Google erweitert die Optionen zur Wiederherstellung von Gmail-/Google-Konten um „Vertrauenswürdige Kontakte“ (Recovery Contacts). Das Feature erlaubt es, vorab Personen zu benennen, die im Notfall die Legitimität eines Wiederherstellungsversuchs bestätigen. Ziel ist es, Ausfälle klassischer Wege wie SMS‑Code, Reserve‑E-Mail oder Hardware‑Schlüssel abzufangen, ohne Abstriche bei der Sicherheit zu machen.
Vertrauenswürdige Kontakte im Kontext von Passkeys und passwortloser Anmeldung
Google forciert die passwortlose Authentifizierung auf Basis von Passkeys (FIDO2/WebAuthn). Diese binden den privaten Schlüssel an Gerät und Domain, was sie phishingresistent macht. NIST stuft derartige Verfahren in SP 800‑63B als besonders widerstandsfähig gegen Phishing ein. Problematisch bleibt jedoch der Geräteverlust oder die Unzugänglichkeit des zweiten Faktors. Genau hier setzt der neue Wiederherstellungsweg über Vertrauenspersonen als kontrollierter, zusätzlicher Bestätigungskanal an.
So funktioniert die Kontowiederherstellung über Vertrauenspersonen
Nutzer können bis zu 10 Vertrauenspersonen pro Konto hinterlegen und selbst als Helfer für bis zu 25 andere Konten fungieren. Startet eine Wiederherstellung, erhält die ausgewählte Person eine Aufforderung, drei numerische Codes zu sehen und denjenigen auszuwählen, den der Kontoinhaber vorab genannt hat. Der zugehörige Zeitpuffer beträgt 15 Minuten; läuft er ab, muss die Anfrage neu gesendet oder ein anderer Kontakt gewählt werden.
Mehrstufige Verifizierung, Risikokontrollen und temporäre Sperren
Zur Missbrauchsabwehr kombiniert Google mehrere Prüfsignale, darunter Gerätehistorie, IP‑Adresse und Geodaten, und kann zusätzliche Nachweise anfordern. Selbst nach Bestätigung durch eine Vertrauensperson bleibt eine temporäre Kontosperre möglich, um eine Sicherheitsüberprüfung abzuschließen. Das verschafft dem legitimen Besitzer Zeit, ungewöhnliche Aktivitäten zu erkennen und gegebenenfalls zu widersprechen.
Einschränkungen: Für wen die Funktion nicht bereitsteht
„Vertrauenswürdige Kontakte“ sind nicht für Google Workspace-Konten, Teilnehmer der Advanced Protection Program und Kinderkonten verfügbar. Diese Konten können zwar nicht selbst Vertrauenspersonen zuweisen, jedoch als Helfer für Wiederherstellungen anderer Nutzer auftreten.
Risikoanalyse: Social Engineering bleibt der Hauptangriffsvektor
Jedes personenbasierte Verfahren ist potenziell anfällig für Soziale Ingenieurkunst. Denkbares Szenario: Ein Angreifer stößt eine Wiederherstellung an und kontaktiert Ihre Vertrauensperson mit einer gefälschten E‑Mail oder Rufnummer, um sie zur Code-Bestätigung zu bewegen. Der Verizon DBIR 2024 weist den menschlichen Faktor in einem Großteil der Vorfälle aus (rund 68 Prozent der Sicherheitsverletzungen involvieren den „Human Element“), was klare Prozesse und Schulung essenziell macht.
Praxisleitfaden: Sichere Einrichtung und Abläufe
– Wählen Sie Kontakte, die ansprechbar sind und grundlegende Cyberhygiene verstehen.
– Vereinbaren Sie einen verbindlichen Rückkanal zur Identitätsprüfung (z. B. Rückruf auf eine bekannte Nummer).
– Bestätigen Sie niemals einen Code, wenn die Identität des Anfragenden nicht zweifelsfrei verifiziert wurde.
– Prüfen Sie regelmäßig die Liste der Vertrauenspersonen und aktualisieren Sie Kontaktwege.
Einordnung im Sicherheits-Stack: Passkeys, Hardware-Schlüssel und Recovery
Passkeys und FIDO‑konforme Hardware‑Schlüssel reduzieren Phishing und Passwortdiebstahl erheblich, weil sie kryptografisch an den Ziel‑Dienst gebunden sind. „Vertrauenswürdige Kontakte“ ersetzen diese Faktoren nicht, erhöhen jedoch die Resilienz der Wiederherstellung bei Geräteverlust oder ausgesperrten Nutzern. Die Kombination aus Passkeys, Backup‑Faktoren und klar definierten Vertrauenspersonen bildet ein robustes Wiederherstellungsmodell, das Sicherheit und Bedienbarkeit austariert.
Wer Gmail/Google‑Konten schützt, sollte Passkeys aktivieren, mindestens zwei unabhängige Wiederherstellungswege hinterlegen und die Funktion „Vertrauenswürdige Kontakte“ mit klaren Prüfprotokollen nutzen. Schulen Sie benannte Helfer, dokumentieren Sie den vereinbarten Rückkanal und überprüfen Sie die Einstellungen quartalsweise. So lassen sich Social‑Engineering‑Risiken reduzieren und legitime Wiederherstellungen zügig und sicher abschließen.
