sind – womöglich – folgenlose Fehler immerhin eine Lehre, die die künftige Sicherheit der Nutzerkonten optimieren dürfte.

Clarie Wadoff am 05.06.2019 um 12:52 Uhr

Wir haben uns den englischen Originalwortlaut des Google-Blogbeitrags angesehen und festgestellt, er ist etwas komplexer als hier ausgeführt. Es geht um eine versehentliche Kopie einer Passwortliste, die bei der Implementierung eines Programms zur Wiederherstellung erzeugt – und seit 2005 nicht entdeckt wurde. Das Ganze innerhalb einer verschlüsselten Infrastruktur. Ob dies eine wirkliche Gefahr dargestellt hat, wäre eine Frage, für die wirkliches Urteilsvermögen erforderlich wäre, und auch, ob tatsächlich eine Parallele zu den Facebook-Vorfällen besteht. Dann wäre es ein wirklich interessanter Artikel. So lese ich doch lieber das Original.

Antworten
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*