Fotostrecke

Bilder aus Rechenzentren: Googles Schatzkammern

Foto: Google / Connie Zhou

W-Lan-Daten So wehren Sie sich gegen Googles Passwort-Kopierer

Google kopiert W-Lan-Passwörter unverschlüsselt auf seine Server - und will an dieser Praxis festhalten. Trotz Experten-Kritik nennt das Unternehmen das Verfahren sicher. Der Hamburgische Datenschutzbeauftragte will die Sache jedoch nicht auf sich beruhen lassen.

Google überträgt standardmäßig die auf Android-Geräten gespeicherten W-Lan-Passwörter auf US-Server. Kunden werden über diese Praxis nicht klar informiert. Viele Experten kritisieren Googles Vorgehen: Entwickler der US-Bürgerrechtsorganisation EFF, Systemadministratoren deutscher Universitäten, Fachdienste wie Heise Security. Google hingegen verteidigt die Praxis. Das Unternehmen antwortet nun auf Fragen von SPIEGEL ONLINE vom Dienstag so:

"Die optionale Funktion 'Meine Daten sichern' erleichtert den Wechsel zu einem neuen Android-Gerät, indem man mit seinem Google-Konto und Passwort einige der vorherigen Einstellungen wiederherstellen kann."

Optional ist ein dehnbarer Begriff - die Funktion kann man nachträglich deaktivieren, standardmäßig ist sie aber eingestellt.

Zumindest die vom aktuellen Android-Gerät übertragenen Passwörter lassen sich Google zufolge nachträglich löschen:

  • Man muss dazu in den Einstellungen des Android-Geräts die Option "Sichern und zurücksetzen" aufrufen (bei vielen Geräten unter dem Menüpunkt "Konten").
  • Dann entfernt man das Häkchen bei "Meine Daten sichern".
  • Google zufolge werden dadurch "alle Kopien von Google-Servern" gelöscht.

Fotostrecke

W-Lan-Daten: Googles Passwort-Kopierer richtig ausschalten

Foto: SPIEGEL ONLINE

Es gibt allerdings keine Option, Daten zu löschen, die von alten Geräten kopiert wurden, auf die man keinen Zugriff mehr hat. Alle jemals genutzten Android-Geräte sind im entsprechenden Google-Konto weiter aufgeführt, löschen oder bearbeiten lassen sich die Daten nicht.

Google verschlüsselt Übertragung, nicht das Passwort

Bei der Frage, ob die Passwörter verschlüsselt sind, gibt es Interpretationsspielraum. Google antwortet auf diese Frage mit einer vorsichtig formulierten Aussage:

"Solche Daten werden in verschlüsselter Form übertragen und sind nur dann zugänglich, wenn der Benutzer eine authentifizierte Verbindung zu Google hat."

Flüchtig gelesen scheint diese Ausführung der Analyse der EFF zu widersprechen. Chefentwickler Micah Lee hatte in seiner Fehlermeldung an Google gewarnt, Passwörter würden im "Klartext an Google" übertragen. Eine mögliche Erklärung dieses Widerspruchs: Google bezieht sich auf die verschlüsselte Übertragung eines nicht verschlüsselten Passworts. Ein solches Verfahren hätte zur Folge, dass das Passwort auf Googles Servern im Klartext zugänglich wäre und von dort auch auf neue Geräte übertragen werden könnte. Nebeneffekt: Wenn Behörden Google zur Herausgabe zwingen, kann das Unternehmen die Daten liefern.

Google hält am Kopieren als Voreinstellung fest

Vor der Möglichkeit einer solchen Weitergabe warnt Lee, der bis heute nichts von Google gehört hat. Sicherer ist es, wenn das Passwort vor einer Übertragung auf dem Gerät selbst verschlüsselt wird, so dass es sich nur mit dem auf diesem Gerät verwendeten Schlüssel wieder dekodieren lässt. Heise Security  zufolge verschlüsselt Apple zum Beispiel Backups so, mit einem ans jeweilige Gerät gebundenen Schlüssel. Apple versichert, man habe keine Kopie dieses Schlüssels.

Diese Interpretation von Googles Aussagen könnte den scheinbaren Widerspruch erklären. Auf Nachfragen, welches Verfahren mit "in verschlüsselter Form übertragen" gemeint ist, hat Google bis zur Veröffentlichung dieses Artikels nicht geantwortet. Das Unternehmen versichert aber, die Daten seien "in den Google-Rechenzentren gesichert", diese seinen mit "starken Schutzvorrichtungen gegen digitale und physische Angriffe" ausgestattet. Außerdem bestreitet Google weiterhin, dass "Behörden direkte Zugriffe auf unsere Systeme" haben.

An dem Prinzip, dass W-Lan-Passwörter standardmäßig auf Google-Server kopiert werden, will das Unternehmen offenkundig festhalten. Auf die Frage, ob Änderungen geplant seien, antwortete die Firma nicht. Informationen von SPIEGEL ONLINE zufolge prüft der Hamburgische Beauftragte für Datenschutz seit mehreren Wochen die Übertragung der Passworte, Google wurde zu dem Verfahren befragt.

Die Wiedergabe wurde unterbrochen.