Seit Monaten versucht Google, die wachsende Empörung der technischen Community zu verleugnen. Am 8. Oktober brach dieser Damm schließlich zusammen und wurde unter der
Nachricht eines Fehlers im selten genutzten Google+ Netzwerk begraben, wodurch die persönlichen Informationen einer halben Million Nutzer veröffentlicht werden konnten. Google hat die Sicherheitsanfälligkeit bereits im März gefunden und geschlossen, ungefähr zur gleichen Zeit, als die
unangenehme Geschichte mit Cambridge Analytica an Fahrt gewann. Mit dem Aufkommen der Nachrichten steigen jedoch die Verluste. Die Google+ Nutzerversion wird
geschlossen , Datenschutzgesetzgeber in
Deutschland und den
USA suchen bereits nach Möglichkeiten, Klagen einzureichen, und ehemalige Beamte der US-amerikanischen Börsenaufsichtsbehörde Securities and Exchange Commission
spekulieren offen
darüber, was Google falsch gemacht hat.
Die Sicherheitsanfälligkeit selbst scheint relativ gering zu sein. Das Wesentliche des Problems war eine spezielle API für Entwickler, mit der auf nicht öffentliche Informationen zugegriffen werden konnte. Was wichtig ist, es gibt keine Beweise dafür, dass jemand damit auf personenbezogene Daten zugegriffen hat, und angesichts der toten Benutzerbasis ist nicht bekannt, wie viele dieser personenbezogenen Daten überhaupt sichtbar sind. Theoretisch könnte jeder Zugriff auf die API erhalten, aber nur 432 Personen haben sie angefordert (ich wiederhole, dies ist Google+), sodass wir davon ausgehen können, dass keiner von ihnen überhaupt daran gedacht hat.
Ein viel größeres Problem für Google war kein Verbrechen, sondern ein Versuch, es zu verbergen. Die Sicherheitsanfälligkeit wurde im März behoben, aber das Unternehmen gab diese Informationen weitere sieben Monate lang nicht bekannt, bis das Wall Street Journal in die Hände einer
Diskussion über diesen Fehler geriet. Das Unternehmen hat anscheinend verstanden, dass es durcheinander war - warum sollte man sonst das soziale Netzwerk vom Erdboden wischen? - aber darüber, was genau schief gelaufen ist und wann, ist alles sehr verwirrt, und diese Situation zeigt tiefere Probleme im Zusammenhang mit dem Umgang von technomir mit solchen Pfosten im Zusammenhang mit der Privatsphäre.
Ein Teil der Frustration ist darauf zurückzuführen, dass Google aus rechtlicher Sicht sauber ist. Es gibt viele Gesetze über die Notwendigkeit, Schwachstellen zu melden - hauptsächlich
GDPR , aber es gibt auch unterschiedliche Gesetze auf Länderebene - nach ihren Maßstäben kann das, was mit Google+ passiert ist, streng genommen nicht als Schwachstelle bezeichnet werden. Die Gesetze sprechen von unbefugtem Zugriff auf Benutzerinformationen und beschreiben eine einfache Idee: Wenn jemand Ihre Kreditkarte oder Ihr Telefon stiehlt, haben Sie das Recht, davon zu erfahren. Google stellte jedoch nur fest, dass diese Daten Entwicklern zur Verfügung stehen könnten und nicht, dass die Daten wirklich irgendwo durchgesickert sind. Und ohne offensichtliche Anzeichen von Diebstahl ist das Unternehmen gesetzlich nicht verpflichtet, dies zu melden. Aus Sicht der Anwälte war dies keine Sicherheitslücke, und es reichte aus, um dieses Problem nur leise zu lösen.
Es gibt Argumente gegen die Offenlegung solcher Fehler, obwohl sie nach dem Hinterkopf nicht so überzeugend sind. Alle Systeme weisen Schwachstellen auf. Aus Sicherheitsgründen besteht die einzig gute Strategie darin, diese ständig zu suchen und zu beheben. Infolgedessen ist die sicherste Software diejenige, bei der die meisten Fehler entdeckt und gepatcht wurden, auch wenn dies für einen externen Beobachter nicht intuitiv zu sein scheint. Es ist falsch, Unternehmen zu zwingen, jeden Fehler zu melden - es stellt sich heraus, dass Produkte, die sich am meisten um Benutzer kümmern, am meisten bestraft werden.
Natürlich ist Google selbst seit vielen Jahren damit beschäftigt, die Fehler anderer Unternehmen im Rahmen des Project Zero-Projekts plötzlich aufzudecken - insbesondere deshalb sind Kritiker so bemüht, die offensichtliche Heuchelei des Unternehmens anzugreifen. Das Project Zero-Team wird Ihnen jedoch mitteilen, dass die Meldung von Dritten ein völlig anderes Kaliber darstellt. Eine solche Offenlegung sollte im Allgemeinen Fehlerbehebungen fördern und einen Ruf für edle Hacker aufbauen, die nach Fehlern suchen.
Diese Logik eignet sich eher für Softwarefehler als für Probleme mit sozialen Netzwerken und persönlichen Daten. In der Welt der Cybersicherheit ist sie jedoch weit verbreitet, und es wäre nicht übertrieben zu sagen, dass sie den Gedankengang von Google beeinflusst hat, als sie beschlossen, diese Geschichte unter dem Teppich zu ersetzen.
Aber nach dem unangenehmen Fall von Facebook scheinen die Argumente aus der Welt der Rechtsprechung und der Cybersicherheit praktisch irrelevant zu sein. Die Vereinbarung zwischen Technologieunternehmen und ihren Nutzern ist fragiler als je zuvor, und solche Geschichten schaden ihr noch mehr. Das Problem ist kein Informationsleck, sondern ein Vertrauensleck. Es ist etwas schiefgegangen, aber das hat niemand bei Google gesagt. Und außer der Berichterstattung von WSJ wäre vielleicht nichts darüber bekannt gewesen. Es ist schwierig, eine unangenehme rhetorische Frage zu vermeiden: Was sagen sie uns sonst noch nicht?
Es ist noch zu früh, um beurteilen zu können, ob Google auf diesen Vorfall negativ reagiert. Eine kleine Anzahl von Opfern und die relative Unwichtigkeit von Google+ lassen uns sagen, dass dies unwahrscheinlich ist. Aber selbst wenn diese Sicherheitsanfälligkeit nicht kritisch war, stellen solche Probleme eine echte Bedrohung für Benutzer und Unternehmen dar, denen sie vertrauen. Die Verwirrung darüber, wie man es nennt - ein Fehler, ein Leck, eine Sicherheitslücke - wird durch die Tatsache überlagert, dass noch weniger klar ist, was genau Unternehmen für ihre Benutzer tun müssen, wenn die Datenschutzlücke erheblich ist und wie viel Kontrolle wir über unsere Daten haben. Diese Fragen sind in unserer technologischen Ära von entscheidender Bedeutung, und wenn uns die letzten Tage etwas beigebracht haben, versucht die Branche immer noch, Antworten auf diese Fragen zu finden.