Sicherheitsprobleme bei Google Plus Warum schwieg Google monatelang?

Nach einer Datenpanne schließt Google sein Netzwerk Google Plus. Der Konzern weiß schon lange von dem Problem, verriet aber nichts. Nun gibt es Vorwürfe: Google hätte die Nutzer früher informieren müssen.

Google-Logo
DPA

Google-Logo


Das Onlinenetzwerk Google Plus hatte jahrelang eine Schwachstelle. App-Entwickler konnten seit 2015 ohne Erlaubnis auf einige private Nutzerdaten zugreifen. Der Dienstbetreiber Google entdeckte und schloss die Lücke im März 2018 - verschwieg sie der Öffentlichkeit gegenüber aber bis jetzt.

Am Montagabend nun informierte der Konzern nicht nur über das Problem, sondern kündigte auch an, dass er das Netzwerk für Verbraucher dichtmacht. Google Plus war 2011 als Konkurrenz zu Facebook gestartet, hatte sich aber nie durchsetzen können.

Durch die Softwarepanne hätten App-Entwickler auf den Namen, die E-Mail-Adresse sowie Informationen über Beschäftigung, Geschlecht und Alter von Nutzern zugreifen können, räumte Google am Montag ein. Um andere Daten gehe es nicht.

Potenziell könnten Profile von bis zu 500.000 Konten bei Google Plus betroffen sein. Der Konzern teilte allerdings mit, er könne keine weitergehenden Angaben machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden. Bis zu 438 Apps könnten auf die Schnittstelle mit der Datenlücke zugegriffen haben.

Google hat keine Hinweise auf einen Datenmissbrauch, heißt es - aber eben auch nicht genug Informationen aus der Vergangenheit, um ihn vollständig auszuschließen. Der Konzern hatte sich im März dagegen entschieden, die Öffentlichkeit gleich über die Entdeckung des Problem zu informieren.

"Bewusst verschwiegen, damit Gras über die Sache wächst"

Der Hamburger Datenschutzbeauftragte Johannes Caspar leitet deswegen nun Ermittlungen ein. "Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst", erklärte Caspar der Nachrichtenagentur dpa. "Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde."

Denn seit dem Mai 2018 kommt die neue EU-Datenschutzgrundverordnung (DSGVO) zur Anwendung. In Artikel 33 und Artikel 34 des Regelwerks werden Internetkonzernen wie Google genaue Transparenzvorgaben gemacht, wie sie derartige Sicherheitsprobleme kommunizieren müssen.

Es ist demnach in bestimmten Fällen strikt vorgeschrieben, betroffene Nutzer und die zuständigen Aufsichtsbehörden zu informieren. Wer gegen die DSGVO verstößt, dem drohen Strafen von bis zu vier Prozent des Jahresumsatzes.

Wenn Google die Lücke aber tatsächlich im März schloss, galt die DSGVO für den Fall noch nicht. In diesem Fall käme nur das alte Recht des Bundesdatenschutzgesetzes zur Anwendung. "Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren", erläutert Caspar.

Auf SPIEGEL-Nachfrage zu diesem Sachverhalt rechtfertigte Google seine Entscheidung, die Information erst so spät öffentlich zu machen: Es habe keine Hinweise auf Missbrauch der Daten gegeben. Nutzer oder Entwickler hätten zudem keine eigenen Schutzmaßnahmen treffen können.

"Wann immer Nutzerdaten betroffen sein könnten, gehen wir über die gesetzlichen Anforderungen hinaus", hieß es bezüglich der Frage, ob Google gegen die DSGVO verstoßen haben könnte.

Google scheute wohl den Vergleich zum Facebook-Datenskandal

Dem "Wall Street Journal" zufolge wiesen Googles Juristen das Topmanagement nach Entdeckung der Schwachstelle darauf hin, dass eine Offenlegung vermutlich "sofortiges Interesse von Regulierern" und Vergleiche mit dem Facebook-Datenskandal um Cambridge Analytica auslösen würde. Ein internes Gremium habe entschieden, nicht an die Öffentlichkeit zu gehen, Google-Chef Sundar Pichai sei darüber informiert gewesen.

Schnittstellen für App-Entwickler hatten auch eine zentrale Rolle in dem Mitte März ausgebrochenen Facebook-Datenskandal um Cambridge Analytica gespielt. Das Onlinenetzwerk erlaubte es App-Entwicklern bis 2015, auch auf Daten von Freunden eines Nutzers zuzugreifen.

Google Plus bei Nutzern unbeliebt

Google Plus wird laut Angaben des Konzerns kaum noch von Verbrauchern genutzt - und 90 Prozent der Interaktionen dauerten weniger als fünf Sekunden. Die Einstellung der Verbraucherversion solle nach einer zehnmonatigen Übergangszeit Ende August kommenden Jahres abgeschlossen werden. Für die interne Kommunikation in Unternehmen soll Google Plus aber weiterbetrieben werden.

Zusammen mit der Nachricht zum Aus von Google Plus verkündete der Konzern Neuerungen, die die Privatsphäre der Nutzer besser schützen sollen.

  • Eine wichtige Änderung betrifft das Mobil-Betriebssystem Android, das auf Geräten von Hunderten Millionen Menschen läuft. Die Nutzer werden präziser bestimmen können, welche Daten sie mit einer App teilen wollen, wie Google ankündigte. Grundsätzlich würden weniger Apps Zugriff auf Anruflisten und SMS-Daten bekommen.
  • Außerdem werde auch der Zugriff von App-Entwicklern auf die E-Mails in Googles Gmail-Dienst stärker eingeschränkt. Das "Wall Street Journal" hatte im Sommer berichtet, App-Entwickler verwendeten zum Teil E-Mails von Nutzern, um Algorithmen etwa für automatische Antworten zu trainieren. Das hatte für Kritik gesorgt.

gru/dpa



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
felix_hauck 09.10.2018
1.
Das Tolle ist, dass ich bei der Einführung von Google + damals gezwungen wurde dort einen Account zu erstellen, um Youtube weiter wie gewohnt nutzen zu können.
urbanism 09.10.2018
2. warum schwieg Google?
warum schwieg Google? Aus dem selben Grund wie alle Börsennotierten Konzerne Schweigen wenn große Fehler passieren oder Betrogen wird. Nämlich die Angst vor dem Kursverlust der eigene Aktie und den entsprechenden Reaktionen der Großaktionäre.
peterka60 09.10.2018
3. Und jetzt?
Ich verstehe nicht, warum hier wieder ein solches Theater gemacht wird. Jeder weiss doch seit vielen Jahren, Das wir "gläsern" sind von dem Moment an, in dem wir uns bei sozialen Medien anmelden, wissen wohl alle. Ich habe nichts zu verstecken. Ich habe einen Facebook-Account, den ich alle 3 Monate einmal anschaue, einen Google plus - Account, den ich noch nie angeschaut habe, einen Twitter-Account, den ich nicht nutze. WhatsApp, Line usw. brauche ich wenn ich im Ausland bin. Skype, weil ich aus Asien oder anderen Kontinenten halt leichter kontaktiert werden und Meetings machen kann. Und das alles seit vielen, vielen Jahren. Noch nie hatte ich das Gefühl, dass ich beobachtet werde.
quark2@mailinator.com 09.10.2018
4.
Ich finde ja Googles Begründung für die Verheimlichung so toll ... "weil es sonst sofort intensives Interesse von regulatorischen Behörden gegeben hätte". Das ist schon verdammt frech und sollte unter Strafvereitelung fallen. Wir sagen niemandem, daß unsere Kessel explodieren, sonst kommt noch jemand auf die Idee, uns Inspektionen und Grenzwerte zu setzen. Schon klar, warum der Laden sein Motto "Tue nichts Böses" mehr oder weniger getilgt hat. Das war nur nützlich, solange man noch nicht groß genug war :-(. So langsam brauchen wir das Standard-Oil-Verfahren für die großen Computer- und Internetkonzerne.
Markus Frei 09.10.2018
5. Unterschied
Der Vergleich mit dem Facebook-Skandal hinkt schon gewaltig. Hier geht es um das mögliche Ausnutzen eines technischen Fehlers, Facebook hat die Nutzerdaten ja vorsätzlich von sich aus verscherbelt. In der IT weis man ganz genau das es kein "sicheres" System gibt. Fehler, "Lücken" oder Bugs sind an der Tagesordnung und damit geht man erst an die Öffentlichkeit wenn man das Problem gelöst hat.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.