Die Geschichte ist zu gut, um sie nicht zu erzählen. Und sie geht so: Vor ein paar Jahren griff Google die eigene Belegschaft mit USB-Plasmakugeln an. Das Spielzeug, besonders in den 1980er-Jahren populär, wurde auserwählten "Googlern" zugesandt, verpackt als Anerkennung zum Firmenjubiläum. In Wahrheit waren die elektrisierten Kugeln mit Schadsoftware kompromittiert. Dank blitzschneller Befehlseingabe nistete sich diese auf den Rechnern ein. Binnen einer Zehntelsekunde nach dem Anstecken.
In weiterer Folge drangen die Hacker verzweigt tief ins Innere von Google vor. Bis zu Plänen des Teams, das an der damals noch geheimen Datenbrille Google Glass arbeitete, erzählt Daniel Fabian und verzieht das Gesicht zu einem verschmitzten Lächeln. Der Oberösterreicher steht an der Spitze von Googles Red Team, der hausinternen Hacker-Gruppierung, die er selbst aufbaute. Entlehnt wurde das Konzept vom US-Militär, heute gilt der Feind im eigenen Haus als Standard in der Cybersicherheitsindustrie. "Der einzige Weg, einen Hacker zu stoppen, ist zu denken wie ein Hacker", lautet ein geflügeltes Wort.
"Drei bis fünf Übungen laufen immer gleichzeitig. Und sie laufen recht lange", erzählt Fabian, der sich intern "Staff Digital Arsonist" rufen lässt, "digitaler Brandstifter" also. Feuer legen Fabian & Co. an vielen Orten, kaum ein Google-Programm à la Suche, Ads, Maps, Cloud oder Gmail wurde noch nicht angegriffen. Oft scheitern die Attacken, in einem von zehn Fällen sind sie erfolgreich. Im Gegensatz zu tatsächlichen Hackerangriffen soll das keinen Schaden, sondern Nutzen bringen. Indem Google Sicherheitslücken schließen kann. "Ethical hacking" nennt sich die Herangehensweise der "guten" Hacker, die selbst zahlreichen Dokumentationspflichten unterliegen.
Google investiert zehn Milliarden US-Dollar
Im Gespräch mit der Kleinen Zeitung nimmt sich Fabian Zeit, plaudert redegewandt über sein Team, die Aufgabe, die steigende Bedeutung im Gefüge Googles. Manchmal würde er gerne tiefer blicken lassen. Dann reißt er die Augen auf, setzt zu einer Geschichte an – und winkt wieder ab. Zu heikel scheint eine detailreiche Schilderung. Von Blessuren der Google-Architektur oder von Angriffsvarianten, die das Red Team jetzt anwendet, weil es glaubt, dass sie bald hochrelevant sein werden. Wie viele Leute in seinem Team arbeiten, will der Vater von siebenjährigen Zwillingen auch nicht lesen. Nur so viel: es wachse und sei mittlerweile an drei Orten verankert. Zürich, New York City, Kalifornien.
Umso klarer ist: Für einen IT-Krösus wie Google ist das Thema Cybersecurity unumgänglich. Fast möchte man von unternehmerischer Lebensgrundlage sprechen. Nach außen hin wurde das nicht zuletzt 2021 unterstrichen, als der Konzern bekannt gab, in den folgenden fünf Jahren "zehn Milliarden US-Dollar" explizit in den Ausbau von Cybersicherheit zu investieren. Googles Red Team und Daniel Fabian spielen dabei zentrale Rollen. Dass die Zwei-Faktor-Authentifizierung heute bei vielen Diensten Standard ist, ist primär Fabian & Co. zu verdanken. "Wir wissen, dass Phishing de facto immer erfolgreich ist", erzählt Fabian vom Angriff mit gefälschten Nachrichten. Deswegen gelte es, technische Maßnahmen zu entwickeln, um die Gefahr zu minimieren.
Auch der legendären USB-Plasmakugel und ihren schädlichen Nachfahren zog Fabians Team so den Nerv. Entwickelt wurde eine Software, die USB-Eingänge gegen verdächtige Aktivitäten schützt. Indem das Programm penibel auf die Schnelligkeit von Eingaben achtet. Erfolgen diese zu rasant – Sie erinnern sich an die Zehntelsekunde zu Beginn dieses Textes –, werden sie vom System blockiert. Und die Hacker bleiben draußen.
Von Markus Zottler