Soup von abotis

Da schaut man sich um, was es Neues gibt und schon findet sich wieder eine super skandalöse Geschichte. Die beiden Hauptdarsteller: Datenschutz und Großkonzern. Das verkauft sich immer gut.
Und auch Spiegel online (auf deren Artikel ich mich beziehe), die Welt, Focus online oder auch “Die Zeit” berichteten von der riesigen Sicherheitslücke, die da bei Google zu finden ist. Allein: ein Ulmer FORSCHER soll das herausgefunden haben. Das muss ja was ganz großes sein.

Also worum geht es genau?

Besagter Ulmer Forscher fand heraus, dass sich Android Handys mit Google Servern verbinden, um Telefonkontakte, Kalendernotizen und Fotoalben zu synchronisieren. Um sicher zu stellen, dass der Benutzer auch berechtigt ist, die Daten zu synchronisieren wird ein Token benutzt, der sich allerdings nur alle zwei Wochen ändert.
Hat ein User den Token ist es möglich somit Zugriff auf die jeweiligen Dienste zu erhalten. Kann man also das Token herausfinden, hat man Zugriff auf die Daten.
Das Herausfinden ist nicht allzu schwer, denn Android – Handys verbinden sich automatisch mit bekannten WLANs. Ist ein Android – Handy nun in einem solch offenen WLAN eingewählt, kann jeder – egal ob der WLAN – Betreiber oder irgendein unbekannter Dritter – alle Daten mitschneiden. Inklusive des Tokens.

Meiner Meinung nach zeigen sich hier zwei Dinge: die stark verbreitete Unterschätzung des Datenschutzrisikos hinsichtlich Cloud Dienste und die massenhafte Unwissenheit, wie eigentlich die Technologie, die wir täglich nutzen, funktioniert.
Denn prinzipiell ist es in JEDEM WLAN unsicher, Daten zu versenden. Es ist vollkommen egal, ob das WLAN verschlüsselt ist oder nicht. Denn jeder, der Zugriff auf das verschlüsselte WLAN hat, kann Daten mitschneiden.
Deshalb ist es auch wichtig darauf zu achten, dass man sich immer über SSL einloggt. Das sieht man daran, dass in der URL – Leiste statt “http://” nämlich “https://” steht. Ansonsten ist es nämlich IMMER – und dabei ist es egal ob WLAN oder Kabelnetzwerk – möglich, Daten mitzuschneiden.

Dieses Problem ist schon so alt, wie die Netzwerktechnologie selber. Und ich finde es ziemlich bedenklich, dass selbst solche trivialen Meldungen für solche auf-reißerischen Schlagzeilen hergenommen werden. Das Problem ist einfach nur, dass Google geschlampt hat und kein SSL für die Dienste eingerichtet hat. Und das die Prüfung, ob ein WLAN bekannt ist oder nicht über den Netwerknamen erfolgt und nicht über die eindeutigere MAC – Adresse.
Von einer Sicherheitslücke bei Google zu reden ist allerdings sehr stark übertrieben und zeigt auch wie stark einerseits der Druck nach hoher Auflage und Page Impressions ist und wie sehr viele Menschen das Internet (und alles was dazugehört) als unbegreifbares Hexenwerk verstehen.

Allerdings zeigt sich auch mal wieder, dass nicht nur alles toll ist am Cloud – Hype. Denn es ist nicht nur so, dass man seine Daten auf fremde Server legt, sondern auch, dass die Übertragungswege nicht immer sicher sein müssen.
Das Problem ist nicht allzu unbekannt. Facebook führte bereits Oktober letzten Jahres SSL ein, um ein Mitschneiden der Daten zu verhindern. Und auch Twitter kennt die Problematik. Denn der Account von Ashton Kutcher musste bereits daran glauben. Seitdem hat sich auch Twitter bemüht, SSL komplett und nicht nur für den Login anzubieten.
Und nun muss Google halt nachziehen und hat das dies auch teilweise getan. Problematisch dabei ist die unterschiedliche Verbreitung der unterschiedlichen Android – Versionen.

So gesehen ist, die ganze Geschichte schon beunruhigend. Denn sie zeigt wieder mal auf, wie vernetzt unser Leben mittlerweile ist und wie wenig wir Kontrolle wir am Ende darüber haben. Und wie sehr wir darauf angewiesen sind, dass Anbieter und Hersteller auf Datenschutz achten und das Datenschutz nicht nur heißt, seine Datenbanken abzusichern.
Denn mit der technischen Entwicklung wird es künftig nicht einfacher werden, Datenschutz zu gewährleisten.
Mehr allerdings beunruhigt mich, dass Journalismus scheinbar immer weniger auf Qualität – wie von verschiedenen Lobbies immer so gern behauptet – setzen und lieber mit vermeintlichen Skandalen versuchen Auflagen und Klicks für sich zu gewinnen. Denn unverschlüsselte Datenübertragung ist immer gefährlich. Ganz egal wo.