5 Wege zur Vermeidung von Datenlecks in Google Analytics

No Comments »

Manche Unternehmen machen damit Millionen und manche gefährden damit ihre eigene Existenz. Ja, die Datensicherheit steht natürlich bei den meisten Unternehmen an erster Stelle. Nicht umsonst gibt es seit den späten Achtzigern bestimmte Branchen, unter anderem die Corporate Raiders, die von solchen Datenlecks profitieren. Beim Corporate Raiding werden solche Daten für externe Unternehmensanalysen verwendet, damit können die Analysten beispielsweise den genauen Unternehmenswert ermitteln. Nach der Wertermittlung werden dann gewisse Übernahmestrategien entworfen und letztendlich zur Zerschlagung bzw. Übernahme von Unternehmen eingesetzt. Auch Webanalyse-Daten können gleichwohl für solche Zwecke aber auch für andere Zwecke benutzt werden, wobei Online-Unternehmen wahrscheinlich für solche Angriffe weniger anfällig sind. Nichtsdestotrotz ist die Datensicherheit eine der Top-Themen in vielen Unternehmen. Abgesehen davon, dass die Google Analytics-Daten nicht auf den eigenen Servern gespeichert werden, gibt es noch weitere kritische Faktoren, die in diesem Zusammenhang immer wieder vorkommen.

1. Web Analysten als Praktikanten in Unternehmen

Wer sich einmal die Jobangebote im Web Analytics-Bereich angeschaut hat, konnte sicherlich feststellen, dass es immer wieder große Unternehmen und Konzerne gibt, die Praktikanten für Web Analytics suchen. Es ist eigentlich bedenklich, Praktikanten an solch wichtige Daten zu lassen. Mit etwas krimineller Energie könnte solch ein Praktikant natürlich die Daten nicht nur an die Konkurrenten verkaufen, sondern auch für diverse andere Zwecke ausnutzen. Daher sind solche Stellen sehr fragwürdig, wenn man bedenkt, welchen Schaden ein Praktikant hier in diesem Bereich anrichten könnte. Daher ist es vorher wichtig, die Zutrittsbereiche für den Praktikanten zu definieren, d.h. mit welchen Daten darf ein Praktikant überhaupt arbeiten? Welche Accounts und Zugangsmöglichkeiten werden ihm/ihr geboten? Diese und viele anderen Fragen müssen im Vorfeld geklärt werden. Hier geht es nicht um Kosteneinsparung und billige Arbeitskräfte, sondern womöglich um die strategische Basis eines Unternehmens. Es wird sicherlich in einigen Jahren auch bei den Web-Unternehmen zu fremden Übergriffen in Form von Corporate Raiding kommen, daher sind diese Daten für die Konkurrenten von großer Bedeutung!

2. Zugangsdaten und externe Logins

In Google Analytics unter Verwaltung verbergen sich einige wichtige Funktionen. Unter anderem sind dort die Nutzereinstellungen zu finden. Es kommt immer wieder vor, dass manche Administratoren externe Zugänge an Dritte vergeben und schlichtweg vergessen, dass noch andere Personen auf die Daten und Profile im Analytics zugreifen können. So kann praktisch diejenige Person, die den Account besitzt, sich immer wieder in den bestehenden Account einloggen und Daten ausspionieren. Daher ist es ratsam, alle wichtigen Profile auf externe Benutzer zu überprüfen, damit solche Datenlecks nicht entstehen können. Hier geht es nicht nur um den gesamten Account, hier geht es auch um die einzelnen Profile, denn die Freischaltung kann auch auf der Profilebene passieren. Überprüfen Sie am besten in einem Intervall von 6 Monaten, ob vielleicht in Ihrem Account fremde Personen oder alte Dienstleister und Partner über einen Zugang verfügen.

Abbildung: Nutzereinstellungen in Google Analytics

3. Google-Konto und autorisierte Programme

Mittlerweile gibt es einige interessante Tools, welche die Daten von Google Analytics für verschiedene Auswertungen über die Google Analytics API importieren können. In der Regel müssen diese Tools in jedem Google Analytics-Konto freigeschaltet und autorisiert werden. Sobald eine App / Tool diese Freischaltung bekommen hat, können alle Daten automatisch bezogen werden. Teilweise kann es passieren, dass man etwas austesten wollte und wie im Fall mit den User-Zugangsdaten die Autorisierung nicht rückgängig gemacht hat. Daher ist es auch hier wichtig, mindestens einmal in 6 Monaten die autorisierten Apps zu überprüfen, damit auch nur die Programme Zugriff auf die Daten haben, die auch vom Unternehmen selbst dauerhaft im Einsatz sind. Fragen Sie auch Ihre Agenturen für SEO/SEM etc., welche Tools aktuell verwendet werden und welche davon eine Autorisierung erhalten haben. Denn mit der Autorisierung können Ihre Partner und andere Personen vollständig auf die Daten zugreifen.

Abbildung: Autorisierte Programme und Apps

4. Automatische E-Mail-Reports an dritte Personen

Die langersehnte Google Analytics-Funktion mit den automatischen E-Mail-Benachrichtigungen ist seit kurzer Zeit wieder verfügbar. Nun ist es wieder problemlos möglich, die automatisierten Berichte zu erstellen und an die Stakeholder (Interessensgruppen) zu verschicken. Bei der Erstellung von E-Mail-Berichten kann die Laufzeit von Berichten manuell eingestellt werden. So ist es theoretisch möglich, die Berichtsdauer auf insgesamt 12 Monate einzustellen. In diesem Fall würde die Ex-Agentur oder der Ex-Mitarbeiter nach der Entlassung bis zu 12 Monate lang die Berichte bekommen. Auch diese Funktion kann unter Verwaltung >> Bestände >> Geplante E-Mails kontrolliert und ggf. abgeschaltet werden. Diese E-Mail-Funktion stellt eine potenzielle Sicherheitslücke im Hinblick auf die Datensicherheit dar, daher schauen Sie sich immer die zugelassenen E-Mail-Adressen mit ihrem Nutzer ganz genau an!

Abbildung: Automatisierte E-Mail-Berichte anpassen

5. Berichte werden öffentlich im Internet veröffentlicht (FTP / Filesharing)

Ein guter Analyst sucht immer wieder nach gewissen Mustern (Patterns) für eine schnelle Analyse von großen Mengen an Daten. Wer einmal einige Reports bei Google Analytics heruntergeladen hat, konnte womöglich eine Struktur beim Export von Daten feststellen. Alle großen Suchmaschinen bieten die Möglichkeit, verschiedene Suchparameter zu benutzen. Die Suchparameter können die Suche unglaublich verbessern und bieten die Möglichkeit, nach bestimmten Faktoren zu suchen. Diese intelligente Suchmöglichkeit eignet sich für die Auffindung von verschiedenen Dateien, welche womöglich nicht unbedingt online auftauchen sollten. Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter lädt den aktuellen Google Analytics-Bericht interne Zahlen auf dem FTP-Server hoch, damit alle anderen Mitarbeiter auf die Daten zugreifen können. In dieser Zeit wird dieser Report von Google-Bot indexiert und taucht in der Google-Suche auf. Mit dem Suchparameter filetype:pdf + keyword kann man nun bei Google nach solchen Reports suchen. Mit der Verbindung von anderen Suchoperatoren wie site:, inurl:, intitle: können sogar komplette Domains nach bestimmten Inhalten durchsucht werden. Daher sollte die Distribution von Berichten über verschlüsselte Wege erfolgen, andernfalls riskieren Sie es, einen Daten-Gau zu erleben.

Wie schützen Sie sich vor den Datenlecks? Welche Möglichkeiten haben Sie für sich im Unternehmen entdeckt, um solche Risiken einzudämmen? Wir versorgen unsere Leser mit aktuellen News und Entwicklungen aus der Web Analytics-Branche bei Twitter und Facebook. Werden Sie ein Teil von WebAnalyticsPRO!

email

Tags:

Autor: Dimitri Tarasowski

Dimitri Tarasowski

Dimitri Tarasowski studierte an der Heilbronn University und an der USC (Australien) das Fach International Business mit dem Schwerpunkt auf Strategic Marketing. Seit 2006 arbeitet er als unabhängiger SEO Berater für KMU's aus dem süddeutschen Raum. Seit 2007 beschäftigt er sich verstärkt mit Web Analytics und Change Management. Folgen Sie ihm unter @tarasowski und Google+.

Leave a Comment

*
*