So macht ein GSEC Sicherheitsexperte Hackern das Leben schwer

Durch die Arbeit von Thomas Lottermann und seinem Team im Google Safety Engineering Center (GSEC) werden wichtige Tools wie der Sicherheitscheck im Google Konto und der Passwortmanager immer besser. Dabei stammt die Motivation des Entwicklers aus der ganz persönlichen Erfahrung mit einem gehackten Konto. Was Thomas erlebt hat, was ihn antreibt und wie sein Team bei der Weiterentwicklung der Produkte vorgeht, verrät er im Interview.

Thomas, du bist Software Engineer im Google Safety Engineering Center hier in München. Woran arbeitest du genau?

Schwerpunktmäßig arbeite ich an unserem Passwortmanager und dem Sicherheitscheck, eine Funktion innerhalb des Google Kontos, das Nutzer:innen durch die wichtigsten Sicherheitseinstellungen führt und individuelle Handlungsempfehlungen gibt sowie proaktiv auf Sicherheitsrisiken hinweist. Beide Themen sind eng miteinander verbunden und bauen inhaltlich aufeinander auf, denn gerade das Thema „sichere Passwörter“ hängt direkt mit der Accountsicherheit zusammen. So scannen unsere Tools beispielsweise regelmäßig das Dark Web nach geleakten Login- und Passwortdaten! Über den Sicherheitscheck informieren wir Betroffene anschließend darüber und regen sie an, ihre Zugangsdaten zu ändern – gerne auch mit Hilfe unseres Passwortmanagers.

Besonders spannend an meiner Arbeit finde ich die Zusammenarbeit mit vielen verschiedenen Teams weltweit, wie zum Beispiel aus Israel. Außerdem mag ich es, dass wir den Spieß herumdrehen können, indem wir die Daten, zu denen auch Hijacker Zugang haben, für die Onlinesicherheit unserer Nutzer:innen einsetzen. Denn Listen mit Accountdaten von Nutzer:innen im Dark Web sind von den Onlinekriminellen ja eigentlich dafür gedacht, Accounts zu hacken. Wir nehmen sie und machen durch Warnungen die Accounts der Betroffenen sicherer und mindern gleichzeitig den Wert der Daten für die Hacker.

Kannst Du dich noch daran erinnern, wie die Idee für den Sicherheitscheck damals aufgekommen ist?

Angefangen hat alles damit, dass wir einen zentralen Ort zur Verfügung stellen wollten, an dem wir Sicherheitstipps geben und im Fall von Problemen auch ganz aktiv auf Nutzer:innen zugehen können. Den haben wir im Laufe der Zeit immer weiter ausgebaut, um auf verschiedene Sicherheitsfeatures wie die 2-Faktor-Authentifizierung oder verdächtig erscheinende Logins in ihr Google-Konto hinzuweisen. Ich persönlich bin dazu gekommen, als wir mit unserer Arbeit am Passwortcheck begonnen haben, und ihn nun auch zu einem festen Bestandteil des Sicherheitschecks gemacht haben. Dank dieser Integration können wir nun mehreren Millionen Menschen jede Woche helfen, ihre Passwörter ein bisschen sicherer zu machen.

Warum ist dir dieses Thema wichtig? Wie bist du dazu gekommen?

Bevor ich angefangen habe, an dem Thema zu arbeiten, sind auch von mir ein paar Accounts gehijackt worden. Damals gab es allerdings noch keine Möglichkeiten nachzuvollziehen, was los war und warum das passiert ist. Für mich ist dieses Erlebnis eine große Motivation gewesen, daran zu arbeiten, dass anderen Leuten so etwas erspart bleibt und ich mag den Gedanken, dass mein Team und ich mit unserer Arbeit das Internet als Ökosystem etwas sicherer für alle gestalten.

Du und dein Team sagt über euch, dass ihr Sicherheitstools entwickelt, die nicht nur Fachleute verstehen. Was ist dabei die Herausforderung?

Eine Herausforderung ist, dass wir Nutzer:innen über bestehende Risiken informieren möchten, aber keine Panik verbreiten wollen. Das ist allerdings gar nicht so leicht, weil bei allen Themen, die mit Sicherheit zu tun haben, bei Nutzer:innen schnell die Alarmglocken angehen. Zudem dürfen ständige Warnungen nicht zur Gewohnheit werden, denn dann würden sie nicht mehr ernst genommen werden. Daher müssen wir gut abwägen, was ein ernstzunehmendes Risiko darstellt und die Aufmerksamkeit der Nutzer:innen erfordert und Wege finden, diese auch zu bekommen.

Außerdem ist das Thema Passwort- und Account-Sicherheit sehr technisch und vielen Nutzer:innen fehlt das Hintergrundwissen, warum bestimmte Szenarien gefährlich sind. Um das zu ändern, ist nicht nur eine kontinuierliche Aufklärungsarbeit u.a. über diesen Blog oder das Sicherheitscenter notwendig, sondern auch die ständige Vereinfachung unserer Tools, die Nutzer:innen befähigen, bestehende Sicherheitsrisiken einfach selber lösen zu können. Dabei arbeiten wir eng mit Leuten wie meinem Kollegen Tobi zusammen, die gemeinsam mit Nutzer:innen ermitteln, welche Erklärungen gut verständlich sind und ob sich alles intuitiv bedienen lässt.

Wie häufig sollte ich als Nutzer:in den Sicherheitscheck durchführen und was sollte ich dabei beachten?

Da Nutzer:innen und ihr Verhalten individuell sind, lässt sich das pauschal nicht beantworten. In vielen Fällen wenden wir uns aktiv an unsere Nutzer:innen, wenn wir aktive Sicherheitshinweise mit konkreten Maßnahmen für sie haben. Allerdings lohnt es sich auch ohne konkreten Anlass, einfach mal im Sicherheitscheck des Google Kontos vorbeizuschauen und sich einen Überblick über die eigene Account-Sicherheit zu verschaffen. Gleichzeitig ist es hilfreich, um überhaupt erstmal zu wissen, welche Einstellungsmöglichkeiten ich habe.

Bei all eurer Arbeit im GSEC, Onlinerisiken im Netz zu bekämpfen: Brauchen wir den Sicherheitscheck in Zukunft überhaupt noch?

Ich denke, den Google Sicherheitscheck wird es in fünf oder 10 Jahren immer noch geben, auch wenn wir daran arbeiten, viele Gründe, die ihn nötig machen, zu beseitigen. Passwörter sind beispielsweise von Natur aus unsicher, daher wollen wir sie am liebsten komplett durch sicherere Lösungen ersetzen. Als Mitglied des Passwortmanager-Teams ist es natürlich ein komisches Gefühl, sich mit seiner Arbeit selbst obsolet zu machen (lacht). Aber die Lösungen für eine passwortlose Zukunft, an denen wir arbeiten, sind auch sehr spannend. Bis dieses Szenario eintrifft, wird es allerdings noch etwas dauern und bis dahin setzen wir auf eine möglichst breite Verwendung der Zwei-Faktor-Authentifizierung und auf Benachrichtigungen auf dem Handy über verdächtige Logins als zusätzliches Sicherheitsfeature.

Was sind deine 3 Tipps, die jede und jeder für die eigene Onlinesicherheit kennen und anwenden sollte?

1. Ich empfehle jedem, die Zwei-Faktor-Authentifizierung und „Sign in with Google“ für Log-ins in andere Online-Konten nutzen. So könnt ihr euch voll auf die Online-Sicherheit eines Kontos fokussieren und sichert damit gleichzeitig die anderen Online-Konten mit ab.
2. Jeder weiß es, aber nicht alle beachten den wohl gängigsten Passworttipp: Verwendet ein einzigartiges Passwort für jede Seite. Da das nahezu unmöglich ist, sollte man am besten direkt einen Passwortmanager verwenden. Er merkt sich nicht nur individuelle Passwörter, sondern generiert auch sichere – weil komplett zufällige – Passwörter. Genau dafür bauen wir den Google Passwortmanager.
3. Und zu guter letzt: Vorsichtig sein, welche E-Mails man öffnet und welche Links man anklickt. Dabei geht es nicht nur um irgendwelche offensichtlichen Phishing-Versuche, sondern auch um scheinbar echte Nachrichten von Online-Versandhäusern, Banken und Co. Zum Beispiel lohnt es sich, einen genauen Blick auf die Absenderadresse zu werfen – manchmal sind es nur kleine Ungereimtheiten, die einen Täuschungsversuch entlarven. Und wenn man unsicher ist, lieber erst einmal den offiziellen Support der betreffenden Seite fragen, als an dubioser Stelle die eigenen Daten einzugeben.

Danke für das Gespräch, Thomas!