Wie der indische Sicherheitsforscher Avinash Jain berichtet, ist genau das aktuell bei mehr als 8000 Google-Kalendern geschehen. Und damit nicht genug, denn wer möchte, kann diese Kalender nicht nur einsehen, sondern auch Elemente bearbeiten und hinzufügen. Schuld daran ist eine eigentlich beabsichtigte Funktion des Google-Kalenders. Indem man einen Kalender mit anderen teilt, macht man diesen öffentlich. Allerdings dürfte kaum ein Nutzer damit gerechnet haben, dass man damit den gesamten Kalender für jeden frei verfügbar ins Netz stellt. Vielmehr gehen die meisten davon aus, dass zumindest der Einladungslink notwendig ist, um zuzugreifen.
Dabei ist das Problem kein neues, sondern wurde bereits vor zwölf Jahren bei Einführung der Veröffentlichungsfunktion „make it public“ im Kalender thematisiert. Ursprünglich war dieses Feature nämlich dafür gedacht, Events in der Suchmaschine zu platzieren. Doch schon damals nutzten es Unternehmen, um interne Termine zu koordinieren und es wurden sensible Firmendaten im Netz entdeckt. Offenbar haben einige Nutzer die Warnung seitens Google, dass man seinen Kalender buchstäblich mit der ganzen Welt teilt, wenn man die Funktion nutzt, ignoriert oder überlesen.
Da Google den Ersteller eines öffentlichen Kalenders nicht benachrichtigt, wenn jemand darauf zugreift oder ein Ereignis hinzufügt, erschwert die Funktion es den Nutzern zu wissen, ob sie unbeabsichtigt Informationen preisgeben und sogar für Spammer und Phishing-Attacken offen sind. Mit einer erweiterten Google-Suchanfrage (Google Dork) kann man innerhalb von Sekunden alle öffentlich zugänglichen Kalender auflisten und auf alle Informationen zugreifen, einschließlich sensibler Unternehmensdaten.
Ob man seinen Kalender bereits öffentlich gemacht hat, ist auf den ersten Blick nicht zu erkennen. Auch hier fehlt in der Nutzeroberfläche ein entsprechender Hinweis. Hierfür muss man erst in die Google-Einstellungen gehen und dort in den Freigaben nachsehen. Entdeckt man dort ein Häkchen bei „Öffentlich Freigeben“, sollte man es schnellstmöglich entfernen. Darüber hinaus ist diese Funktion nicht die einzige Möglichkeit, Termine zu koordinieren und Kalender freizugeben. Ebenfalls in den Einstellungen findet sich die Möglichkeit, den Kalender mit bestimmten Personen zu teilen, die man per E-Mail einlädt. Hier kann man auch einstellen, welche Berechtigungen die einzelnen hinzugefügten Personen haben, beispielsweise, ob sie Termine nur ansehen oder auch bearbeiten können. Auf diese Art und Weise behält man die Kontrolle über den eigenen Kalender und läuft nicht Gefahr, sensible Daten versehentlich mit der ganzen Welt zu teilen.