Wie der indische Sicherheitsforscher Avinash Jain berichtet, ist genau das aktuell bei mehr als 8000 Google-Kalendern geschehen. Und damit nicht genug, denn wer möchte, kann diese Kalender nicht nur einsehen, sondern auch Elemente bearbeiten und hinzufügen. Schuld daran ist eine eigentlich beabsichtigte Funktion des Google-Kalenders. Indem man einen Kalender mit anderen teilt, macht man diesen öffentlich. Allerdings dürfte kaum ein Nutzer damit gerechnet haben, dass man damit den gesamten Kalender für jeden frei verfügbar ins Netz stellt. Vielmehr gehen die meisten davon aus, dass zumindest der Einladungslink notwendig ist, um zuzugreifen.
Dabei ist das Problem kein neues, sondern wurde bereits vor zwölf Jahren bei Einführung der Veröffentlichungsfunktion „make it public“ im Kalender thematisiert. Ursprünglich war dieses Feature nämlich dafür gedacht, Events in der Suchmaschine zu platzieren. Doch schon damals nutzten es Unternehmen, um interne Termine zu koordinieren und es wurden sensible Firmendaten im Netz entdeckt. Offenbar haben einige Nutzer die Warnung seitens Google, dass man seinen Kalender buchstäblich mit der ganzen Welt teilt, wenn man die Funktion nutzt, ignoriert oder überlesen.
Da Google den Ersteller eines öffentlichen Kalenders nicht benachrichtigt, wenn jemand darauf zugreift oder ein Ereignis hinzufügt, erschwert die Funktion es den Nutzern zu wissen, ob sie unbeabsichtigt Informationen preisgeben und sogar für Spammer und Phishing-Attacken offen sind. Mit einer erweiterten Google-Suchanfrage (Google Dork) kann man innerhalb von Sekunden alle öffentlich zugänglichen Kalender auflisten und auf alle Informationen zugreifen, einschließlich sensibler Unternehmensdaten.
Ob man seinen Kalender bereits öffentlich gemacht hat, ist auf den ersten Blick nicht zu erkennen. Auch hier fehlt in der Nutzeroberfläche ein entsprechender Hinweis. Hierfür muss man erst in die Google-Einstellungen gehen und dort in den Freigaben nachsehen. Entdeckt man dort ein Häkchen bei „Öffentlich Freigeben“, sollte man es schnellstmöglich entfernen. Darüber hinaus ist diese Funktion nicht die einzige Möglichkeit, Termine zu koordinieren und Kalender freizugeben. Ebenfalls in den Einstellungen findet sich die Möglichkeit, den Kalender mit bestimmten Personen zu teilen, die man per E-Mail einlädt. Hier kann man auch einstellen, welche Berechtigungen die einzelnen hinzugefügten Personen haben, beispielsweise, ob sie Termine nur ansehen oder auch bearbeiten können. Auf diese Art und Weise behält man die Kontrolle über den eigenen Kalender und läuft nicht Gefahr, sensible Daten versehentlich mit der ganzen Welt zu teilen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de