3 neu entdeckte Sicherheitslücken in Google Docs - laut Google kein Grund zur Sorge

02. April 2009
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

In seinem Blog hat Ade Barkah drei Sicherheitslücken in Google Docs veröffentlicht, durch die beispielsweise der Zugriff auf angeblich gelöschte Dokumenteninhalte möglich ist.

Über Google Docs können Sie mit mehreren Personen an Textdokumenten, Tabellen oder Präsentationen über das Internet arbeiten. Die Dokumente liegen dafür auf Googles Servern. Über Zugriffsberechtigungen steuern Sie, wer Ihre Dokumente einsehen darf.

Wenn Sie allerdings ein Bild in eines Ihrer Dokumente einbinden, gilt für dieses Bild der Zugriffsschutz des Dokuments nicht. Über eine Web-Adresse kann direkt auf das Bild zugegriffen werden. Ihre Sicherheitseinstellungen werden so umgangen. Selbst wenn Sie das Dokument löschen, das Ihr Bild enthält, wird das Bild nicht mit gelöscht. Sie erfahren davon allerdings nichts, das Bild wird einfach stillschweigend weiter, für jedermann zugängig, bei Google gespeichert.

Laut Google ist dies Verhalten erwünscht. Jonathan Rochelle, Produktmanager für Google Docs, erklärt, warum das Bild nicht gelöscht wird. Es ist nämlich möglich, dass im Internet noch Links auf das Bild existieren. Diese würden durch das Löschen ungültig werden, was Google dadurch vermeidet, dass das Bild einfach nicht gelöscht wird. Sie können Bilder, die Sie in Dokumente eingebettet haben, gar nicht selber löschen, sondern müssen eine E-Mail mit dem entsprechenden Lösch-Wunsch an die Adresse docsimagedelete@google.com senden. Erst dann werden Ihre Bilder, die nicht länger verfügbar sein sollen, von Google gelöscht.

Eine weitere Funktion von Google Docs ist die Versionshistorie. Dadurch können Personen, die Zugriff auf eines Ihrer Dokumente haben, allerdings auch vorherige Versionen einsehen. Hier lauert eine böse Falle: Die Personen können Inhalte Ihrer Dokumenten einsehen, die Sie bereits vor der Freigabe der Dokumente gelöscht haben, möglicherweise ja genau mit der Absicht, diese Informationen den Personen nicht zugängig zu machen.

Sie vernichten die Historie eines Dokuments erst, indem Sie das Dokument auf Ihrem Rechner kopieren und erneut in Google Docs einfügen. Google Docs erkennt dann nicht, dass dieses Dokument bereits existiert und kann die Historie dadurch auch nicht zuordnen.

Die letzte entdeckte Schwachstelle erlaubt Personen den Zugriff auf Ihre Dokumente, denen Sie bereits diese Berechtigung wieder entzogen haben. Laut Google ist die Einladungsfunktion dafür verantwortlich, denn eingeladene Personen können ihre Einladung zur Nutzung eines Dokuments auch dann noch verwenden, wenn ihnen die Berechtigungen für den Zugriff schon wieder entzogen wurden. Sie schützen Ihre Dokumente davor nur, indem Sie die Einladungsfunktion in Google Docs deaktivieren.

Fazit: Google hat zwar für jede der aufgedeckten Schwachstellen eine Lösung parat. Allerdings wiegen Benutzer, die nicht um diese Probleme und die entsprechenden Lösungen wissen, ihre Dokumente in falscher Sicherheit. Dass eine E-Mail an den Support nötig ist, damit scheinbar gelöschte Daten wirklich gelöscht werden und dass Zugriffe auf Dokumente auch dann noch möglich sind, wenn die Berechtigungen dazu wieder entzogen wurde, zeigt leider, dass für die Dokumente auf Googles Servern kein ernst zu nehmendes Sicherheitskonzept existiert. Hier muss Google deutlich nachlegen.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"