Ratgeber

Das eigene Google-Konto schützen

Foto: 
momentcaptured1
, CC BY 2.0

Ein Passwort kann schnell gestohlen werden oder verloren gehen. Datendiebstahl und Betrug können die Folge sein. Google bietet seinen Nutzern wirkungsvolle Methoden ihre Daten besser zu schützen. Wer will, kann sein Handy zum zusätzlichen Schlüssel machen.

Veröffentlicht am
Autor
Schlagworte
Google · Passwort · Zwei-Faktor-Authentifizierung
Drucken

Es gibt viele Wege, wie Nutzer ihre Login-Daten verlieren können. Zum Beispiel versuchen Schadprogramme Passwörter und Nutzernamen zu erspähen.

Hinzu kommen Einbrüche bei populären Diensten, wie der bei Yahoo, der im Sommer 2016 bekannt wurde. Dabei wurden E-Mail-Adressen und Passwörter von rund 200 Millionen Nutzern gestohlen. Verwendet ein betroffener Nutzer ein solches gestohlenes Passwort auch für einen anderen Dienst, zum Beispiel für sein Google-Konto, können Angreifer dieses gleich mit übernehmen.

Weitreichender Zugriff

Nur wenige Passwörter sind wertvoller als das Google-Passwort. Es öffnet nicht nur den Zugang zu Diensten wie dem Google Play-Store, GMail oder YouTube. Über die Fernzugriffsfunktion von Google könnten Angreifer ein Smartphone unter bestimmten Umständen aus der Ferne löschen.

Wer Zugriff zum Google-Mail-Konto hat, kann sich unter Umständen auch zu anderen Diensten Zugang verschaffen. Denn wenn die Google-Mail-Adresse zum Beispiel bei Amazon als Kontaktadresse hinterlegt wurde, kann ein Angreifer einfach ein neues Amazon-Passwort anfordern.

Wie die meisten Online-Dienste schickt Amazon dann eine E-Mail an die hinterlegte Kontaktadresse. Sie enthält einen Link, über den man das Passwort zurücksetzen kann. Ein Angreifer, der Zugriff auf das Google-Konto hat, kann diese E-Mail abfangen und so auch das Amazon-Konto übernehmen.

Über die Seite “Mein Konto” https://myaccount.google.com/ können Nutzer ihr Google-Konto sichern. Als erste Maßnahme bietet sich der “Sicherheitscheck” an, bei dem man in mehreren Schritten überprüfen kann, welche Maßnahmen bereits getroffen wurden, und welche Geräte und Dienste auf die Daten des Google-Kontos zugreifen.

E-Mail zur Wiederherstellung einrichten

Google fragt bei diesem Check zunächst nach einer Mobilnummer. Wenn Nutzer das Passwort vergessen, schickt Google einen Code an diese Nummer, mit dem man dann ein neues Passwort bekommt. Wenn das Mobilgerät allerdings gestohlen wird, kann der Dieb so ganz leicht das Google-Konto übernehmen.

Wer will, kann auch eine E-Mail-Adresse zur Wiederherstellung  hinterlegen. Auch diese Option bietet Google im Sicherheitscheck an. Am besten eignet sich dafür eine E-Mail-Adresse, die nicht für den normalen Mailverkehr und auch nicht mit einem Mobilgerät genutzt wird.

Wer nun das Mobilgerät stiehlt, kann das Passwort zum Google-Konto zwar neu anfordern, kann aber die E-Mail mit dem Link nicht empfangen.

Im nächsten Schritt des Sicherheitschecks findet man eine Liste mit den verbundenen Geräten. Unbekannte Rechner oder ein nicht mehr genutztes Telefon sollte man entfernen.

Anmeldung in zwei Schritten

Eine zusätzliche Sicherung zum Passwort findet man im Google-Konto unter dem Punkt “Anmeldung und Sicherheit > Bestätigung in zwei Schritten”.

Nach Aktivierung dieser Option reicht es nicht mehr aus, das Passwort zu kennen, um mit einem neuen Gerät Zugriff auf das Google-Konto zu erlangen. Stattdessen wird der Nutzer nach einem zusätzlichen Bestätigungscode gefragt.

Google bietet viele Optionen, wie dieser Sicherungscode zum Nutzer gelangen kann. Am gebräuchlichsten ist die SMS: Google schickt dabei einen sechsstelligen Zifferncode auf das Handy, mit dem ein Nutzer den Zugriff erlauben kann.

Zweitschlüssel auf vielen Wegen

Wer will, kann auch die App „Authenticator“ von Google nutzen. Sie generiert alle 30 Sekunden einen neuen Nummerncode, der vom Nutzer zur Freischaltung benutzt werden kann. Um den eigenen Account mit der App zu verknüpfen, ist es notwendig, einmalig einen QR-Code abzuscannen.

Der Vorteil: Googles Authenticator benötigt keine Telefonnummer und unterstützt die Zwei-Faktor-Authentifizierung auch für andere Apps und Dienste. Die App kann man sich im Play-Store herunterladen.

Alternativ können Nutzer auch noch Nummerncodes auf Vorrat ausdrucken – ähnlich den früher gebräuchlichen TAN-Listen beim Online-Banking. Als fünfte Möglichkeit lässt sich auch ein spezieller USB-Stick wie der Yubikey als Authentifizierungs-Medium nutzen.

Eine einfachere Methode ist „Aufforderung von Google“. Sobald sich ein Nutzer einloggen will, wird eine Nachricht auf das Handy geschickt, bei der der Nutzer lediglich auf “ja” klicken muss, wenn der Zugriff auf das Konto erlaubt werden soll. Damit das funktioniert, muss auf Android-Smartphones eine neue Version der Google Play Services, bei Apple-Geräten die App  „Google – die offizielle Suche” installiert sein. Im Gegensatz zum Authenticator muss das Smartphone aber online sein, um den Freigabebefehl zu übermitteln.

Weniger sichere Apps

Nicht jede App, die auf Google-Dienste zugreifen will, unterstützt auch das Zwei-Faktor-Verfahren. Zum Beispiel kann es Probleme mit der Mail-App auf iPhones mit einer älteren Version als iOS 8.3 geben.

Solche Apps bezeichnet Google als „weniger sicher“. Standardmäßig wird ihnen der Zugriff auf Google-Dienste verweigert, wenn die Zwei-Faktor-Authentifizierung eingeschaltet ist. Man kann diese Einstellung im Google-Konto zwar ändern, das wird aber nicht empfohlen.

Besser ist es, solche unsicheren Apps nicht zu nutzen, oder auf die entsprechenden Google-Dienste zu verzichten.

Was tun bei Handy-Diebstahl?

Was passiert, wenn das Handy defekt ist oder gestohlen wird, und man deshalb keine SMS-Codes mehr empfangen kann? Hier empfiehlt Google mehrere Optionen.

So kann man den Code auch als Sprachnachricht statt als SMS anfordern. Da viele Mobilfunk-Provider den Zugriff auf die Mobil-Mailbox von Festnetztelefonen ermöglichen, kann man so trotzdem an den Zifferncode gelangen.

Einfacher ist es, wenn man einen zuvor verifizierten Rechner zur Hand hat. Mit ihm kann man die Zwei-Faktor-Authentifizierung vorübergehend zu deaktivieren, bis man wieder Zugriff auf die eigene Mobilfunknummer hat. Um einen Rechner zu verifizieren, muss man sich vorher einmal per Zwei-Faktor-Authentifizierung mit dem Rechner anmelden, und dabei das Häkchen „Auf diesem Computer nicht mehr fragen“ direkt unter der Schaltfläche „Fertig“ setzen.

Wenn alle Stricke reißen, kann man auch bei Google den Transfer des Kontos beantragen – dies benötigt jedoch selbst im Idealfall mehrere Werktage.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!