Das beste Passwort bringt wenig, wenn es auf den Servern des Betreibers im Klartext gespeichert ist. Entsprechend scharfe Kritik musste sich vor einigen Wochen Facebook anhören, als herauskam, dass das Unternehmen nicht nur die Passwörter von hunderten Millionen Nutzern unverschlüsselt gespeichert hatte, sondern auch 20.000 der eigenen Angestellten darauf Zugriff hatten. Nun meldet Google einen ähnlichen Vorfall – auch wenn die Dimensionen andere sind.

Fataler Fehler

In einem Blogposting informiert Google darüber, dass die Passwörter einzelner Kunden im Klartext auf den eigenen Servern gespeichert wurden – und zwar seit 14 Jahren. Allerdings sei davon nur ein sehr kleiner Teil von Nutzern betroffen, wie das Unternehmen versichert – und vor allem keine Privat-Accounts.

Auslöser des Problems ist eine Funktion für Firmen-Accounts – also für Kunden von Googles Bezahlangebot "G Suite". Den jeweiligen Administratoren war es in frühen Jahren möglich, die Passwörter für einzelne Nutzer manuell einzutragen. Genau dies führte aber dazu, dass die betreffenden Einträge im Klartext abgespeichert wurden. Diese Funktion gibt es zwar seit einigen Jahren nicht mehr, wer aber seit damals das eigene Passwort nie geändert hat, hat dieses noch immer unverschlüsselt auf den Servern von Google liegen.

Klartext

Üblicherweise werden Passwörter auf Servern heutzutage in einer verschlüsselten Form gespeichert, damit Angreifer im Falle eines Einbruchs nichts damit anfangen können. Ob dies auch funktioniert, hängt nicht zuletzt von der Qualität dieser Schutzmaßnahmen ab. Sind die Passwörter im Klartext vorhanden, macht man es Angreifern freilich erheblich leichter.

Angesichts dessen betont Google, dass die Passwörter nie auf aus dem internet direkt erreichbaren Servern gespeichert wurden. Zudem gebe es keinerlei Hinweise darauf, dass Dritte je Zugriff auf diese Daten gehabt haben. Trotzdem wolle man sich bei den eigenen Kunden entschuldigen, da man damit die eigenen Sicherheitsansprüche nicht erfüllt habe. Administratoren betroffener G-Suite-Accounts seien bereits informiert worden, wo das Passwort noch nicht geändert wurde, habe man dieses für die Nutzer nun zurückgesetzt. Sie müssen also beim nächsten Login ein neues wählen. (apo, 22.5.2019)