In einem Interview hat die „Presse" Gerhard Eschelbeck, IT-Sicherheitschef bei Google, im Februar gefragt, warum das Image seines Unternehmens in den letzten Jahren gelitten, das Firmenmotto „Don't be evil" an Glaubwürdigkeit verloren habe. „Das kommt daher, dass wir in der Vergangenheit vielleicht zu wenig über Datenschutz und Privatsphäre geredet haben. Wir haben viel dafür getan, aber das möglicherweise zu wenig kommuniziert", sagte er damals.

Was tut Eschelbeck deshalb dieser Tage in Alpbach? Er spricht über Datenschutz und Privatsphäre - und darüber, wie Google sich bemüht, diese zu hüten. Gestern, Donnerstag, hielt er im Congress Centrum eine gut besuchte Rede. Dafür habe er online nach Fotos aus seiner Vergangenheit gesucht - natürlich: gegoogelt -, aber nicht viele gefunden.

„Fotos mit jemandem zu teilen, war früher Privatsache - eine Wahl, die wir heute auch noch haben sollten." Sein Unternehmen wolle Usern das wieder ermöglichen. Er sehe es als seine Aufgabe, die Daten, die Benutzer seinem Unternehmen anvertrauen, zu beschützen. Die Mission, „in der alles verwurzelt ist, was wir tun: beschützen, respektieren und verteidigen, nicht nur Google und seine Benutzer, sondern das Internet als Ganzes" - ein Motto, das angesichts des heurigen Themas des Europäischen Forum Alpbach „Neue Aufklärung" etwas deplatziert wirkte.

Eschelbeck bezog sich auf Kräfte, die im Netz ihr Unwesen treiben: „Wir registrieren ein dauerhaftes ,Rauschen' von Attacken im Internet, nahezu im Millisekunden-Bereich", sagte er der APA vor seinem Vortrag in einem Interview. „Das ist ,Lärm', den man ignoriert. Ungleich bedeutsamer sind die gezielten Angriffe, die es mehrmals am Tag gibt, denn die sind für unsere Experten wirklich interessant."

Im Vortrag führte er seinen Zuhörern vor Augen, dass in den Neunzigerjahren, als er mit Kollegen „Virusinfektionen" damaliger Computer untersuchte, Netzwerke unheimlich träge waren. Genauso langsam wie die Rechenkapazitäten war damals auch die Ausbreitungsgeschwindigkeit der Viren. „Heute haben wir es mit 200.000 bis 300.000 Mutationen solcher Viren pro Woche zu tun." Damals habe er nicht geahnt, wie schnell der Bereich „Security" sich entwickeln und zu einer globalen Herausforderung würde. Computer- und Datensysteme sind empfindliche Gebilde.

Mobile Endgeräte seien schon jetzt Ziel von Spyware (Spähprogrammen); bei der nächsten Welle werden dann auch Cloud-Systeme betroffen sein. Cloud-Systeme sind dabei Speicher, auf die nicht lokal, sondern nur über ein Netzwerk wie das Internet zugegriffen werden kann. Darauf wolle sein Unternehmen aber nicht länger bloß reagieren, sondern proaktiv auf prognostizierte Probleme zugehen.

„Das Wichtigste, um gegen Kriminelle die Oberhand behalten zu können, ist es, ihnen in der technischen Entwicklung zwei bis drei Jahre voraus zu sein." Dieser „proaktive Zugang" habe ihn persönlich übrigens dazu bewegt, sich dem kalifornischen Unternehmen anzuschließen. Eschelbeck ist an der Uni Linz promovierter und habilitierter Computerwissenschaftler.

Das Unternehmen setze auch auf so genannte Verwundbarkeitsbewertungssysteme, sagte er beim Vortrag (die englische Abkürzung dafür lautet CVSS). Diese Systeme werden möglichst vielen verschiedenen Situationen ausgesetzt, um sie leistungsfähiger zu machen, so der „Googler", wie Google-Mitarbeiter sich selbst bezeichnen. „Wir wollen die Welt aus der Sicherheitsperspektive zu einem besseren Ort machen."

Die größte Herausforderung für ihn als IT-Sicherheitschef sei dabei eine recht banale: die Einfallslosigkeit der Benutzer bei der Wahl ihrer Passwörter. „123456", „password", „1234567" „login", „princess" und „Qwerty" reihte Google unter die „schlechtesten Passwörter 2015". Eschelbeck rät dringend davon ab, ein Passwort auf mehreren Plattformen zu verwenden. „Die Zeit der Passwörter ist längst abgelaufen", sagt er.

Google und auch andere Unternehmen arbeiten deshalb an einem neuen Identifizierungssystem: Er selbst trage immer einen „Security Key" am Schlüsselbund bei sich, ein Chip auf einem USB-Stick, der ihm erlaubt, eine zweite Sicherheitskontrolle einzuziehen, um seine Daten vor unerwünschten Zugriffen zu schützen. Diese „Zwei-Faktor-Authentifizierung" verlangt zusätzlich zu Benutzernamen und Passwort nach einem weiteren Identifikationsmerkmal der jeweiligen Person.

Eschelbecks Konzern ist zwar sehr bedacht, die Nutzerdaten nach außen zu schützen. Googles Business-Modell verlässt sich aber andererseits auf das Geschäft mit dieser heiklen Fracht: Das Unternehmen bedient sich der Nutzerdaten, um - in Google-Diensten, aber auch auf Webseiten und Apps von Partnerunternehmen - personalisierte Werbung zu schalten.

Persönliche Daten, also Namen, E-Mail-Adressen und Zahlungsinformationen würden aber nicht an Dritte verkauft, betonte Eschelbeck im APA-Gespräch. Das gelte auch für Geheimdienste und Staaten: „Keine Regierungsbehörde, egal ob aus den USA oder anderswo, erhält direkten Zugriff auf die Daten unserer Nutzer." Exekutivorgane würden zwar „gelegentlich" um Auskunft zu Nutzerdaten ersuchen, die werden aber stets von der Google-Rechtsabteilung geprüft und zurückgewiesen, „wenn sie zu weit gefasst sind oder sich nicht an die entsprechenden Verfahren halten".