Daniel Fabian: Google zu hacken ist sein Job

Ein falscher Klick und alle Daten sind futsch: Nach den Begriffen Cyberkriminalität, Phishing, Ransomware, Cyberattacken und Identitätsdiebstahl wurde 2022 so oft gesucht wie nie zuvor. Das geht aus einer Analyse von Google hervor.

Auch für den IT-Giganten ist das Thema Cybersicherheit enorm wichtig. Normalerweise lässt sich Google dabei nicht in die Karten schauen. Nun hat uns Daniel Fabian, der Chef des Red Teams bei Google, in seinen Alltag blicken lassen. Der Begriff Red Team kommt aus dem Militär. Er bezeichnet ein Team, das versucht, in militärische Basen einzubrechen, um so zu testen, ob diese sicher sind. Im IT-Jargon ist das Blue Team der Gegenpart. Das Team wiederum versucht, Systeme so gut wie möglich zu schützen.

Daniel Fabian*, du hast dir bei Google selbst den Titel «Digital Arsonist» (digitaler Brandstifter) gegeben – wie ist das gemeint?

Daniel Fabian (lacht): Wir legen Feuer – aber natürlich nur im digitalen Bereich. Dies, indem das Team sich in Systeme reinhackt. Dann warten wir darauf, dass das sogenannte Blue Team, also die Verteidiger, unsere Angriffe erkennt und Gegenmassnahmen einleitet.

Euer Job ist es also, Google anzugreifen. Welche Dienste hattet ihr schon im Visier? 

Wir versuchen grundsätzlich, alle Dienste, die Google anbietet, abzudecken. Das umfasst also zum Beispiel Gmail, Google Drive, Google Maps, die Suchmaschine.

Kannst du ein prominentes Beispiel von einem Hack nennen, der erfolgreich war?

Ein Beispiel, das ich nennen kann, liegt schon etwas länger zurück. Wir haben erst auf Linkedin nach Google-Mitarbeitern gesucht, die einen Jahrestag im Unternehmen hatten. Denen schickten wir dann ein Päckli als Präsent zu. Der Clou: Steckte man den USB-Plasmaglobe an den Computer an, wurde ein Angriff ausgeführt. Somit hatten wir einen Fuss in der Türe. Mit weiteren Angriffen konnten wir dann auf einen Ordner in Drive zugreifen, worin Daten zu Google Lens gespeichert waren. 

Du hast schon als Kind eine Uhr deiner Mutter auseinandergenommen – was fasziniert dich am Hacken?

Ich finde es immer superinteressant, wenn man eine Software oder auch Hardware dazu bringt, Dinge zu machen, für die sie eigentlich nicht konzipiert wurde. Das kann mitunter auch frustrierend sein, da 90 bis 95 Prozent der Angriffe nicht funktionieren. Umgekehrt ist es dann umso erfüllender, wenn man sieht, dass die Attacke erfolgreich war.

Mit euren Angriffen imitiert ihr Cyberkriminelle. Wo liegen bei euch die Grenzen?

Wir haben ein Regelwerk, das Rules of Engagement heisst. Darin ist genau beschrieben, welche Dinge wir machen dürfen – und was nicht. Ein Beispiel: Wir würden niemals im Zuge unserer Angriffe auf Daten von Kunden zugreifen. Wenn das notwendig wäre, würden wir Testaccounts machen und diese verwenden. Im Regelbuch steht auch konkret drin, dass man kein Sicherheitspersonal mit Chloroform betäuben soll – das allerdings ist natürlich mit einem Augenzwinkern gemeint.  

Es ist also keine Regel, die nach einem Vorfall entstanden ist? 

Haha, nein, nicht aus gegebenem Anlass. Es ist als Scherz gedacht, um das Thema ein wenig aufzulockern. Unser Team führt wirklich digitale Angriffe durch, es gibt jedoch auch ein Red Team im Silicon Valley, das physische Angriffe durchführt. 

Weiss das Gegenüber, also andere Google-Mitarbeiter, dass ein Angriff von euch kommt?

Gewisse Personen werden informiert vor unseren Angriffen. Das beschränkt sich normalerweise aber auf Personen aus dem Blue Team und Sicherheitsteams, die darüber Bescheid wissen müssen. Die Teams, die wir angreifen, wissen normalerweise nicht, dass ein Angriff von uns kommt. 

Was passiert, nachdem ein Angriff von euch erfolgreich war? 

Nach einem Angriff – egal, ob erfolgreich oder nicht – schauen wir, welche Dinge man im Bereich der Sicherheit oder im Bereich der Erkennung von solchen Angriffen verbessern könnte. Und dann starten wir einen Prozess, der das Ziel hat, Dinge im Bereich der Security bei Google zu verbessern oder neue Erkennungsmassnahmen einzuführen, mit denen Angriffe frühzeitig erkannt werden können.

Wie profitieren die Leute, die täglich auf Youtube sind und ein Gmail-Konto haben, von eurer Arbeit? 

Einerseits gibt es neue Sicherheitsmassnahmen, die in den Produkten umgesetzt werden. Etwa unhackbare Securityschlüssel. Es gab auch Verbesserungen in der Erkennung von Phishingangriffen bei Gmail, die auf der Arbeit unseres Teams basiert. Zudem wurden zahlreiche Schwachstellen geschlossen. Aber auch intern, selbst wenn das jetzt nicht direkt die Produkte betrifft, profitieren Nutzerinnen und Nutzer natürlich davon, wenn ihre Daten bei Google sicher sind.