Kritik an Androids Speicherpraxis für Passwörter und Googles Reaktion darauf

2013-07-29  |  Tablet pc News

Google erklärt das in die Kritik geratene "Meine Daten sichern" als praktische Komfortfunktion; der Passwort-Problematik weicht der Konzern hingegen geschickt aus.

Google hat auf die von heise Security kritisierte Passwort-Speicher-Praxis von Android mit einer Stellungnahme reagiert. heise Security hatte festgestellt, dass die Backup-Funktion "Meine Daten sichern" unter anderem WLAN-Passwörter ohne spezielle Schutzmaßnahmen im Google-Konto des Anwenders speichert. Nun erklärt das Unternehmen:

Mit keinem Wort erwähnt Google jedoch, dass diese Funktion auch Passwörter sichert, für die auch der US-Konzern normalerweise besondere Schutzmaßnahmen predigt: "Wie man auch seinen Haustürschlüssel keinem Fremden anvertrauen würde, sollte man sein WLAN-Passwort nur Menschen geben, denen man vertraut", erklärt Google Heimanwendern. Gerade in Firmen, die Single Sign On praktizieren, ist die Situation sogar noch brisanter. Denn dort ermöglicht das zentrale SSO-Kennwort oft sogar den Zugang zu E-Mail, Web-Frontends von Datenbanken oder CMS, via VPN zum Firmennetz und so weiter. Zur Sicherheit heißt es in der Stellungnahme lediglich:

"Solche Daten werden in verschlüsselter Form übertragen und sind nur dann zugänglich, wenn der Benutzer eine authentifizierte Verbindung zu Google hat. Die Daten sind in den Google-Rechenzentren gesichert, die mit starken Schutzvorrichtungen gegen digitale und physische Angriffe ausgestattet sind."

Das entspricht also gerade mal dem Schutz herkömmlicher Mails. Google geht in keiner Weise darauf ein, dass und warum es keine Option gibt, diese äußerst sensiblen Geheimnisse mit einem speziellen Passwort zu sichern, das die Firma nicht kennt. Dabei liegt die Frage auf der Hand: Immerhin bietet die Sync-Funktion von Chrome eine solche Option, Mozilla macht das in Firefox sogar standardmäßig und Smartphone-Konkurrent Apple verschlüsselt Passwörter im Backup der Keychain entweder mit einem fest ans Gerät gebundenen Schlüssel oder optional ebenfalls mit einem lokalen Passwort des Anwenders.

Google erachtet eine besondere Sicherung der Passwörter anscheinend nicht als notwendig. Somit muss man davon ausgehen, dass im Rahmen der Zugriffe auf Google-Daten durch die NSA auch die Passwörter direkt in die Hände des US-Geheimdienstes gelangen. Nun betont Google zwar immer wieder, es räume US-Behörden keinen "direkten Zugang" zu Daten der Anwender ein und Zugriffe staatlicher Behörden gestatte man ausschließlich im Rahmen der geltenden (US-)Gesetze. Außerdem prüfe man jede Anfrage einzeln auf ihre Rechtmäßigkeit. Das dürfte jedoch Google-Nutzer in Europa nur wenig beruhigen. Insbesondere Administratoren in Firmen treibt die Sorge um, dass die NSA durchaus auch im Bereich der Wirtschaftsspionage aktenkundig geworden ist.

Die Funktion „Meine Daten sichern“ dient dazu, ein Backup der eigenen Daten auf Google-Servern zu erstellen, um diese etwa vor endgültigem Verlust zu schützen oder in einem Schritt auf ein anderes mit Android betriebenes Gerät aufzuspielen. Gelingt es nun Dritten in das Google-Konto einzubrechen, können sie auch auf die in Klartext gespeicherten Passwörter für WLAN-Netze zugreifen, in die sich ein Nutzer regelmäßig mit seinem Android-Gerät einloggt. Das kann neben dem eigenen WLAN-Netz auch eines von Freunden oder jenes am Arbeitsplatz sein. Auf den Nexus-Geräten von Google ist diese Sicherung standardmäßig aktiviert.

Klicken Sie für weitere Informationen bitte hier: http://www.comebuy.com/handy-c-486

« Back