Führende Sicherheitsexperten von Google haben öffentlich vor den Folgen der geplanten EU-Regulierung für die Datensicherheit gewarnt. Wie das Technikmagazin Wired in einer aktuellen Analyse berichtet, sehen die internen Sicherheitsverantwortlichen erhebliche Risiken, falls die Europäische Union ihre Wettbewerbsregeln für Google Search und das Android-Ökosystem weiter verschärft. Konkret befürchten die Fachleute, dass eine erzwungene Öffnung der bestehenden Systeme neue Angriffsflächen für externe Angreifer schaffen und Millionen Nutzer betreffen könnte. Die Warnung fällt in eine Phase, in der die EU-Kommission den Digital Markets Act (DMA) konsequent durchsetzt. Zugleich mehren sich Berichte über technische Schwachstellen im Google-Cloud-Ökosystem, das viele Unternehmen im Hintergrund nutzen.

Die EU-Kommission verfolgt mit dem DMA das Ziel, die Marktmacht großer Digitalkonzerne zu begrenzen und den Wettbewerb zu stärken. Für sogenannte Gatekeeper wie Google bedeutet das, dass Konkurrenten künftig leichter Zugang zu zentralen Plattformen wie der Google-Suche erhalten sollen. Google argumentiert laut Wired, dass eine solche Öffnung technische Schnittstellen erforderlich mache, die bisher nicht für externe Drittanbieter gedacht waren. Genau darin sehen die internen Sicherheitsteams ein Problem, da sensible Datenflüsse sichtbar oder manipulierbar werden könnten. Parallel dazu wurde im hauseigenen Google Cloud SDK eine Sicherheitslücke entdeckt, die auf Cloud-VMs vorinstalliert ausgeliefert wird. Die Lücke mit der Bezeichnung CVE-2007-4559 betrifft die mitgelieferte Python-Komponente in Version 3.9.12 und ermöglicht potenziell Pfad-Traversal-Angriffe beim Entpacken von Archiven. Betroffen ist die Datei python39.dll im Installationsverzeichnis des SDK, wie im Google-Entwicklerforum diskutiert wird.

Was bedeutet das konkret für Ihren Betrieb?
Viele mittelständische Unternehmen in Deutschland nutzen Google-Dienste wie Workspace, Cloud-VMs oder Android-Smartphones im Außendienst und in der Logistik. Damit sind sie in zweifacher Hinsicht betroffen: direkt durch die bekannt gewordene Sicherheitslücke im Cloud-Bereich und indirekt durch die möglichen Auswirkungen neuer EU-Vorgaben. Sollten daraus neue technische Schnittstellen für Drittanbieter entstehen, steigt das Risiko, dass Anmeldedaten, Suchanfragen oder interne Kommunikation kompromittiert werden. Dies betrifft auch Branchen, die mit sensiblen Kundendaten arbeiten, etwa im Gesundheitswesen, in der Personalarbeit oder im Finanzsektor - also Bereiche, in denen Datenschutz oberste Priorität hat. Betreiber von Google-Cloud-VMs sollten die betroffene Python-Komponente umgehend aktualisieren, da Angreifer sonst Zugriff auf interne Verzeichnisse erlangen könnten. Mittelständler, die auf Google-Dienste angewiesen sind, sollten zudem ihre Cloud-Konfiguration kurzfristig prüfen und sich auf Compliance-Änderungen vorbereiten.

Mittelfristig dürfte die politische Debatte um den DMA und seine konkrete Umsetzung weiter an Fahrt aufnehmen, während Google gleichzeitig eigene Sicherheitslücken schließen muss. Für die gesamte Digitalbranche bedeutet das, dass die Abhängigkeit von einzelnen Hyperscalern und Suchdiensten neu bewertet werden sollte. Mittelständler, die Wert auf eine breitere Datenstrategie legen, erhalten so zusätzlichen Anlass zum Handeln. Ob die Warnungen der Google-Manager zu politischen Anpassungen führen, bleibt vorerst offen.