“Es gibt kein Malware-Problem bei Android”

Auf Internetkonferenz re:publica ist in diesem Jahr auch Google einer der großen, namhaften Partner. Am Mittwoch lud der Internetkonzern zu einem Presse-Roundtable, bei dem sich Google-Sicherheitsexperte Eric Grosse, der bis vor kurzem das 500-köpfige Security-Team im Unternehmen leitete, Fragen zu Sicherheit, NSA-Überwachung, Malware und Datenschutz stellte.

Zentrales Thema im Google-Security-Team ist derzeit die sogenannte End-to-end-Encryption (Ende-zu-Ende-Verschlüsselung). Laut Grosse habe man bereits ein durchaus herzeigbares System geschaffen, auch der Sourcecode ist bereits verfügbar. Gleichzeitig arbeitet Google in dem Punkt auch mit anderen Unternehmen wie zum Beispiel Yahoo zusammen. “Allerdings ist die Consumer-Version noch nicht so ausgereift, dass wir sie auf den Markt bringen könnten”, sagt Grosse. Man wolle mit dem Produkt keinesfalls verfrüht starten, intern ist die Google Ende-zu-Ende-Verschlüsselung aber bereits im Einsatz. Grundlegendes Ziel des Projektes ist es, die Verschlüsselung für User einfacher und unkomplizierter zu machen. “Programme wie PGP sind für durchschnittliche Nutzer einfach zu komplex”, meint Grosse.

Der Security-Experte warnt in Sachen Verschlüsselung aber auch davor, dass sie Einschränkungen mit sich bringe. “Wenn ich nun End-to-end-Encryption beim Versenden einer E-Mail verwende, dann gehen mir andere nützliche Features verloren”, so Grosse. Er verweist etwa auf die Möglichkeit, Google Translate zu verwenden und damit Texte übersetzen zu lassen. Grosse ist der Ansicht, dass Google schon jetzt sehr viel Sicherheit für die Nutzer biete. “Es ist natürlich etwas anderes, wenn ich ein Dissident in einem repressiven Staat bin und bei jeder E-Mail, die ich versende, fürchten muss, verfolgt zu werden”, sagt der Sicherheitsexperte.

“Verschwindend gering”

Angesprochen auf die häufig diskutierte Malware-Problematik bei Android hat Grosse eine klare Haltung: “Es gibt kein Malware-Problem bei Android. Die Menge von Schadprogrammen ist verschwindend gering. Die überwiegende Mehrheit der Apps wird aus dem Play Store heruntergeladen und der ist sicher”, betont Grosse. Regelmäßige Studien von beispielsweise Antiviren-Software-Herstellern hält er für maßlos übertrieben. “Diese Firmen arbeiten leider oft nur in ihrem eigenen Interesse und wollen natürlich ihre Produkte verkaufen.”

Tatsächlich sei es so, dass Malware generell abnehme. Ein größeres Problem sieht man bei Google im Abgreifen von Login-Daten. Daher versuche man auch kontinuierlich die Authentifizierung zu verbessern. “Es wäre zum Beispiel überhaupt besser, wenn man gar keine Passwörter bräuchte”, sagt Grosse, denn darin liege eine große Schwachstelle.

“Wir geben uns jedenfalls extrem viel Mühe, Android von Malware freizuhalten”, betont Grosse. Apps würden genau geprüft und Malware geblockt. Ein Grenzgang seien allerdings bestimmte Applikationen, die zwar nicht als Malware einzustufen sind, aber dennoch unangenehme oder lästige Begleiterscheinungen mit sich bringen können - etwa aggressive Werbe-Apps. In solchen Fällen sei es immer schwierig zu entscheiden, ob die App zugelassen wird oder nicht. “Wenn es nicht Malware ist, dann wollen wir es eigentlich auch nicht vom Play Store ausschließen”, so Grosse.

Zwiespältiges Verhältnis zu NSA

Das Verhältnis zwischen Google und der NSA ist ein komplexes. Natürlich hatte sich der Konzern sofort nach den Snowden-Leaks von jeglicher Mithilfe oder Kooperation mit der NSA distanziert. “Es gibt aber durchaus Fälle, wo wir von der NSA darauf hingewiesen werden, wenn sie Informationen über Hackerangriffe bei uns haben. Sie machen Firmen darauf aufmerksam und wir können die Probleme beheben.” Dabei habe es sich in der Regel immer um Verteidigungsmaßnahmen gehandelt, die natürlich auch im Interesse der NSA waren. Man habe so etwa eine Schwachstelle in Android beheben können. Dass dieselbe NSA auch andere Ziele und Interessen verfolge - seit den Leaks hinlänglich bekannt - habe letztlich auf der anderen Seite ein riesiges Problem geschaffen.

Google versuche jedenfalls mit allen Anstrengungen zu verhindern, dass von staatlicher Seite in die eigenen Systeme eingedrungen werden kann, versichert Grosse. “Wenn die Strafverfolgungsbehörden Informationen von uns brauchen, dann müssen sie den offiziellen Weg gehen und beispielsweise einen Haftbefehl vorlegen, um Informationen über einen User zu erhalten.”

Ganz grundsätzlich sagt Grosse, dass es absolute Sicherheit nie geben kann. “Ich würde nie sagen, dass etwas zu 100 Prozent sicher sein kann. Es gib nur eine relative Sicherheit.” So ist Grosse etwa davon überzeugt, dass viele Firmen mit ihren Daten in der professionell betriebenen Google Cloud besser aufgehoben seien als mit ihren eigenen Systemen. Das gelte natürlich nicht für alle, aber vor allem für viele kleinere Unternehmen, meint der Experte.