„Das beste Schloss ist nichts wert, wenn der Schlüssel in die falschen Hände gerät“
Gemeinsam mit seinem Team kümmert sich Patrick Nepper als Produktmanager im Google Safety Engineering Center (GSEC) in München darum, dass der Passwortmanager Nutzer:innen nicht nur heute schützt, sondern auch in Zukunft. Und zwar auch dann, wenn gar keine Passwörter mehr verwendet werden. Wie das funktioniert, erklärt er unter anderem im Gespräch.
Patrick, du arbeitest im GSEC München. Wie können wir uns deine Rolle vorstellen?
Als Produktmanager arbeite ich mit vielen verschiedenen Kolleg:innen am GSEC zusammen, um unsere Produkte für Menschen auf der ganzen Welt weiter zu verbessern und neue Produkte zu entwickeln. Unsere Teams sind über mehrere Länder verteilt und so kann es sein, dass ich morgens E-Mails von Teams aus anderen Zeitzonen beantworte, tagsüber mit Kolleg:innen in München Ergebnisse einer aktuellen Nutzungsstudie bespreche sowie Rückmeldungen zu Produkt-Prototypen sammle, und abends per Videokonferenz mit Teams in den USA die gemeinsame Zusammenarbeit im nächsten Quartal plane.
Warum ist dir das Thema Onlinesicherheit und Datenschutz wichtig?
Datenschutz ist eines der wichtigsten Themen unserer Zeit. Gerade als jemand, der in Deutschland aufgewachsen ist, erinnert man sich an viele wichtige Debatten zu diesem Thema in den vergangenen Jahrzehnten. Auch während meines Informatikstudiums an der Universität München war das Thema schon aktuell. Seitdem weiß ich auch, dass ein hohes Maß an Datenschutz nur dann gewährleistet werden kann, wenn wir Menschen dabei helfen, die Sicherheit ihrer Daten zu verbessern. Das beste Schloss ist nichts wert, wenn der Schlüssel in die falschen Hände gerät. Im Internet ist das manchmal selbst für Expert:innen nicht einfach zu beurteilen: Kann ich auf dieser Website mit gutem Gefühl mein Passwort eingeben? Ist das überhaupt die Seite zu der ich wollte - oder werde ich gerade "gephished"? Hier kommen dann Tools wie ein Passwortmanager zum Einsatz, der genau das automatisch erkennt und sicherstellt, dass Passwörter nur auf der richtigen Seite verwendet werden.
Kannst Du das näher erläutern?
Nun, es ist so, dass der Passwortmanager vergleicht, ob die Internetadresse der Webseite genau mit der Adresse übereinstimmt, auf der das Passwort gespeichert wurde. Für uns Menschen ist das wesentlich schwerer, da wir leichte Veränderungen in der Adresse, z.B. www.googIe.de (mit großem i) statt www.google.de (mit kleinem L) gar nicht sehen können. Das machen sich Hacker zu nutzen, die uns täuschend ähnliche Seiten präsentieren, in der Hoffnung, dass wir versehentlich unsere Passwörter per Hand eingeben. Nur wenn ich daran gewöhnt bin, meine Passwörter per Hand einzugeben, kann ich "gephished" werden. Der Passwortmanager lässt sich von sowas nicht in die Irre führen.
Aktuelle Studien zeigen, dass immer noch viele Menschen die gleichen bzw. leicht knackbare Passwörter verwenden (z.B.“1234” oder “Passwort”). Warum ist das so, und was hindert Nutzer:innen daran, sicherere Zugänge zu verwenden?
Seien wir ehrlich: Wer steht morgens auf und denkt sich: „Ab heute verwende ich nur noch unknackbare Passwörter?“ Wer kann sich schon so viele verschiedene Passwörter merken? Ich kann verstehen, dass sich viele Menschen davor scheuen, weil es einfach umständlich ist. Außerdem fragen sich viele Nutzer:innen , ob sie leicht an ihre Passwörter rankommen, wenn sie einen Passwortmanager verwenden - vor allem, wenn sie ihr Passwort dann vielleicht doch mal auf einem anderen Gerät eingeben müssen. Deswegen haben wir vor kurzem eine Reihe wichtiger Änderungen angekündigt. In Zukunft kann man zum Beispiel eine Verknüpfung auf den Android Startbildschirm legen, um direkt zur Passwortliste zu gelangen.
Du sprichst von „unknackbaren“ Passwörtern. Was macht denn ein schwer zu knackendes Passwort aus?
Das Allerwichtigste ist es, Passwörter nur einmal zu nutzen und nicht für Konten auf mehreren Webseiten wiederzuverwenden. Damit schützt man sich schon mal davor, dass ein Datenleck auf einer Webseite zu Problemen mit allen anderen Konten führt. Darüber hinaus sollten Passwörter für Maschinen nicht erratbar sein, also nicht aus Wörtern im Wörterbuch, Geburtstagen, und ähnlichen Daten bestehen. Hacker probieren nämlich einfach alle möglichen Kombinationen aus, um ein Passwort zu erraten. Ein Passwortmanager bietet hier Abhilfe, indem für jedes Konto ein einmaliges Passwort generiert wird, das aus beliebigen Zahlen und Zeichenfolgen besteht.
Was entgegnest du auf die Befürchtung, dass, wenn der Zugang zum Passwortmanager geknackt ist, alle Passwörter verloren sind?
Google investiert kontinuierlich in Datensicherheit und die Sicherheit des Google Kontos ist dabei von herausragender Bedeutung. Persönlich halte ich das Aktivieren der Anmeldung in zwei Schritten für eine der wichtigsten Funktionen. Damit ist man doppelt geschützt.
Vor kurzem wurde ein wichtiger Meilenstein in Richtung passwortlose Zukunft angekündigt. Wie können wir uns diese Zukunft vorstellen?
Heute leben wir noch in einer Realität, die von Passwörtern geprägt ist. Hier am GSEC und mit Kolleg:innen und Partnern in der ganzen Welt arbeiten wir aber schon aktiv an einer passwortlosen Zukunft. Ganz konkret heißt das, dass unser Team zunehmend auch auf biometrische Sicherheit, Passwortgenerierung, Synchronisierung und Automatisierung setzt. Damit bereiten wir den Passwortmanager heute schon auf das Nutzererlebnis mit Passkeys vor. Für die Nutze:innen bedeutet das, dass sie in Zukunft ganz automatisch noch sicherer online unterwegs sein werden. Denn wo kein Passwort ist, kann auch keines gephished werden.
Und so viel ist sicher: Unsere Arbeit wird nicht weniger spannend. Im Gegenteil, sie wird weiter an Bedeutung zunehmen. Schon heute spielt sich ein Großteil unseres Alltags im Internet ab, Trendthemen wie eGovernment, Home Schooling oder Smart Home sind nur ein Teil davon. Damit wir alle aber auch mit Zuversicht diese Möglichkeiten nutzen können, werden wir weiterhin Online-Sicherheit und Datenschutz in den Mittelpunkt unserer Arbeit stellen.
Zu guter Letzt: Deine Top-Tipps für mehr Online-Sicherheit?
Erstens, immer darauf achten, den Internet Browser aktuell zu halten. Chrome und andere Browser bieten regelmäßig Sicherheitsupdates, die den Browser und damit die Online Sicherheit verbessern. Und zweitens, für jede:n Benutzer:in des Computers, Tablets oder Smartphones ein eigenes Gerätekonto einrichten.