Google versichert stets, dass es die Sicherheit seiner Kunden sehr ernst nehme. Man sei stolz darauf, die besten Praktiken der Branche voranzutreiben, was die Kontosicherheit betrifft, heißt es. Doch in dem Fall, der im Mai ans Licht gekommenen ist, ging es um ungenügend gesicherte Passwörter in seine Dienste. Betroffen waren Gmail, Google Kalender, Google Drive, Hangouts, Google Docs, Sheets, Slides und Forms, Google Sites und Google+, die auch als G-Suite bezeichnet werden. Da hatte Google weder seine eigenen Standards noch die seiner Kunden erfüllt. Der Internetriese entschuldigte sich bei seinen Kunden und gelobte, es künftig besser zu machen.

Google hatte im Mai dieses Jahres zugeben müssen, dass es eine überschaubare Menge an G-Suite Passwörtern zusätzlich im Klartext abgespeicherte hatte. Dies betraf ausschließlich Unternehmenskunden, nicht Privatkunden. Der Fehler lag in einer speziellen Funktion zur Wiederherstellung von Admin-Passwörtern. Die Funktion speicherte 14 Jahre lang sog. nicht gehashte Passwörter in einer internen Google-Verwaltungskonsole ab. Google stellt erst dieses Jahr fest, dass diese Funktion schon seit 2005 fehlerhaft arbeitete und deaktiviert sie entsprechend.

Die G-Suite Unternehmenskunden wurde darüber unterrichtet und vorsichtshalber aufgefordert, ihre betroffenen Passwörter neu zu vergeben. Für diejenigen Kunden, die hier nicht selbst aktiv werden, wird Google die Passwörter automatisch zurücksetzen. Zum besseren Verständnis, dass die Daten der Kunden trotz ungehashter Passwörter so gut wie sicher gewesen waren, erklärte Google:

„Unsere Authentifizierungssysteme arbeiten mit vielen Sicherungsebenen neben dem Passwort. Wir setzen außerdem zahlreiche automatische Systeme ein, die bösartige Anmeldeversuche blockieren, selbst wenn der Angreifer das Passwort kennen würde. Darüber hinaus bieten wir G-Suite-Administratoren zahlreiche 2-stufige Verifizierungsoptionen (2SV) an, darunter Security Keys.“

Hintergrund für die Funktion ist, dass Google den G-Suite Administratoren beim Setzen und Wiederherstellen von Passwörtern helfen wollte. Diese Möglichkeit wünschten sich seinerzeit viele Unternehmenskunden. Mit dem Tool (in der Google-Verwaltungskonsole) können Administratoren Benutzerkennwörter für die Benutzer ihres Unternehmens hochladen oder manuell festlegen. Diese Funktion ist nun nicht mehr verfügbar.

Hash-Funktion erklärt

Was eine Hash-Funktion ist, und warum Passwörter gehash gespeichert werden sollten, wird in einem Video gut erklärt.

Untersuchung des Vorfalls bei Googles G-Suites

Eine gründliche interne Untersuchung dieser Sache ergab keinerlei Hinweise auf unsachgemäßen Zugriff oder Missbrauch der betroffenen G-Suite-Zugangsdaten. Trotz aller Sicherheit sehen Experten als mögliche Gefahren, dass die Passwörter schlimmstenfalls für autorisiertes Google-Personal zugänglich waren. Auch Administratoren der betroffenen G-Suite Konten hätten auf die Klartext-Passwörter innerhalb ihrer Gruppe zugreifen können. Das wäre nur dann gefährlich, wenn diese Personen betrügerische Absichten gehabt hätten. Wäre es Hackern zu irgendeinem Zeitpunkt gelungen, tief in Googles Infrastruktur einzudringen, wäre das der Super-Gau gewesen, nicht nur für G-Suite Kunden.

Im Zuge dessen untersuchte Google die G-Suite-Kunden-Anmeldeabläufe gründlich. Sie stellten auch hier einen Fehler fest, der seit Januar 2019 bestanden hatte. Der Fehler ging in dieselbe Richtung wie der erste Fehler aus 2005. Versehentlich wurde eine kleine Anzahl von nicht gehashten Passwörtern in Googles Infrastruktur gespeichert. Google speicherte diese Passwörter maximal 14 Tage lang. Auch dieser Fehler wurde aus der Welt geschafft. Es gab auch hier keine Hinweise auf unsachgemäßen Zugriff oder Missbrauch der betroffenen Passwörter.

David Kennedy, CEO von TrustedSec sagte zu dem Vorfall:

„Google hat in der Regel eine beachtliche Erfolgsbilanz bei der schnellen Erkennung und Behebung von Fehlern, sodass die Tatsache, dass es diesen Fehler seit 2005 gab und nicht erkannt wurde, beunruhigend ist. Wir haben dies bei Twitter, Facebook und mehreren anderen Unternehmen gesehen, bei denen ältere Prozesse oder Anwendungen dazu führen, dass Klartext-Passwörter intern offengelegt werden. Und selbst wenn es nur intern ist, schafft es immer noch ein erhebliches Sicherheitsrisiko.“

Kennedy bezieht sich auf ähnliche Fehler, die in den letzten eineinhalb Jahren bei Twitter und Facebook aufgetaucht sind. Facebooks Fehler begannen 2012. Twitter verschweigt sich irgendwelche Angaben dazu. Google, so Kennedy, hätte den richtigen Schritt gemacht und „vorsichtshalber“ Passwörter zurückgesetzt. Facebook und Twitter hielten das nicht für nötig.

Artikel von google.com, 21.05.2019: Notifying administrators about unhashed password storage
Artikel von wired.com, 21.05.2019: Google Has Stored Some Passwords in Plaintext Since 2005
Artikel von theregister.co.uk, 22.09.2019: G Suite’n’sour: Google resets passwords after storing some unhashed creds for months, years Biz app login details encrypted at rest, though, ad giant insists
Artikel von zdnet.com, 21.05.2019: Google says it stored some G Suite passwords in unhashed form for 14 years

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0