Anzeige
Anzeige
Anzeige
Lesedauer 5 Min.

So hackt man Google

Der Internetriese Google verfügt über ein spezielles Team, das die eigenen Systeme regelmässig angreift. Daniel Fabian gab in Zürich Einblicke in die Tätigkeit des hauseigenen Red Teams.
Der Leiter von Googles Red Team, Daniel Fabian, gewährt am Sitz des Unternehmens in Zürich Einblicke in seine Tätigkeit
© (Quelle: Jens Stark)

Red Teams, also IT-Spezialisten, die ein Unternehmen und zwar meist das eigene angreifen, um Lücken im Abwehrdispositiv aufzudecken, halten sich in der Regel bedeckt. Umso spezieller, dass der Leiter des weltweiten Red Teams von Google, Daniel Fabian, sich am Standort in Zürich ein wenig in die Karten schauen liess. Der gebürtige Österreicher, der seit 2009 bei Google ist, simuliert mit seinen Teammitgliedern, die sich neben Zürich auch noch in New York und bei San Francisco befinden, realistische Angriffe auf die IT-Systeme des Internet-Riesen. Fabian und seine Leute hacken also Google, um die eigene Security schlussendlich zu verbessern.

Bei den Angriffen ist unweigerlich auch das sogenannte Blue Team involviert, das für die Verteidigung der Systeme zuständig ist, und vom Red Team herausgefordert wird. Ziel ist es also einerseits, die Fähigkeit bei der Erkennung und Eindämmung digitaler Bedrohungen zu testen und zu verbessern, andererseits festzustellen, wie sich Angreifer ins Google-Netz schleichen und sich dort bewegen können. Auch hier sollen Wege aufgezeigt werden, wie Angreifer künftig daran gehindert werden können.

Verschiedene Spielarten von Angriffsübungen

Wie Fabian ausführte, gibt es drei grobe Arten von Übungen. Generelle «Red Team»-Übungen kommen am häufigsten vor. Dabei werden in einer Planungsphase Angreifer, Mittel und Ziele definiert. «Die Arten von Angreifern, die wir dabei simulieren, reichen von staatlichen Hackern, über Gruppen von Cyberkriminellen bis hin zu Aktivisten», erklärt er. Aber auch Attacken von Insidern werden ihm zufolge simuliert. «Auch hier wollen wir sicherstellen, dass interne Angreifer nicht erfolgreich sein können», führt Fabian aus.

Ähnlich gelagert sind auch sogenannte «Red Cell»-Übungen. Diese gleichen zwar den Red-Team-Angriffen, mit zwei Unterschieden. So werde einerseits beim Angriff die Vorgehensweise einer existierenden Hackergruppe imitiert, die zuvor vom hauseigenen Bedrohungsanalyseteam als möglicher Angreifer auch von Google ausgemacht wurde. «Wir versuchen also die Techniken, Taktiken und Prozesse dieser Gruppe so exakt wie möglich zu simulieren», erklärt er.

Ein zweiter Unterschied sei, dass bei Red-Cell-Übungen die Verteidiger, also das Blue Team, die Übung genauso behandel wie eine richtige Attacke. Sie spielen laut Fabian dann das ganze «Playbook» durch. Wenn es zu einer Erkennung des Angriffs kommt, analysieren sie etwa Logfiles und versuchen jede Schwachstelle von technischen Systemen herauszufinden, um die Angreifer aus dem Netzwerk zu verdrängen. «Das hilft festzustellen, dass das 'Playbook' im Fall der Fälle auch funktioniert und das Blue Team in der Lage wäre einen richtigen Angriff abzuwehren», so Fabian weiter.

Solche Übungen könnten bis zu einem halben Jahr dauern. Grund hierfür ist laut Fabian, dass einerseits viel Organisation nötig ist. «Andererseits wissen wir, dass Angreifergruppen viel Geduld haben für ihre Attacken. Auch dies möchten wir hier abbilden», ergänzt er.

Schliesslich gibt es noch «Orange Team»-Übungen, bei denen Mitarbeiter von Google, die nicht im IT-Security-Team angesiedelt sind, dazu ermuntert werden, die eigene Firma zu hacken und Schwachstellen zu finden. «Damit haben wir eine möglichst grosse Bandbreite an Personen und dadurch unterschiedliche Perspektiven und können verschiedene Angriffsmöglichkeiten simulieren», so der Red-Team-Leiter.

Allerdings laufen alle Übungen mit Sicherheitsvorkehrungen ab, die in einem Regelwerk definiert sind. «Damit wollen wir sicherstellen, dass wir mit unseren Angriffen nicht mehr Probleme schaffen, als wir damit lösen können», meint Fabian. So sollen keine neuen Sicherheitslücken unabsichtlich herbeigeführt werden. Auch DDoS-Attacken sind laut Fabian Tabu. «Wir greifen auch nie auf bestehende Kundendaten zu», betont er weiter. Hier würden dann beispielsweise Test-Accounts erstellt.

Auch werde geregelt, wie mit gefundenen Schwachstellen umgegangen werde, so Fabian. Hier habe man definiert, welche Löcher im System gleich gemeldet werden müssen und bei welchen Lücken man mit der Übung fortfahren könne.

Konkreter Angriff mit einem «Plasma Globe»

Mit der Beschreibung konkreter Beispiele von Übungen ist Fabian verständlicherweise sparsam. Immerhin erwähnte er einen Fall, den Google als Anschauungsbeispiel veröffentlicht hat (vgl. Video unten). Dabei wurde das USB-Spielzeug Plasma Globe an zuvor ermittelte Google-Mitarbeiter mit Firmenjubiläum verschickt. Darin wurde ein Mikrochip versteckt, der bewirkte, dass der Computer meinte, es mit einer Tastatur zu tun zu haben. Sodann wurden in rascher Abfolge Tastenanschläge geschickt, die via Terminalsoftware eine Software aus dem Internet herunterluden und installierten, wodurch die Red-Team-Mitglieder einen ersten Fuss im System hatten und diesen schlussendlich fernsteuern konnten.

In einem weiteren Schritt kaperten die Red-Team-Leute die Geschäfts-E-Mail-Konten der infizierten Anwender und verschickten präparierte Phishing-Mails an die eigentlichen Opfer. Diese arbeiteten damals an der Entwicklung der VR-Brille Google Glass. Schlussendlich gelang es Fabian und seinen Leuten auf den Rechnern und in den Google-Drive-Konten der eigentlichen Zielpersonen heiklen Dateien wie Baupläne abzuräumen.

Erkenntnisse fliessen in Produkte

Die Tätigkeit des Red Teams bei Google führt nicht nur zur besseren Abwehrbereitschaft, sondern kann in konkrete Produkteentwicklungen fliessen. So sind die «unphishbaren» Security Keys von Google Ergebnis der Aktivitäten von Fabians Truppe. Dabei handelt es sich um eine Lösung für die zusätzliche Absicherung von Konten, die über das bekannte Schema Benutzername/Passwort und Zweifach-Authentifizierung mit Code hinausgeht.

Hacking Google
Anzeige

Neueste Beiträge

Anpassung der Energieetikette für Neuwagen ab 1. Januar 2027
Das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) hat die Grundlagendaten der Energieetikette für Personenwagen aktualisiert.
3 Minuten
ICT-Fachmesse CONNECT von Brack.Alltron erscheint in neuem Gewand
Unter dem Motto «Unboxing Tomorrow» möchte die Handelsgruppe Brack.Alltron die ICT-Themen von morgen präsentieren. 
3 Minuten
10. Jul 2026
Mittelklasse: Nothing zeigt das Phone (4b)
Beim neuen Phone (4b) setzt Nothing auf ein attraktives Preis-Leistungsverhältnis. Das Design der Rückseite ist weniger extravagant als bei anderen Modellen des Herstellers, hat aber zumindest wieder ein ungewöhnliches Element.
2 Minuten
9. Jul 2026

Das könnte Sie auch interessieren

E-Mail «Neue Sprachnachricht» ist Phishing
Betrüger versenden E-Mails, in denen sie behaupten, dass eine neue Sprachnachricht bereitstehe. Damit versuchen sie, an Zugangsdaten von persönlichen Benutzerkonten zu gelangen.
3 Minuten
Open-Source-Technologien im Sicherheitsbereich - Parldigi | Digitale Nachhaltigkeit
In Staat und Wirtschaft kommen seit längerem Open-Source-Technologien zum Einsatz. Doch welche Rolle spielt Open-Source im Bereich Security? Auf diese Frage gab der Parldigi-Anlass in Bern u. a. mit Bundesrat Martin Pfister mögliche Antworten.
4 Minuten
26. Jun 2026
Digital Business im Fokus: Wohin geht die Reise? - Computerworld Ausgabe 2/2026
Autonomie und Souveränität werden inzwischen als Schlagworte mindestens ebenso häufig verwendet wie Künstliche Intelligenz und Datenschutz. Automatisierung und die Transformation zu einer hohen Dichte an KI-Agenten in Unternehmen werden die Zukunft des Digital Business prägen. Daraus entsteht ein Mix, der spannender und komplexer nicht sein könnte. Die Digitalisierung hat Dimensionen erreicht, die sich - Ironie des Wandels - fast nur noch mit KI bewältigen lassen. Höchste Zeit also für einen Überblick. 
2 Minuten
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige