Fachbeitrag | Technischer Datenschutz 07.08.2017

Google Hacking: Wie Datendiebe Suchmaschinen missbrauchen

Es ist keine spezielle Hacker-Software nötig, um Schwachstellen und Angriffsziele ausfindig zu machen. Denn auch normale Suchmaschinen lassen sich dafür missbrauchen. Nutzen Sie das sogenannte Google Hacking, um in Ihrer Datenschutz-Unterweisung auf die Risiken offener Sicherheitslücken aufmerksam zu machen.

Google Hacking

Google Hacking: Suchmaschinen liefern Ziele, nicht nur Treffer

Kaum ein Internetnutzer kennt Google nicht. Auch in der Datenschutzschulung sind Suchmaschinen wie Google wahre Klassiker.

Trotzdem ist vielen nicht bewusst, was mit Suchmaschinen alles möglich ist:

  • So können Angreifer Suchmaschinen dazu missbrauchen, Schwachstellen in der IT eines Unternehmens aufzuspüren.
  • Sie brauchen gar keine besondere Software-Ausrüstung zu haben, um ungeschützte Passwörter oder Sicherheitslücken bei Webservern zu finden. Eine Suchmaschine reicht.

Dabei muss es auch nicht die Spezial-Suchmaschine Shodan sein, mit der sich unter anderem unzureichend geschützte Webcams oder Router auffinden lassen. Schon die Internet-Suchmaschine Google reicht vollkommen aus.

Die speziellen Suchabfragen, die unter anderem zu möglichen Angriffszielen führen, werden Google Hacking genannt.

Google Hacking für die Datenschutz-Sensibilisierung

Das Grundprinzip von Google Hacking ist es, Suchoperatoren geschickt zu nutzen und zu kombinieren. Suchoperatoren sind Suchbefehle, die Nutzer in das Google-Suchfeld zusammen mit Suchbegriffen eingeben. Ein bequemer Zugang zur erweiterten Suche mit Google findet sich unter https://www.google.de/advanced_search.

Hier können Sie zum Beispiel innerhalb einer Website gezielt nach bestimmten Dateitypen suchen:

  • Mit der Suche „site:XXX.de filetype:xls“ etwa findet man die Excel-Listen, die sich auf der Domain „XXX.de“ befinden.
  • Die Suche „allinurl: login site:XXX.de“ spürt alle Links innerhalb von „XXX.de“ auf, die das Wort „Login“ in sich tragen, führt also zu Anmeldeseiten.

Die Suchbefehle an sich stellen noch nichts dar, was mit Hacking oder der Vorbereitung darauf zu tun hätte. Es kommt auf den Inhalt und das Ziel der Suche an. So lässt sich gezielt nach Schwachstellen und Passwortlisten suchen.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter liegt es Ihnen fern, aktiv nach Schwachstellen zu suchen, um sie auszunutzen. Mehr als sinnvoll ist jedoch, dass Sie mit Hilfe von Methoden wie Google Hacking auf mögliche Sicherheitslücken hinweisen, ähnlich wie dies Penetrationstests machen.

Ein Klassiker: Ungeschützte Passwortlisten

Eine solche Schwachstelle im Datenschutz sind beispielsweise ungeschützte Passwortlisten, die ebenso im Internet zu finden sind wie vielfältige, sehr persönliche Informationen über Personen, die es mit der Datensparsamkeit oder Datenminimierung nicht genau genug nehmen.

Beispiel: Cache zu einer Webseite durchsuchen

Ein einfaches Beispiel sind Suchen im Suchmaschinen-Cache. Mit dem Suchoperator „cache:“ rufen Sie die Seitenversion ab, die Google beim letzten Besuch der angegebene Website zwischengespeichert hat.

Hat der Seitenbetreiber auf einer Webseite kürzlich etwas gelöscht, aber Google keinen ausdrücklichen Befehl zur Leerung des Caches gegeben (was viele Webseitenbetreiber vergessen), befindet sich womöglich noch die Version der Webseite im Cache, die die gelöschten Inhalte enthält. Aus Sicht des Datenschutzes keine schöne Vorstellung, die schnell Realität werden kann.

Liste der Google-Hacks

Weitere Beispiele für Google Hacking und damit eine Liste verschiedener Google-Hacks finden Sie als Arbeitshilfe im Download-Bereich.


Download: Google Hacking für die Datenschutzunterweisung


Nutzen Sie die Beispiele für Ihre Datenschutz-Unterweisung, um den Teilnehmern aufzuzeigen, wie einfach sich mit einer Suchmaschine wie Google Daten aufspüren lassen, die Datendiebe bei ihrer kriminellen Arbeit unterstützen.

Angreifer missbrauchen die Suchmaschinen dabei, um mehr Daten zu finden, als es den Betroffenen lieb und bewusst ist. Genau für dieses Bewusstsein sorgen Sie in Ihrer Datenschutz-Unterweisung.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)