Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
23. Januar 2020

Google Hacking: Wie Datendiebe Suchmaschinen missbrauchen

Gratis
Google Hacking: Wie Datendiebe Suchmaschinen missbrauchen
Bild: HYWARDS / iStock / Thinkstock
0,00 (0)
Sicherheitsrisiko Suchmaschinen
Es ist keine spezielle Hacker-Software nötig, um Schwachstellen und Angriffsziele ausfindig zu machen. Denn auch normale Suchmaschinen lassen sich dafür missbrauchen. Nutzen Sie das sogenannte Google Hacking, um in Ihrer Datenschutz-Unterweisung auf die Risiken offener Sicherheitslücken aufmerksam zu machen.

Google Hacking: Suchmaschinen liefern Ziele, nicht nur Treffer

Kaum ein Internetnutzer kennt Google nicht. Auch in der Datenschutz-Schulung sind Suchmaschinen wie Google wahre Klassiker.

Trotzdem ist vielen nicht bewusst, was mit Suchmaschinen alles möglich ist:

  • So können Angreifer Suchmaschinen dazu missbrauchen, Schwachstellen in der IT eines Unternehmens aufzuspüren.
  • Sie brauchen gar keine besondere Software-Ausrüstung zu haben, um ungeschützte Passwörter oder Sicherheitslücken bei Webservern zu finden. Eine Suchmaschine reicht.

Dabei muss es auch nicht die Spezial-Suchmaschine Shodan sein, mit der sich unter anderem unzureichend geschützte Webcams oder Router auffinden lassen. Schon die Internet-Suchmaschine Google reicht vollkommen aus.

Die speziellen Suchabfragen, die unter anderem zu möglichen Angriffszielen führen, werden Google Hacking genannt.

Google Hacking für die Datenschutz-Sensibilisierung

Das Grundprinzip von Google Hacking ist es, Suchoperatoren geschickt zu nutzen und zu kombinieren. Suchoperatoren sind Suchbefehle, die Nutzer in das Google-Suchfeld zusammen mit Suchbegriffen eingeben.

Ein bequemer Zugang zur erweiterten Suche mit Google findet sich unter https://www.google.de/advanced_search.

Hier können Sie zum Beispiel innerhalb einer Website gezielt nach bestimmten Dateitypen suchen:

  • Mit der Suche „site:XXX.de filetype:xlsx“ etwa findet man die Excel-Listen, die sich auf der Domain „XXX.de“ befinden.
  • Die Suche „allinurl: login site:XXX.de“ spürt alle Links innerhalb von „XXX.de“ auf, die das Wort „Login“ in sich tragen, führt also zu Anmeldeseiten.

Die Suchbefehle an sich stellen noch nichts dar, was mit Hacking oder der Vorbereitung darauf zu tun hätte. Es kommt auf den Inhalt und das Ziel der Suche an. So lässt sich gezielt nach Schwachstellen und Passwortlisten suchen.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter liegt es Ihnen fern, aktiv nach Schwachstellen zu suchen, um sie auszunutzen.

Mehr als sinnvoll ist jedoch, dass Sie mit Hilfe von Methoden wie Google Hacking auf mögliche Sicherheitslücken hinweisen, ähnlich wie dies Penetrationstests machen.

Ein Klassiker: Ungeschützte Passwortlisten

Eine solche Schwachstelle im Datenschutz sind beispielsweise ungeschützte Passwortlisten, die ebenso im Internet zu finden sind wie vielfältige, sehr persönliche Informationen über Personen, die es mit der Datensparsamkeit bzw. Datenminimierung nicht genau genug nehmen.

Beispiel: Cache zu einer Webseite durchsuchen

Ein einfaches Beispiel sind Suchen im Suchmaschinen-Cache. Mit dem Suchoperator „cache:“ rufen Sie die Seitenversion ab, die Google beim letzten Besuch der angegebene Website zwischengespeichert hat.

Hat der Seitenbetreiber auf einer Webseite kürzlich etwas gelöscht, aber Google keinen ausdrücklichen Befehl zur Leerung des Caches gegeben (was viele Webseitenbetreiber vergessen), befindet sich womöglich noch die Version der Webseite im Cache, die die gelöschten Inhalte enthält.

Aus Sicht des Datenschutzes keine schöne Vorstellung, die schnell Realität werden kann.

Liste der Google-Hacks

Weitere Beispiele für Google Hacking und damit eine Liste verschiedener Google-Hacks finden Sie als Arbeitshilfe im Download-Bereich.


Download: Google Hacking für die Datenschutzunterweisung


Nutzen Sie die Beispiele für Ihre Datenschutz-Unterweisung, um den Teilnehmern aufzuzeigen, wie einfach sich mit einer Suchmaschine wie Google Daten aufspüren lassen, die Datendiebe bei ihrer kriminellen Arbeit unterstützen.

Angreifer missbrauchen die Suchmaschinen dabei, um mehr Daten zu finden, als es den Betroffenen lieb und bewusst ist. Genau für dieses Bewusstsein sorgen Sie in Ihrer Datenschutz-Unterweisung.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!


Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare