Google: "Wir haben viel von Europa gelernt"
Sie sind der oberste Sicherheitschef von Google und bewahren eine der größten, oder gar die größte Datensammlung der Gegenwart. Wie schafft man das?
Unsere primäre Aufgabe ist der Schutz der Kundendaten, die Hälfte meiner 500 Mitarbeiter beschäftigt sich damit, Tools zu bauen, mit denen die Daten geschützt werden. Das ganze Internet ist eine Gefahrenquelle, das ist ein Faktum der Zeit. Wo es für uns interessant wird, sind die gezielten Angriffe. Da sehen wir uns die Verhaltensmuster an.
Haben Sie lange überlegt, als man Ihnen den Job bei Google angeboten hat?
Ich habe eine gewisse Zeit aber vor allem sehr genau überlegt, denn von Grund auf bin ich ein Startup-Typ, der gerne in Teams arbeitet und die innovative Startup-Kultur liebt. Aber die Dimensionen hier sind einfach gewaltig, da verschätzt man sich um zwei, drei Zehnerpotenzen.
Es kursieren immer wieder Meldungen, wonach NSA & Co. die Datensammlung von Google nutzen, um an Informationen zu kommen und diese auszuwerten. Wie sehen Sie das?
Für uns sind die Daten der Nutzer die Kronjuwelen von Google, und die müssen wir verantwortungsvoll verwalten. Ich bin mir absolut sicher, dass es keinen Zugriff gibt. Natürlich berichten die Medien immer wieder, dass es einen gibt. Aber das ist Humbug.
Wie häufig kommt es zu Attacken bzw. wie oft werden Angriffe verhindert?
Wir haben dazu keine öffentlichen Zahlen, aber wir registrieren Attacken mehrmals im Millisekunden-Bereich. Das ist „Lärm“, den man vergisst. Interessant sind die vielen gezielten Attacken, die es mehrmals am Tag gibt, die sich für uns Forscher wirklich interessant. Denn das wichtigste, um den Krieg gegen Kriminelle zu gewinnen ist, ihnen drei, vier, fünf Jahre voraus zu sein. Die nächste Welle werden Low-Level-Attacken auf Firm- oder Hardware-Ebene sein, hier wird etwa die Firmware von Harddisks modifiziert.
Kann man den Angreifern wirklich voraus sein? Kriminalisten meinen oft, dass man der Organisierten Kriminalität (OK) auch im Cyberbereich immer ein wenig nachhinkt?
Wenn man, so wie ich, viele Jahre in der Sicherheitsbranche tätig ist, kann man voraus sehen, was passieren kann. Zudem ist man Teil eines globalen Netzwerks an Sicherheitsexperten, die sich untereinander austauschen. Dadurch sind wir den Angreifern voraus. Wir bei Google haben ohnehin den Vorteil, dass unsere Plattform eine proprietäre ist, sie wurde von uns selbst gebaut, daher erkennen wir jede Abweichung, jede Veränderung sofort.
In wie weit halten Sie sich im Deep Web, bzw. im Dark Web auf dem Laufenden?
Wir haben da gewisse Sensoren positioniert.
Das bedeutet?
Wir wissen, was dort passiert und auf uns zukommt. Mehr kann ich dazu nicht sagen.
Wie viele gefährliche Internetseiten finden Sie pro Monat?
Mit unserer Safe-Browsing-Technologie, die neue Gefahrenquellen erkennt, schützen wir mehr als eine Milliarde Nutzer. Pro Monat finden wir etwa 50.000 Seiten, die Schädlinge enthalten, zusätzlich etwa 90.000 Phishing-Seiten, die Passwörter ausspionieren wollen und Vertrauenswürdigkeit vorspiegeln.
Wer sind die größten Feinde? Private Angreifer oder Behörden?
Wir unterscheiden nicht, wer hinter Attacken steckt. Aber man kann mit ruhigem Gewissen sagen, dass die Attacken aus der traditionellen kriminellen Welt kommen, aus der Welt der Geheimdienste und dass automatisierte Angriffe passieren.
Woher kommen die meisten Attacken?
Weltweit. Woher eine Attacke kommt, weiß man nicht wirklich, denn wenn sie aus Michigan kommt, kann sie original aus China, Indien oder auch Europa kommen.
Vergangene Woche gaben die Google-Gründer Larry Page und Sergej Brin bekannt, dass Google künftig nur noch ein Unternehmen im Alphabet-Imperium ist. Werden Sie künftig Sicherheitschef der Alphabet-„Holding“?
Alphabet ist eine neue Gesellschaftsstruktur, nicht mehr und nicht weniger. Security und Privacy bleiben konzernweit im Zentrum unserer Aufmerksamkeit.
Google kauft pro Jahr im Schnitt 25 Start-ups. Wie werden die sicherheitstechnisch in den Konzern integriert?
Bei vielen wird die Infrastruktur adaptiert, manche dürfen sie auch behalten, das hängt davon ab, wie sie in unser System passen. Was aber einheitlich sein muss, sind die Sicherheitsprozesse.
Die Startups, die Google kauft, sind thematisch sehr breit, von Gesundheit über Energie bis hin zu Robotik. Wie schafft man da einen einheitlichen Sicherheitsstandard?
Ob Cloud Computing, Internet of things oder selbstfahrende Autos – das erfordert viele neue Denkansätze und da wird in den kommenden Jahren noch viel Forschung betrieben werden müssen. Die kommenden Jahre werden nicht langweilig.
Fabasoft-CEO Helmut Fallmann hat diese Woche gefordert, dass die IT-Welt nach europäischen Regeln spielen müsse - was sagen Sie als Europäer, der bei einem US-Konzern arbeitet?
Europa hat kulturbedingt eine Vorreiter- und Vordenker-Rolle in Sachen Privacy. Google hat die Kritik der vergangenen Jahre auch ernst genommen, viel von Europa gelernt, vieles adaptiert und transparent gemacht. Transparenz schafft Vertrauen. Daher gibt es auch die Seite "mein Konto", auf der jeder Nutzer seine Einstellungen vornehmen und sehen kann, was gespeichert wird. Wir sind da den anderen IT-Unternehmen (Microsoft, Facebook, Apple etc., Anm.) hier um mindestens eineinhalb Jahre voraus. Was ich weiters toll finde ist, dass es ein großes Bewusstsein unter den Mitarbeitern gibt und Datenschutz und Privatsphäre Teil der Unternehmenskultur geworden sind.
Wie kontrollieren Sie, wer auf die
Kundendaten zugreift?
Jeder Zugriff wird genau kontrolliert und protokolliert. Wir bläuen den Mitarbeitern ein, wie wichtig die Kundendaten sind. Es gibt keine Zugriffe von Außen, keine Hintertüren in den Systemen, die von Geheimdiensten genutzt werden könnten.
Manchmal können Feinde auch im eigenen Team sitzen? Wie finden Sie Ihre Mitarbeiter.
Ich bin 20 Jahre in der IT-Sicherheitsbranche tätig, man kennt fast alle Leute und man trifft sich bei verschiedenen Anlässen und Kongressen immer wieder. Wenn ich einen neuen Mitarbeiter mit einer bestimmten Fachkenntnis suche, weiß ich, welche Gruppe ich ansprechen muss.
Google arbeitet auch an einer neuen Art bzw. mehr Verschlüsselung. Sie hoffen ja selbst, dass eines Tages der ganze Verkehr im Web verschlüsselt ist und dass es eine Zwei-Faktor-Authentifizierung geben wir. Wie wird die funktionieren, wann wird sie eingeführt?
Das Passwort ist die schwächste Methode. Heute ist Passwort und Token üblich, künftig wird es ein „Web of trust“ geben, ein Netzwerk des Vertrauens. Das Netz aus persönlichen Geräten - Computern, die man am Körper trägt (Wearables) kombiniert mit Aufenthaltsort, Verhalten etc. - kann mich als die eine Person identifizieren. Aber die Herausforderung ist, dass die Privatsphäre gewahrt bleibt.
Gerhard Eschelbeck (50) ist einer der bekanntesten IT-Sicherheitsexperten der Welt. Der geborene Oberösterreicher hat an der Johannes Kepler Universität in Linz (JKU) Informatik studiert. Eschelbeck hatte bereits als Student ein Start-up gegründet, das schließlich vom IT-Sicherheitsunternehmen McAfee gekauft wurde, für das er später auch arbeitete. Er wechselte als CTO zu Sophos, gründete im Silicon Valley sein IT-Sicherheits-Unternehmen Qualys und wurde 2014, nach zwei Jahren Tätigkeit bei einer Sicherheitsfirma im britischen Oxford, Vice President Security and Privacy Engineering bei Google. Eschelbeck besitzt mehrere Patente und gilt als einer der 25 einflussreichsten Informatiker weltweit.
Eschelbeck ist verheiratet, Vater von zwei Töchtern und wohnt in Cupertino. Eine seiner Maximen lautet: „Bereits während des Studiums aktiv die Nähe zur Wirtschaft suchen. Praxiserfahrung während des Studiums - im In- oder Ausland - kann einen guten Berufsstart nach Abschluss des Studiums sichern."