Das Google-Konto hat für sehr viele Nutzer eine große Bedeutung, denn dahinter verbirgt sich nicht nur der Zugang zu GMail und YouTube, sondern in den meisten Fällen auch ein riesiger Berg an persönlichen Daten. Es sollte also stets sichergestellt werden, dass kein Dritter Zugriff auf dieses Konto hat – und Google bietet glücklicherweise sehr viele Möglichkeiten, um dies zu verhindern bzw. Eindringlinge sehr schnell zu erkennen.
Je nachdem, wie intensiv man die Google-Produkte nutzt, befinden sich im Konto umfangreiche persönliche Daten, die sehr viel verraten können. Das beginnt bei den E-Mails und persönlichen Fotos, geht möglicherweise über wichtige Dokumente im Google Drive und reicht bis hin zum vollen Zugriff auf alle Kontakte und vieles mehr. Selbst wer nur wenige Google-Dienste nutzt, baut im Laufe der Jahre dennoch häufig große Datenmengen auf, die sehr verräterisch sein können – wie etwa der Suchverlauf, YouTube-Verlauf oder gar der Standortverlauf.
Es kann nur jedem Nutzer empfohlen werden, die Bestätigung in zwei Schritten zu verwenden und somit eine sehr große zusätzliche Hürde für potenzielle Angreifer einzubauen. Selbst wenn die eigenen Zugangsdaten zum Google-Konto durch ein großes Datenleck in einem anderen Online-Dienst geleakt wurden, wird der Angreifer im Normalfall keine Chance haben. Allerdings verwendet nur etwa jeder zehnte Nutzer die Bestätigung in zwei Schritten.
Über die Vorteile und Nachteile dieser Methode haben wir euch bereits in der Vergangenheit mehrfach informiert, die Vorteile überwiegen aber natürlich und Google macht es immer leichter, diese zusätzliche Hürde für den legitimen Nutzer so niedrig wie möglich zu legen. Erst seit kurzer Zeit können Android-Nutzer und auch iOS-Nutzer ihr Smartphone als Sicherheitsschlüssel verwenden und benötigen in Hardwareform keinen USB-Schlüssel mehr.
Wie ihr diese Bestätigung aktiviert, erfahrt ihr unter folgendem Link. Dennoch sollte das nicht die einzige Methode zur Absicherung sein, denn einen Blick in den Google-Sicherheitscheck zu werfen, ist nie verkehrt und sollte regelmäßig durchgeführt werden.
» Bestätigung in zwei Schritten aktivieren: Zusätzlicher Sicherheit für das Google-Konto mit der 2FA
Der Google-Sicherheitscheck besteht aus vier einfachen Schritten, die ihr bei regelmäßiger Kontrolle in wenigen Sekunden abarbeiten können – soviel Zeit sollten einem die eigenen persönlichen Daten und das Google-Konto wert sein. In den vier Schritten wird kontrolliert, welche Apps und Geräte Zugriff auf das eigene Google-Konto haben, welche wichtigen Ereignisse kürzlich ausgelöst wurden und auch die bereits angesprochene Bestätigung in zwei Schritten ist Teil des Checks.
Welche Geräte haben Zugriff?
In der ersten Übersicht seht ihr, welche Geräte in den aktuell verwendeten Google-Account eingeloggt sind und ohne erneute Passworteingabe Zugriff auf die diversen Daten und Dienste haben. Google verrät sowohl die Bezeichnung, den Gerätetyp, ein kleines Vorschaubild mit dem ungefähren Modell sowie das Datum und den Ort des letzten Logins. Ist ein Gerät darunter, dass ihr euch nicht erklären könnt, solltet ihr es schleunigst über das daneben stehende Menü entfernen.
Dadurch wird der Login ungültig und ihr werdet automatisch auf diesem Gerät abgemeldet. Achtung: Das heißt nicht, dass sich der Nutzer des anderen Geräts nicht wieder einloggen kann – da die Daten entweder bekannt oder gar im Browser gespeichert sind. Hier hilft ein Passwortwechsel oder eben die Nutzung der oben beschrieben Bestätigung in zwei Schritten. Natürlich ist ein Passwortwechsel dennoch, wenn es ein echter Angreifer ist, sehr empfohlen. Überall.
Das Tool kann auch einfach dafür genutzt werden, wenn ihr vergessen habt, euch auf einem fremden Computer auszuloggen. Entfernt ihr versehentlich eines von euren eigenen Geräten, könnt ihr euch natürlich jederzeit wieder einloggen. Seid ihr also unsicher, dann lieber ausloggen und – besser einmal zuviel als einmal zu wenig.
Kürzliche Ereignisse
Wichtige Ereignisse rund um das Google-Konto werden an dieser Stelle protokolliert und euch zur Kontrolle vorgelegt. In meinem Fall ist das eine Anforderung sehr vieler Daten über Google Takeout. Die Daten können bereits heruntergeladen worden sein, sodass man dagegen grundlegend nichts mehr tun kann. Zukünftig empfiehlt Google aber den Wechsel des Passworts, um einen weiteren Datenzugriff zu erschweren. Im Falle von Takeout versendet Google allerdings auch direkt nach der Anforderung eine E-Mail. Erhaltet ihr eine solche, und habt selbst nichts angefordert, solltet ihr an dieser Stelle sofort Maßnahmen ergreifen, bevor der Angreifer das Archiv herunterladen kann.
Weitere Ereignisse können Aktionen wie das Hinzufügen einer Telefonnummer oder der Wechsel des Passworts sein.
Zugriff durch Drittanbieter-Apps
Einer der wichtigsten Punkte: Aus Unachtsamkeit oder Eile gibt man schnell mal externen Apps Zugriff auf viele Daten des Google-Kontos. Diese Apps können dann auf eure Daten im Drive, E-Mails oder auch Kontakte und andere Dinge zugreifen, ohne dass ihr darüber ständig informiert werdet. Hier sollte man immer wieder mal reinschauen und alle Apps rigoros entfernen, die nicht mehr genutzt werden, die man vielleicht gar nicht kennt oder die Zugriffe auf Bereiche benötigen, die sich aus dem Zweck der App nicht ergeben.
Auch hier gilt: Besser einmal zuviel als einmal zu wenig entfernen: Die Apps können bei erneuter Nutzung jederzeit wieder den Zugriff auf die Daten abfragen, sodass ihr keine Einbußen im Funktionsumfang zu befürchten habt. Und wenn die Taschenlampen-App dann wieder eure Fotos sehen will, lehnt ihr es beim nächsten Mal einfach ab 😉
Google weist regelmäßig zu Anfang des Jahres auf diesen Sicherheits-Check hin und hat diesen in der Vergangenheit bereits mit einem zusätzlichen Google Drive-Speicherplatz belohnt. Diese Belohnung gibt es nicht mehr und auch der Hinweis zu Beginn des Jahres ist nicht unbedingt ausreichend. Stattdessen sollte man einfach einmal im Monat oder in kurzen regelmäßigen Abständen hereinschauen, ob irgendwas durchgerutscht ist.
Des Weiteren sollte man auch die üblichen Sicherheitstipps beachten: Wählt ein sicheres Passwort, nutzt dieses nur an einer Stelle und schreibt die Zugangsdaten – wenn überhaupt – nicht leicht zugänglich auf. Und wer auf diese Bequemlichkeit nicht verzichten und alle Dienste mit 123abc absichern möchte, der sollte dann wenigstens die Bestätigung in zwei Schritten aktivieren – im Sinne der eigenen Sicherheit.
Siehe auch
» G Suite: Google hat einige Passwörter viele Jahre lang im Klartext gespeichert – Passwortänderung empfohlen
» Google Chrome: Entwickler bestärken die Änderungen für Adblocker & feiern stark erhöhte Sicherheit