Viele Internetnutzer haben einen Google-Account, und für einen guten Teil davon ist er ein fundamentaler Baustein ihres Online-Alltags. Einerseits, weil Gmail mit über einer Milliarde aktiven Nutzern der größte E-Mail-Anbieter der Welt ist, andererseits auch, weil man für die Verwendung des Play Store und anderer Google-Dienste unter Android beim IT-Riesen aus Mountain View registriert sein muss.

Das macht ein solches Konto natürlich zu einem potenziell wertvollen Ziel für Angreifer, erinnerte Google im Vorfeld des Safer Internet Day am 8. Februar. Man verweist auch auf die sich ändernde Sicherheitslage. Man hat während der Pandemie mehr Malwareaktivität bemerkt. Insbesondere Keylogger, die Tastatureingaben mitlesen und an die Angreifer schicken, sind beliebt. Und auch Phishing – das Verleiten von Usern, heikle Daten preiszugeben – ist weiter eine zentrale Bedrohung. Ebenso spielen Datenlecks auch noch eine große Rolle bei Fällen von Datendiebstahl und Identitätsklau.

Spamfilter, Safe Browsing, Play Protect

Dementsprechend wichtig ist es, das eigene Google-Konto zu schützen. Der Konzern selbst bietet dafür drei zentrale Schutzmechanismen. Der erste ist der in Gmail integrierte, selbstlernende Filter, der die allermeisten Spam- und Phishing-Mails davon abhalten soll, überhaupt erst im Posteingang zu landen. Nach eigenen Angaben funktioniert das auch in 99,9 Prozent aller Fälle.

Genannt wird auch das in den Chrome-Browser integrierte "Safe Browsing". Dieses prüft Webseiten auf problematische Sicherheitslecks, etwa falsch zugeordnete oder abgelaufene HTTPS-Zertifikate, und gleicht sie außerdem mit einer laufend gepflegten Datenbank ab. Geht von einer Seite Gefahr aus, so wird ein Fenster mit einem Warnhinweis vorgeschaltet, über den sich der Nutzer in zwei Schritten explizit hinwegsetzen muss, um die Seite dennoch aufzurufen. Auch andere Browserhersteller haben Mechanismen dieser Art implementiert.

Zu guter Letzt gibt es auch noch Play Protect. Das ist Googles automatisierte Prüfung für Android-Apps und App-Updates, die Entwickler im Play Store anbieten wollen. Diese soll gewährleisten, dass keine Malware oder Spyware ins Angebot gelangt.

Sicheres Kennwort und Phishing-Check

Doch die besten automatischen Schutzmechanismen nützen wenig, wenn der User selbst nicht ein Mindestmaß an Sicherheitsbewusstsein mitbringt. Hier hat Google natürlich auch Empfehlungen parat, die sich aber längst nicht nur auf Google-Accounts anwenden lassen, sondern von allgemeiner Bedeutung sind.

Das erste Element eines möglichst schwer zu knackenden Kontos ist ein sicheres Passwort. Hier empfiehlt man ein Kennwort, das mindestens zwölf Zeichen lang ist. Dabei empfiehlt es sich, Wörter zu nutzen, die man sich merkt, aber auf die andere Personen nicht unbedingt kommen würden. Offensichtliche oder leicht herausfindbare Daten und Begriffe wie Geburtstag oder Adresse sind daher tunlichst zu vermeiden. Ein No-Go ist auch Passwort-Recycling, also das Wiederverwenden von Passwörtern bei mehreren Seiten – egal ob 1:1 oder mit kleinen Abwandlungen. Dort, wo bei der Anmeldung bereits ein Passwort vorgegeben ist, sollte man dieses auf eine Eigenkreation ändern.

Es schadet auch nicht, E-Mails und Log-in-Dialoge genauer anzusehen und generell nicht alle Links oder Anhänge in Nachrichten fremder Absender anzuklicken. Denn Cyberkriminelle bauen sie mittlerweile täuschend echt nach. Mitunter offenbart erst ein Blick auf die Domain oder grafische Detailelemente, dass es sich um einen Betrugsversuch handelt. Wer mag, kann seine detektivischen Skills in einem von Google zusammengestellten Phishing-Quiz testen.

Zwei-Faktor-Authentifizierung ist nicht immer gleich sicher

Dringend empfohlen ist auch die Aktivierung von Zwei-Faktor-Authentifizierung. Diese sorgt dafür, dass der Log-in in das eigene Konto von einem bisher nicht genutzten Gerät nur dann möglich ist, wenn man diesen freigibt. Dafür gibt es verschiedene Wege: SMS, Codeliste, Authenticator-App, Push-Benachrichtigung und Security-Token. Letztere Variante ist ein physisches Gerät, auf dem ein einzigartiger Authentifizierungsschlüssel hinterlegt ist. Das heißt, dass selbst Nutzername und Passwort für einen Angreifer noch nicht ausreichend sind, um sich Zugriff zu verschaffen.

Die anderen für den Log-in erforderlichen Informationen – Nutzername und Passwort – finden sich darauf allerdings nicht, ebenso auch kein Hinweis, für welche Seiten und Services es genutzt werden kann. Als einzige Zwei-Faktor-Lösung ist es damit immun gegen Phishing, allerdings auch die komplizierteste Lösung, die von vielen Plattformen auch noch nicht unterstützt wird. Die sicherste Token-freie Variante sind laut Google Log-in-Codes, die per Push-Benachrichtigung übermittelt werden.

Schließlich gibt es auch noch Googles "erweitertes Sicherheitsprogramm". Gedacht ist dieses beispielsweise für Menschenrechtsaktivisten, Politiker oder Journalisten. Hier kommen nicht nur ein Security-Token oder ein im Smartphone hinterlegter Sicherheitsschlüssel zum Einsatz, sondern auch weitere Maßnahmen seitens von Google selbst. Downloads werden strenger auf potenzielle Schadsoftware geprüft, und nur Google-Apps sowie geprüfte Drittanbieter-Software kann – mit Zustimmung des Users – auf bestimmte Kontodaten zugreifen.

Wie man Android sicher nutzt

Fehlen darf an dieser Stelle auch nicht ein Hinweis auf unseren Leitfaden für Android-Nutzer. Wer den wichtigsten Tipps zur Absicherung seines Smartphones folgt, muss auch bei Googles mobilem Betriebssystem keine Angst vor Schadsoftware und anderen Bedrohungen haben. (gpi, 7.2.2022)