Menü
Security

Android und die WLAN-Passwörter: Google löscht nicht

Von
vorlesen Drucken Kommentare lesen 195 Beiträge

Android verspricht, die Daten von den Google-Servern zu löschen.

Seit über zwei Tagen versuchen wir, den Google-Servern ein von Android standardmäßig gesichertes WLAN-Passwort wieder zu entreißen – vergeblich. Auch zwei Tage, nachdem wir das Backup deaktiviert und der Löschung der Passwörter zugestimmt haben, spielt uns Google bei einer Synchronisierung mit dem Account das Passwort wieder aufs Smartphone. Gelöscht kann es also nicht sein.

Beim Einrichten fragt Android nur ganz harmlos, ob man "Apps, Einstellungen und andere Daten [..] sichern" wolle. Die Option "Telefon über mein Konto sichern" ist standardmäßig aktiv; von Passwörtern, ist allerdings nicht die Rede. Erst wer später in den Einstellungen unter "Sichern & zurücksetzen" nachsieht, findet dort den Hinweis, dass auch WLAN-Passwörter auf den Google-Servern landen. Der Anwender kann nicht einmal optional ein spezielles Passwort für seine wichtigen Kennwörter vergeben. Dass die dabei nicht durch ein persönliches Geheimnis gesichert werden, sondern lediglich einen Schutz genießen, wie ihn Google auch einer normalen E-Mail oder einem Adressbucheintrag zukommen lässt und somit durchaus auch Dritten zugänglich sind, erfährt er überhaupt nicht.

Beim Einrichten ist von Passwörtern noch nicht die Rede.

Auf unsere Kritik an dieser fragwürdigen Passwort-Speicher-Praxis reagierte Google mit einer Stellungnahme und versicherte: "Nutzer können diese Funktion zu jedem Zeitpunkt deaktivieren, was dazu führt, dass Daten gelöscht werden". In der Tat fragt Android, wenn man die Sicherung deaktiviert, ob man tatsächlich das "Sichern von WLAN-Passwörtern [...] abbrechen und alle Kopien von den Google-Servern löschen" wolle.

Allerdings erreichten uns mehrere Leserhinweise, dass sie durchaus auch nach dem Abstellen des Backups die WLAN-Passwörter von den Google-Servern wieder herstellen konnten. Um das zu überprüfen, haben wir Montag das Löschen der Daten eines Test-Handys angestoßen. Da dieses Gerät als einziges mit dem Test-Account verbunden ist, erwarteten wir eine zügige Löschung der sensiblen Daten. Doch auch heute, also Mittwochmittag, waren die WLAN-Passwörter ganz offensichtlich noch auf den Google-Servern vorhanden: Beim Hinzufügen eines neuen Geräts zu diesem Konto wurden sie erneut eingespielt; das Gerät konnte sich nach dem Sync sofort wieder in das Netz einbuchen.

Auch über Googles Online-Konten-Ansicht Dashboard konnten wir die Daten nicht entfernen. Dort sind zwar alle verknüpften Geräte aufgeführt, inklusive Datum der letzten Synchronisation. Ein Löschen kann man dort aber nicht anstoßen.

Wer also beim Einrichten seines Smartphones der Sicherung vertrauensvoll zugestimmt hat und dann erschreckt feststellt, dass Google Passwörter, die vor allem im Firmenumfeld ja auch den Zugang zu Firmen-Mail, Web-Administration und VPN gewähren, ohne zusätzliche Sicherung auf seinen Servern ablegt, hat ein ernstes Problem. Zumindest so einfach wie von Google dargestellt lässt sich der US-Konzern die einmal gespeicherten Daten nicht entreißen. Auf unsere bereits am Dienstag gestellte Nachfrage, wann genau denn die Daten auf den Google-Servern tatsächlich gelöscht werden, antwortete Google bislang nicht. (ju)