Cybercrime? Eindringlinge in Wortvogels digitaler Privatsphäre
Themen: Neues |Fakt ist (und das soll niemanden auf falsche Ideen bringen): Meine ganzes digitales Leben wird von Google und Apple verwaltet.
Ich bin in Sachen Sicherheit, Datenschutz und Firewall vermutlich Durchschnitt. Nicht leichtsinnig, aber auch nicht paranoid. Ich vertraue auf einige Tools, starke Passwörter, und vor allem guten Menschenverstand, um meine digitale Privatsphäre vor Angriffen zu schützen. Wobei "Privatsphäre" im Internet allgemein und als langjähriger Google-Kunde im Besonderen ein heikler Begriff ist.
Bisher ist 25 Jahre lang alles gut gegangen, von einem kleinen Virenbefall und einem Identitätsklau mal abgesehen. Doch in den letzten Wochen wurde es mal wieder heikel und ich musste fürchten, digitale Einbrecher im Haus zu haben.
Was war passiert? Eigentlich etwas, das man kaum wahrnimmt und im ersten Augenblick auch nicht für eine Gefahr hält: Im Verlauf meines YouTube Premium-Accounts tauchten Videos auf, die ich mir definitiv nicht angesehen hatte.
Polnische Sängerinnen, Karaoke, Spiele-Walkthroughs. Nicht meine Baustelle.
Ich dachte zuerst an einen Glitch, einen Fehler im System. Weitere Möglichkeit: YouTube zeigt (versehentlich?) auch Videos von den anderen Mitgliedern meines Family-Accounts an. Die LvA, mein Bruder – stehen die auf polnischen Pop?
Aber es ergab keinen Sinn und damit stieg meine Unruhe. Die Auflistung mir unbekannter Videos war ein Hinweis, dass sich jemand in meinem YouTube-Account befand, irgendwo auf der Welt, und das auch weidlich nutzte.
Nun muss man wissen, dass der YouTube-Account direkt mit dem Google-Account verknüpft ist und beide das gleiche Passwort nutzen. Wer vollen Zugriff auf mein YouTube hat, hat theoretisch auch vollen Zugriff auf mein Google – und damit auf mein digitales Privatleben, meine Akten, meine Konten, etc. Wer da eindringt, kann mich aus meinem Leben aussperren, es lahmlegen, und nach Belieben plündern.
Zu diesem Zeitpunkt empfand ich das als beunruhigend, aber nicht akut. Vielleicht waren die Videos ja auch nur über die Autoplay-Funktion von YouTube unbeobachtet in die Timeline gespült worden. Abwarten und Tee trinken.
Ich recherchierte oberflächlich, fand aber weder eine Erklärung für das Problem, noch eine einfache Lösung. Allerdings ahnte ich dumpf den Fehler, den ich vermutlich gemacht hatte: auf Reisen, in Hotels, aber auch bei AirBnB nutzen wir gerne die Smart-Fernseher vor Ort, um YouTube-Videos zu schauen. Dafür gestatte ich dem TV den Zugriff auf mein YouTube-Konto.
Ganz einfach gesagt: Wenn ich an einem der besuchten Orte meinen Account bei Abreise nicht gelöscht hatte, dann stand er offen wie ein Scheunentor.
Vorgestern Abend war es dann soweit, dass die Sache mich doch nervös machte: während die LvA und ich Folgen von GRAND DESIGNS schauten, poppten in Echtzeit in meiner Timeline wieder Karaoke-Videos auf.
So geht’s nicht. Wer mit etwas Böses will, braucht nicht mal meine Emails oder mein Google Drive zu durchforsten – es reicht völlig, mein Passwort zu ändern und mich damit auszuschließen. Ich beschloss, die digitale Schrotflinte rauszuholen und den Eindringling zu stellen oder wenigstens zu verscheuchen.
Das Problem: Bei Google ist das natürlich alles theoretisch möglich, aber praktisch nicht so einfach. Nach kurzer Zeit fand ich die Einstellungen, um alle Verbindungen meines Accounts bis auf die aktuell verwendeten Geräte in unserem Haushalt zu kappen. Da tauchten dann auch seit Jahren nicht mehr verwendete Laptops, zurück geschickte Android-Phones und vage benamste Tablets auf, die ich nicht mehr zuordnen konnte. Und diverse Smart-Fernseher.
Ich schmiss alles gnadenlos raus, kappte auch die Verbindung diverser Apps und Webseiten zu meinem Google-Account. Was ich vielleicht doch noch brauche, kann ich später neu verlinken.
Leider brachen immer wieder Versuche, Verbindungen zu beenden, mit einer Fehlermeldung ab, was mich sehr nervös machte. Außerdem musste ich mich bestimmt 20 Mal über mein Smartphone neu identifizieren. Und während ich säuberte, konnte ich weiter in meinem Verlauf sehen, wie der Trittbrettfahrer sich einen schönen Abend machte:
Es gab allerdings auch beruhigende Signale: gerade die penetrante 2 Faktor-Authentifizierung von Google war ein Hinweis, dass jemand nicht an meine Mails kommt, nur weil er meinen YouTube-Kanal nutzen kann. Um von dort aus in die Schaltzentrale meines digitalen Hauptquartiers vorzudringen, müssen erheblich mehr Schranken überwunden werden. Wenigstens das.
Schließlich kappte ich alle YouTube-Logins, die nicht zu unseren Fernsehern gehörten – und änderte endlich mal wieder das Google-Passwort. Das war ein kritischer Moment, denn hier würde sich zeigen, ob der Eindringling zu Gegenmaßnahmen bereit und fähig war. Google wollte noch mal eine Identifikation – dann wuppte es.
Gegen 2 Uhr morgens, das kann ich am Verlauf auch ablesen, wurde die Playliste des Eindringlings kurz nach dem Start eines Justin Bieber-Videos abgebrochen:
Das war ein gutes Zeichen, aber keine Gewissheit. Konnte ja auch sein, dass mein schwarzes Spiegelbild einfach beschlossen hatte, ins Bett zu gehen.
Entwarnung: Seither ist Ruhe und die Übersicht in den Einstellungen zeigt keine weitere Verbindung mit YouTube außerhalb unserer Wohnung an.
Es gab allerdings noch ein kurioses Nachspiel: Gestern erzählte ich meinem Bruder am Telefon von der Geschichte und er wurde hörbar nervös. Während ich mit dem Eindringling in meiner Digitalsphäre kämpfte, war bei ihm nämlich ein neuer Kontakt in seiner Signal-App aufgetaucht – mit seinem Namen und seinem Foto, aber mit einer unbekannten Telefonnummer. Einer ersten Überprüfung zufolge steht das allerdings in keinem Zusammenhang. Ein Scammer vermutlich.
Wir merken uns für die Zukunft: Überall, wo man einen Zugang zu den eigenen Daten aufmacht, sollte man ihn auch ordentlich schließen. Eigentlich logisch.
Das erste Bild lässt auf einen Liebhaber serbischer Folk-Pop-Musik schliessen.Aus meiner Schulzeit blieb noch etwas kyrillisches Leseverständnis hängen.
Ich lasse gleich mal alle Serben unter Generalverdacht stellen.
Wieso hat denn YT das selbe Passwort wie der Google Account? Das dürfte mit dem Passwort-Manager eigentlich nicht mehr passieren. Wobei — ich bin bei solchen Sachen auch manchmal echt faul, außer bei den Sachen, die ich öfter nutze (und da sind dann Touch- oder Face-ID eine echte Erleichterung oder zumindest Ergänzung). Aber ich kann es sooo gut nachvollziehen … 😉
YouTube gehört zu Google, und Google verfolgt die Philosophie, dass alle seine Produkte über ein zentrales Account gemanagt werden. Da würde also auch ein Passwort-Manager nichts dran ändern.
Man könnte natürlich ein separates Google-Konto anlegen, das man dann z.B. nur für YouTube nutzt, aber dann müsste man im Alltag ständig mit verschiedenen Google-Konten jonglieren, was umständlich und fehleranfällig wäre.
Danke.
Danke für die Aufklärung. Irgendwie auch logisch, aber die Youtube-Verbindung hatte ich bisher mental gar nicht so miteinbezogen. Ergibt jetzt aber total Sinn. 😉
Das Google-Passwort ändere ich eigentlich ziemlich häufig, jetzt muss ich tatsächlich mal schauen, ob sich dann automatisch auch alle anderen Sachen ändern.
nehme nur den eigenen FireTV Stick mit. Klar, darf man nicht liegen lassen, aber der ist mir so wichtig wie das Handy oder Portemonnaie.
Oder einfach nur ein USB-C auf HDMI-Kabel einpacken und Tablet oder Smartphone nutzen. Da denkt man noch eher dran.
Das stimmt ja nun so schlicht nicht. Der Login mit youtube premium auf einem Fernseher erlaubt keinen Zugang zum google drive, und auch das Passwort kann man nicht einfach ändern. Schreibst du doch selber im Rest des Artikels..
Also ruhig ein paar Pferde im Stall lassen, und sich über die Bereicherung durch polnischen Pop freuen! A komu zwyczajne szare dni?!
(Disclaimer: Ich fürchte jeden Tag, dass meine +1 meine youtube music playlist ruiniert, nutze aber schamlos eingeloggt-vergessene Netflix-Accounts in Hotelzimmern. Falls vor mir ein "Torsten W" da war, binge ich Filme von Uwe B.)
(Jajaja, Torsten Wortvogel, ich merks ja selber..)
Du hast den Artikel nicht richtig gelesen. Er ist eine Chronik meines zum Zeitpunkt des Geschehens besessenen Wissens. Am Ende war ich schlauer. Wie das auch sein soll.
Fürs Protokoll: Ich habe den Artikel richtig gelesen.
Dann habe ich es wohl nicht verstanden.
Als der Artikel anfing, war genau das, was vermutlich wirklich geschehen war, mein allererster Gedanke: Vergessener Logout auf Hotel-Fernsehern.
Hab selbst hier und da schonmal den Logout aus meinem Netflix-Account vergessen (und dann oft binnen eines Tages über den Web-Account schnellstmöglich nachgeholt), aber war auch tatsächlich – gestehe ich – schon so manches Mal Nutznießer eines vergessenen Logouts eines Vornutzers… Klassiker sozusagen. Aber mit einem Youtube-Account natürlich ungleich brisanter, keine Frage.
Freue mich, dass es hoffentlich gut ausgegangen ist!
Blöde Frage – ich krieg bei den meisten Services immer eine Meldung "Sie haben sich von einem neuen Gerät angemeldet. Sind das auch wirklich Sie?", wenn ich ein anderes Gerät (bzw VPN Server) zum Login verwende. Gibt#s sowas bei Google nicht?
Natürlich. Aber ich war im Hotel oder in der Ferienwohnung ja angemeldet. Die Person nach mir brauchte das nicht mehr.
Mein Bruder hat sich eine grossen Plasmafernseher, Markenprodukt, aus dem Nachbarort geholt. War in Kleinanzeigen zu verschenken. Den Pixelfehler konnten wir nur mit einer Test-DVD überhaupt mit Mühe finden. Den dort hinterlegten Netflix-account hat er angeblich vier Jahre lang genutzt, bis dieser dann mal weg war. Dachte, sowas ginge nicht.
Netflix hat ja erst vor 2 Jahren überhaupt die Haushaltssperre eingeführt. Davor wurde ein Account nur deaktiviert, wenn man sich aus allen Geräten abmeldet. Aber das macht ja fast niemand ohne Grund.