Blog

Google Apps for Work ist sicher! Sicher?

Veröffentlicht von Nino Flück am 15.08.2016 17:16:28

Auch ein Unternehmen wie Google muss sich um die Sicherheit Ihrer Infrastruktur und der dorthin ausgelagerten Daten bemühen- und natürlich immer auf dem neusten Stand sein. Hier greift das Google Sicherheitsskonzept- es gibt technische und organisatorische Maßnahmen, um die Kundendaten schützen. Google übernimmt an dieser Stelle die Verantwortung für die Informationsicherheit, Standortsicherheit und Betriebssicherheit in den Rechenzentren, für alle Kunden. Neben einer ISO 27001 Zertifizierung ist Google auch nach SOC 2 und SOC 3 Typ II zertifiziert, die Prüfergebnisse sind für alle Kunden öffentlich einsehbar. 2014 gab Google bekannt, dass mehr als 450 Mitarbeiter für das Thema Sicherheit bei Google verantwortlich sind (Quelle: Enterprise Blog Beitrag vom 27.08.2014), außerdem wurden seit 2011 die Server auf Perfect Forward Secrecy (PFS) umgestellt und auf 2048-Bit-Zertifikate umgestellt.  

1.png

Doch sind wir mal ehrlich- das alles sind technische Fakten, die gerne auch dazu dienen, in Marketingabteilungen die Whitepaper zu verbessern und dem Kunden noch mehr Sicherheitsgefühl zu verkaufen. Denn so gut die Sicherheit von Google Apps for Work auch ist- Sie kann nicht vor menschlichen Fehlern schützen. Die Technik kann nichts gegen falsch getroffene Systemeinstellungen im Admin-Panel oder gegen Weitergabe von Kennwörtern an Dritte tun. Das schwächste Glied in der Kette sind also die Administratoren bzw. die Nutzer.

Doch wie kann man zumindest den fahrlässigen Verlust von Daten oder das Setzen von falschen Einstellungen verhindern? Übertrieben gesagt: Gar nicht. Aber Sie als Administrator können mit unserem Google Apps Security Assessment ein Wissen aufbauen und weiterentwickeln, um die Sicherheit Ihrer Google Apps for Work Umgebung zu verbessern.


Nutzen Sie die 2-Step-Verification oder auch 2-Stufen-Verifizierung:

Diese Funktion erlaubt es, sich zusätzlich zum normalen Passwort ein Einmal-Passwort auf Ihr mobiles Endgerät oder Telefon senden zu lassen und schützt somit vor versehentlicher Herrausgabe oder erraten des Passworts. Das Einmalpasswort wird bei jedem Einloggen abgefragt - wenn gewünscht, kann der zweite Faktor auch 30 Tage lang auf einem Gerät gespeichert werden, sodass er auf dem Arbeitsrechner nur einmal pro Monat angegeben werden muss. Als Alternative zur SMS bzw. einem Anruf gibt es auch die Möglichkeit auf Security Keys oder eine Applikation für Android und iOS zurückzugreifen.

2.png

Kennen Ihre Nutzer zum Beispiel das Security Check-Up?

In den Account Einstellungen können Ihre Nutzer ein Selbst-Check durchführen- in wenigen Schritten evaluiert Google, ob der Useraccount ausreichend gesichert ist und gibt Tipps zur Verbesserung des Datenschutzes und zur Wiederherstellung des Accounts, sollte dieser einmal kompromittiert sein.

3.png

Zusätzlich zu dem Security Check-Up gibt es für Administratoren die Möglichkeit, die Passwortsicherheit der Nutzer zu überprüfen. Hierzu gibt es im Admin-Panel die Option, die Passwortlänge- und Stärke zu überprüfen- dabei wird dem Administrator angezeigt, ob der User ein grünes (sicher), gelbes (sollte sicherer gemacht werden) oder rotes (unsicher) Passwort vergeben hat.

 

Überprüfen Sie die Berichte!

Viele Administratoren wissen gar nicht was in Ihrer Google Apps for Work Umgebung passiert: Ist der Kollege aus London gerade wirklich in London und Singapur eingeloggt? Sollen die HR-Daten der Kollegin aus Australien gerade wirklich an einen Kunden freigegeben werden? Oder ist es wirklich gewünscht, dass die Sozialversicherungsnummer des spanischen Zeitarbeiters an einen Kollegen geschickt wird? In den Google Apps Berichten können verschiedene Verhaltensmuster von Nutzern überprüft werden. Beispielsweise kann hier eingesehen werden, welcher Nutzer wieviele Dateien öffentlich im Netz bzw. außerhalb der Organisation freigegeben hat. Außerdem können hier auch Alerts eingerichtet werden, die über bestimmte Aktivitäten wie bspw. geänderte Passwörter oder Compliance Verstöße unterrichten.

 

google_apps_security.jpg

 

Ihre Rolle? Sie sind der Administrator:

Viele Unternehmen geben sehr vielen Nutzern Superadministratorrechte - dieses sollte aus verschiedenen Gründen vermieden werden. Zunächst erhöht jeder zusätzliche Superadministratoraccount, die Möglichkeit, dass ein Account mit solchen Rechten gehackt wird. Darüberhinaus besteht die Möglichkeit, dass im Falle eines Ausscheidens aus dem Unternehmen ein Superadministrator Einstellungen verstellt, Nutzer löscht etc. Daher sollte die Anzahl Superadministratoren auf ein Minimum beschränkt werden. Stattdessen können Administratorrollen vergeben werden, die über weniger Rechte, wie z.B. das Resetten von Passwörtern verfügen.

Diese und noch viele weitere Einstellungen werden in unserem Google Apps Security Assessment überprüft. Ein Spezialist überprüft mit Ihnen mehr als 100 mögliche Sicherheitrisiken in Ihrer Google Apps for Work Umgebung, bespricht diese mit Ihnen in einem WrapUp und erstellt für Sie einen Actionplan für Ihre Umgebung. Nutzen Sie die Möglichkeit und lassen Sie sich auf den neusten Stand zum Thema Sicherheit bei Google Apps bringen und machen Sie Ihre Arbeitsumgebung noch sicherer- für Sie, für Ihre Nutzer und Ihre Daten.

Das Cloud Paradoxon der öffentlichen Hand

Veröffentlicht von Michael Herkens am 27.06.2016 14:52:13

Vor 5 Jahren gab der damalige Bundesinnenminister Dr. Hans-Peter Friedrich am 16. Juni 2011 den offiziellen Startschuss für das Nationale Cyber-Abwehrzentrum in Bonn. "Mit dem heutigen Tag setzen wir unsere präventive IT-Sicherheitspolitik fort", sagte Friedrich bei seiner Eröffnungsrede. Das Nationale Cyber-Abwehrzentrum ist eine Kooperationseinrichtung deutscher Sicherheitsstellen auf Bundesebene zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und ihrer Wirtschaft.


Drei Jahre später kam der Bundesrechnungshof laut Recherchen von SZ, NDR und WDR bereits zu einem verheerenden Urteil und hielt das Cyber-Abwehrzentrum für "nicht gerechtfertigt". Wie recht die Rechnungsprüfer hatten und wie verwundbar Deutschland bei Cyberangriffen ist, zeigte sich dann im Januar 2015. Eine Hackergruppe mit dem Namen CyberBerkut legte die Internetseiten von Bundeskanzlerin Angela Merkel (CDU) und der Bundesregierung durch eine DDoS-Attacke zeitweilig stundenlang lahm. Dabei war das Jahresbudget des Bundestag für die IT-Ausstattung mit 27 Mio. Euro durchaus üppig.


Nur vier Monate später wurde der bisher größte Angriff auf das interne Netzwerk des Bundestags bekannt. "Man kann davon ausgehen, dass mehrere Computer inzwischen ferngesteuert werden. Deswegen sind manche Bereiche komplett abgeschaltet worden, damit man überhaupt noch die Sicherheit dieser Daten gewährleisten kann", erklärte der IT-Experte Götz Schartner im DRadio.


Wo war das Nationale Cyber-Abwehrzentrum zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und ihrer Wirtschaft? Die Kernbehörden (Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Verfassungsschutz, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) sind ständig im Cyber-Abwehrzentrum vertreten. Sie stellen insgesamt 10 Mitarbeiter (BSI: 6 MA, BN: 2 MA, BBK: 2 MA). 10 Mitarbeiter für die präventive IT-Sicherheitspolitik.


Zum Vergleich: Google beschäftigt mehr als 500 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren, wie Eran Feigenbaum, Director of Security, Google Apps im Enterprise Blog Beitrag vom 10.02.2015 bekannt machte. Das Google Sicherheitsteam beteiligt sich außerdem an Forschungs- und Informationsaktivitäten, um neben den Anwendern von Google-Lösungen auch die größere Community der Internetnutzer zu schützen. Durch diese Forschungsaktivitäten konnten beispielsweise die POODLE SSL 3.0-Sicherheitslücke sowie die Cipher Suite-Schwachstellen entdeckt werden.


Die Bundesregierung wird gehackt, die US-Regierung läßt sich hacken


Das US-Verteidigungsministerium geht neue Wege, um die eigene Datensicherheit zu erhöhen. Am 2. März 2016 hat das Pentagon das Bug-Bounty-Programm "Hack the Pentagon" angekündigt. Hacker sollen von außerhalb dazu eingeladen werden, die Sicherheitsvorkehrungen einiger Teile des hauseigenen Systems zu attackieren. Vom 18. April bis 12. Mai nahmen 1410 Teilnehmer an diesem Programm teil und reichten laut US-Verteidigungsminister Ashton Carter 1189 Reports ein, die 138 Sicherheitslücken ans Licht brachten. Das Pentagon zahlte dafür Preisgelder von durchschnittlich 588 US-Dollar aus. Insgesamt wurden Gelder in Höhe von 71.200 US-Dollar gezahlt. Das gesamte Programm war mit rd. 150.000 US-Dollar vermutlich deutlich günstiger als ein deutscher Verwaltungsbeamter im Jahr an Kosten erzeugt.


Sein Ministerium habe darüber hinaus “stärkere Brücken zu innovativen Bürgern gebaut, die etwas bewirken wollen für den Verteidigungsauftrag”. Um Sicherheitslücken in den Netzwerken und Systemen des goooo.pngVerteidigungsministeriums zu melden, muss es laut Carter einen gangbaren Weg für ethische Hacker und Sicherheitsforscher geben. Dafür wolle die Behörde eine zentrale Anlaufstelle schaffen. Das Justizministerium bezeichnete den Wettbewerb als „neuen Ansatz bei Cybersicherheit“, mit dem man „die erfolgreichsten und sichersten Softwarefirmen der Welt“ imitiere. Zugleich sei ein solcher Wettbewerb viel weniger kostenintensiv als entsprechende interne Sicherheitsmaßnahmen und -Tests.


Seit 2011 bietet Google mit dem “Vulnerability Reward Program” Anreize, um Design- und Implementierungsprobleme zu melden, durch die Kundendaten gefährdet werden könnten. Nimmt man alle Vulnerability Reward-Programme von Google zusammen, wurden neben einer Vielzahl von T-Shirts auch über 2 Millionen US-Dollar an Prämien ausgegeben. Google dankt diesen Personen öffentlich und veröffentlicht sie als Personen, die einen aktiven Betrag zur Sicherheit der Google Produkte und Dienstleistungen beitragen. Auch Microsoft ist im Herbst 2014 mit einem Microsoft Online Services Bug Bounty Program nachgezogen.


Das Kompetenzgefälle der Bundesbehörden beim Bemühen zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und ihrer Wirtschaft gegenüber Cloud Pionieren wie Google zeigte sich vor wenigen Monaten. Im Februar breitete sich der aggressive Erpressungs-Trojaner "Locky" rasant aus. Die VirusTotal-Analyse eines Locky-Samples vom 16.02. zeigte, dass derzeit offenbar nur wenige Virenscanner anschlugen. Nur 3 der 54 AV-Engines, so Heise Security, stuften die Datei als Malware ein. Ebensowenig gab es  vom nationalen Cyber-Abwehrzentrum einen Hinweis an. Anwender des Google Webmails Gmail wurden bereits am Morgen des 16.02. vor Locky geschützt.

fb.png

(Meldung eines Gmail User vom 16.02.)



Google nutzt mehrere Virenscanner-Engines in Gmail und Google Drive, um Malware zu identifizieren, die von Virenscanner-Signaturen möglicherweise übersehen wurden. Neben der Safe Browsing-Lösung betreibt Google auch VirusTotal, einen kostenlosen Onlinedienst, der Dateien und URLs analysiert und dabei mithilfe von Antivirus-Engines und Website-Scannern Viren, Würmer, Trojaner und andere schädliche Inhalte identifiziert. Die Mission von VirusTotal besteht darin, durch die Entwicklung kostenloser Tools und Dienste die Virenscanner- und Sicherheitsbranche zu stärken und das Internet insgesamt sicherer zu machen.

neuss.png

 

(Neusser Lukaskrankenhauses (Stand: 22.02. um 13:35 Uhr)

Leider hatte das Neusser Lukaskrankenhaus, eines der Locky-Opfer, eine andere Lösung im Einsatz. Das Krankenhaus ist derzeit immer noch nur eingeschränkt funktionsfähig, weil viele Systeme heruntergefahren wurden. Das Neusser Krankenhaus ist nicht das erste Opfer und wird vermutlich auch nicht das letzte Opfer von mutmaßlich verseuchten Mails sein. Von der Städteregion Aachen bis zur „Merkel-Mail“, die mindestens in Teilen eine Neuaufsetzung des IT-Systems des Deutschen Bundestages erforderte, hatte weder das Nationale Cyber-Abwehrzentrum noch die IT-Infrastruktur der öffentlichen Hand Schutz geboten.


Fazit


Datenschutz und Datensicherheit sollte der Bundesregierung mehr Wert sein, als eine Organisation mit einem wohlklingenden Namen, die nicht mehr sein kann als ein Feigenblatt.  Weitgehend standardisierte IT-Lösungen können viel günstiger und zuverlässiger aus der Public Cloud bezogen werden. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Bei einer objektiven Analyse der Kosten und des Servicelevels in Verbindung mit einer qualifizierten Beratung kommt die deutsche Wirtschaft immer öfter zu der Entscheidung, einen Teil der IT auszulagern.

 

Google Slides - Mitten drin statt nur dabei

Veröffentlicht von Michael Herkens am 11.05.2016 12:40:30

Google Slides - Mitten drin statt nur dabei.
Für Anwender, die sich über Jahre und verschiedene Versionswechsel hinweg mit Microsoft PowerPoint beschäftigt haben, ist der Wechsel zu Google Slides oft gewöhnungsbedürftig. Funktionen wie das Anlegen komplexer Animationspfade, auf denen sich Objekte über die Folien bewegen, sucht man vergebens.

Content is king
Google Slides lenkt den Fokus auf's Wesentliche - den Inhalt. Der Mehrwert von Google Slides liegt in der collaborativen Erstellung von Inhalten. In Echtzeit können Inhalte von jedem Endgerät und von jedem Ort bearbeitet und kommentiert werden. Schon Steve Jobs hat nach eigenen Angaben Präsentationen mit Folien gehasst: "People who know what they’re talking about don’t need PowerPoint" Er argumentierte, dass sie Mitarbeiter dazu verleiten, sich mehr über die Präsentation als über die beste Lösung Gedanken zu machen.

Feedback ist ein Geschenk
Gestern wurde von Google eine neue coole Funktion in Google Slides angekündigt, um die Interaktion mit dem Auditorium zu erhöhen. Während einer Präsentation kann nun eine Q&A-Session gestartet werden. In Echtzeit können Fragen über Smartphones oder Tablets gestellt werden. Diese können bis zu 300 Zeichen lang sein und entweder mit dem vollständigen Google-Profil oder auch Anonym abgesendet werden. Die Fragen sind dann öffentlich und können von jedem eingesehen und auch mit einem Daumen nach oben oder unten versehen werden. Die Teilnehmer sind mitten drin statt nur dabei.


 

Topics: Google Slides

Cloud based Collaboration - Efficiency Class

Veröffentlicht von Michael Herkens am 21.04.2016 04:30:00
Google Apps for Work is designed as an all-in-one solution with integrated tools that work seamlessly together. For instance, you can receive a message in Gmail and instantly convert it into a Calendar event. When you make a comment in Docs, Sheets or Slides, collaborators automatically receive email alerts. With a single click, you can launch a Hangouts video meeting from your inbox or calendar. Using these tools as a complete package improves productivity while giving your business the most value. However, you are welcome to purchase the suite and only use the services of your choice.

 At the end of 2015 Google announced more than 2 million paying businesses have chosen Google Apps for Work to advance communication, collaboration and productivity across work teams.

 Data protection is more than just security. Google’s strong contractual commitments make sure our customers maintain control over the data and how it is processed, including the assurance that your data is not used for advertising or any other purpose than to deliver Google Apps services. For these reasons and more 64 percent of the Fortune 500, trust Google with their most valuable asset: their information.
Google commissioned Forrester Consulting to conduct a Total Economic Impact (TEI) study examining the value that Google customers achieve by implementing Google Apps for Work. Forrester measured the total economic impact over three years for organizations moving from legacy on-premise infrastructure to Google’s web-based solution. “304% return on investment (ROI)” is one of the highlights from the report.

Google Apps offers a 99.9% Service Level Agreement (SLA) for covered services, and in recent years we’ve exceeded this promise. In 2013, Gmail achieved 99.978% availability. Furthermore, Google Apps has no scheduled downtime or maintenance windows.

Unlike most providers, Google does not plan for their applications to be unavailable, even when we're upgrading our services or maintaining our systems. To minimize service interruption due to hardware failures, natural disasters or other incidents, Google has built a highly redundant infrastructure of data centers. Google Apps has an RPO (Recovery Point Objective) target of zero, and our RTO (Recovery Time Objective) target is instant failover (or zero).

Many organizations are in the dark about the security of their data, especially with the rise of shadow IT and numerous recent breaches. It’s no wonder IT execs are concerned about how their data is protected and who has access to their confidential information. Eran Feigenbaum, Director of Security, Google Apps for Work posted on February 10, 2015 five 5 reasons why CIOs can feel secure with their information in Google’s Cloud.

  1.  Secure physical infrastructure
  2. Control over the entire technology stack
  3. Investment in active security research beyond Google
  4. Locations chosen for speed and reliability
  5. There's no downtime
 

Topics: Google+, Cloud, Google Apps

Tradition trifft Innovation: Schmitz-Werke setzt auf Google Apps Unlimited

Veröffentlicht von Michael Herkens am 07.04.2016 23:00:00
Die Schmitz-Werke, ein Familienunternehmen mit mehr als 90 jähriger Tradition, sieht in ihrer Cloud-Plattform auf Basis von Google Apps die technologische Zukunft. Rund ein Jahr nach der unternehmensweiten Einführung der plattformneutralen Lösung wechselt das Unternehmen nun komplett von Microsoft zu Google und sparte bereits im ersten Nutzungsjahr rund 27 % der Kosten gegenüber der früheren Lösung. Die Schmitz-Werke stellen mit der vollständigen Umstellung auf Google Apps for Work die Weichen für ein weiterhin starkes, globales Wachstum. CLOUDPILOTS unterstützte in der kompletten Migration und der Integration in Bestandssysteme wie CRM, DMS und Fax Server.

Dan Schmitz, CEO, Schmitz-Werke
Die Schmitz-Werke sind ein mittelständisches Familienunternehmen mit Sitz und Produktion im münsterländischen Emsdetten. Das Traditionsunternehmen wird in vierter Generation geführt und beschäftigt mehr als 800 Mitarbeiter. Die Geschäftsfelder umfassen Markisen und Markisentücher unter der Marke markilux, Freilufttextilien unter der Marke swela und Dekorationsstoffe und Vorhänge unter der Marke drapilux. In allen drei Geschäftsfeldern sind die Schmitz-Werke auf deutschen und europäischen Märkten führend. Über 60 angemeldete Patente zeugen von der Innovationskraft des Unternehmens.

Dan Schmitz, CEO, Schmitz-Werke: „Wir sind sehr zufrieden mit unserer Entscheidung für Google Apps und CLOUDPILOTS als technischen Partner. Das System orientiert sich an den Anforderungen unserer Mitarbeiter und ist auf ganzer Linie ein Gewinn für unsere Unternehmenskultur“


Eckdaten zum Projekt “Schmitz Werke”

  • Microsoft Exchange und Sharepoint sowie Symantec Enterprise Vault wurden durch Google Apps Unlimited ersetzt
  • Nach einem Jahr wird auch MS Office ?nahezu vollumfänglich ?durch Google Apps abgelöst
  • Durch die Migration nach Google Apps Unlimited wurde bereits im ersten Jahr 27% der Kosten gegenüber MS Exchange gespart
  • Anbindung von Google Apps Unlimited ans ActiveDirectory
  • Anbindung von Google Apps an SugarCRM über eine Drittanbieterlösung
  • Anbindung der DMS-Lösung ScanView durch eine von uns entwickelte Chrome Extension

Knapp ein Jahr nach der Umstellung auf Google Apps wurden bereits knapp 430.000 Dokumente hochgeladen, 8 Konferenzräume angebunden und mehr als 50 Interviews über Google Hangout geführt. Knapp 170 iPhones und 150 iPads greifen mobil auf das System zu. „Wir sind sehr zufrieden mit unserer Entscheidung für Google Apps und CLOUDPILOTS als technischen Partner. Das System orientiert sich an den Anforderungen unserer Mitarbeiter und ist auf ganzer Linie ein Gewinn für unsere Unternehmenskultur“, resümiert Dan Schmitz. „Nachdem wir die Lösung jetzt etwa ein Jahr ausgiebig getestet haben, haben wir beschlossen, vollständig von Microsoft zu Google zu wechseln.“ Mobilität bedeutet Flexibilität und Schnelligkeit – jeder hat immer und überall Zugriff auf alles. „Es ist spannend, wie durch die Änderung der Werkzeuge eine nachhaltige Veränderung in der Herangehensweise der Mit-Arbeiter und in der täglichen Kommunikation bewirkt wurde. Wir fühlen uns wohl und von den Apps ‘verstanden’. Daher war auch der Schulungsaufwand ein Vielfaches geringer als ursprünglich erwartet.”

Google Apps zur Optimierung der Geschäftsprozesse

Die Schmitz-Werke werden Google Apps weiter zur Optimierung der Geschäftsprozesse nutzen. So wird Google Apps eingesetzt, um den Workflow beim On-Boarding neuer Mitarbeiter effizienter und transparenter abzubilden. Neben dem Microsoft Exchange und SharePoint Server konnten gleich mehrere Lösungen im Eigenbetrieb mit Google Apps Unlimited durch eine konsolidierte Plattform ersetzt werden. Google Apps Unlimited beinhaltet mit Google Vault bereits einen Dienst zur revisionssicheren Mail-Archivierung mit unlimitiertem Speicher. Dadurch entfällt der zuvor nötige Aufwand zur Administration der Archivierungslösung “Symantec Enterprise Vault” sowie auch die Kosten für die Software Maintenance und der permanente Ausbau von Storage für die Mail-Archivierung.

Mit dem Fokus auf die Google Apps basierende Plattform spart das Unternehmen bis zu 27 % gegenüber der früheren Lösung. Darüber hinaus ist die Lösung nahezu wartungsfrei, womit die IT-Abteilung wieder mehr Zeit für die Entwicklung und Umsetzung fortschrittlicher Technologien hat. So konnte Schmitz-Werke mit Google Apps Unlimited sowohl die IT Kosten als auch die Effizienz und Produkivität steigern.



 

Topics: SugarCRM, Microsoft Exchange, Symantec Enterprise Vault, Google Apps, Migration, Scanview, Workflows

Mail & Collaboration im Unternehmen - Google?....Google!

Veröffentlicht von Michael Herkens am 14.12.2015 18:00:00
Wenn wir an Google denken, denken wir an die Google Suche und Google Ads. Wir nutzen den Google Suchdienst und dafür gewähren wir die Möglichkeit, dass Anzeigen im Internet über das Google Werbenetzwerk zielgenau ausgeliefert werden kann können. Hier ist jeder Verbraucher, der die Google Suche nutzt, auch ein Teil des Werbesystems.

Mit “Google Apps for Work” bietet Google einen Dienst für Mail & Collaboration als Software-as-a-Service an. Das Wertschöpfungsmodell unterscheidet sich deutlich. Google verlangt EUR 40,00 pro Nutzer und Jahr bzw.EUR 96,00 pro Nutzer und Jahr für Google Apps Unlimited. Unternehmen und Organisationen, die Google Apps for Work einsetzen, bezahlen einen definierten Preis und erhalten einen definierten Service Level.

Mehr als fünf Millionen Unternehmen verwenden bereits Google Apps for Work. Darunter auch Konzerne wie der Basler Pharmariese Roche mit 90.000 Mitarbeitern. Datenschutz und Datensicherheit ist für jedes Unternehmen von höchster Bedeutung.



Daher hier
  1. Zertifizierter Datenschutz und Datensicherheit
  2. Data Loss Prevention für Gmail
  3. Führende Verschlüsselungstechnologie
  4. Zulässige Auftragsdatenverarbeitung
  5. Konsequente Investitionssicherheit
  6. Eingebauter Schutz gegen Identitätsdiebstahl
  7. Google Datenschutzerklärung
  8. Stabilität und Redundanz durch verteilte Rechenzentren
  9. Mobile Device Management
  10. Mail-Archivierung mit unbegrenztem Speicherplatz
 

Zertifizierter Datenschutz und Datensicherheit

Google Apps for Work ist gemäß ISO 27001, ISO 27018 sowie nach SOC 2 und SOC 3 Typ II zertifiziert. Die Prüfberichte sind öffentlich einsehbar. Google beschäftigt mehr als 500 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren, so Eran Feigenbaum, Director of Security, Google Apps im Enterprise Blog Beitrag vom 10.02.2015.  Das deutschsprachige Whitepaper zum Thema Sicherheit und Compliance von Google Apps for Work können Sie hier kostenlos anfordern.

Data Loss Prevention für Gmail

Data Loss Prevention (DPL) für Gmail ist eine zusätzliche Absicherungsschicht, die fremde Zugriffe auf vertrauliche Firmendaten und ein Durchsickern derselben verhindern soll. Diese Funktion ist für Kunden im Programm Google Apps Unlimited verfügbar. Die Funktionsweise des Systems beschreibt Suzanne Frey in einem Blogbeitrag, die als Director des Google-Apps-Teams für Sicherheit, Vertrauenswürdigkeit und Datenschutz zuständig ist.

Führende Verschlüsselungstechnologie

Google hat seine Server bereits 2011 auf Schlüsselaustausch mit Perfect Forward Secrecy (PFS) umgestellt. Dazu mehr im Artikel “Zukunftssicher verschlüsseln mit Perfect Forward Secrecy” auf heise.de. Google hat Mitte 2013 auf 2048-Bit-Zertifikate umgestellt

Zulässige Auftragsdatenverarbeitung

Google bietet für Google Apps for Work einen schriftlichen Cloud-Vertrag, einen Regelungskatalog des § 11 BDSG und stellt die technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) sicher. Google hat sich nicht nur auf das etwas ältere Safe Harbor gestützt, sondern bietet seit Ende 2012 die neueren und umfassenderen EU Model Contract Clauses (MCC). Die MCC wurden von der EU-Kommission entwickelt als Vertragsvorlage, die die Einhaltung der EU Datenschutzrichtlinie gewährleistet.
 

Konsequente Investitionssicherheit

Google unterstreicht sein Bekenntnis zur Wahlfreiheit des Anbieters. Diese erfahren unter www.Dataliberation.org, wie sie einfache Import- und Exportfunktionen erstellen, um ihre Daten schnell und unkompliziert in alle Google-Dienste zu im- und exportieren.

Eingebauter Schutz gegen Identitätsdiebstahl

Mit der optionalen 2-Faktor-Authentifizierung sind zwei unabhängige Faktoren für den Login erforderlich: Neben dem Nutzernamen und Passwort muss auch ein Bestätigungscode eingeben werden, wenn sich der Nutzer anmelden möchte. Seit April 2015 werden auch Security Keys unterstützt, die der U2F-Spezifikation folgen.

Google Datenschutzerklärung

In der deutschsprachigen Google Datenschutzerklärung vom 19. August 2015 finden Sie Informationen zu Transparenz und Wahlmöglichkeit, den Anwendungsbereich der Datenschutzerklärung, die Einhaltung von Vorschriften und Zusammenarbeit mit Regulierungsbehörden.

Stabilität und Redundanz durch verteilte Rechenzentren

Google unterhält eine Reihe geografisch verteilter Rechenzentren. Spezialisierte Teams garantieren den sicheren und störungsfreien Betrieb von Google Apps for Work. Die Lösung wird 365 Tage im Jahr rund um die Uhr überwacht. Qualifizierte Sicherheitsteams und der Einsatz neuester Technologien gewährleisten maximale Zugangs- und Übertragungssicherheit sowie permanente Verfügbarkeit (>99,9%) an allen Standorten. Das Apps Status Dashboard ist eine öffentliche Seite die Leistungsinformationen der Google Apps Dienste darstellt.  Dieses Dashboard kann genutzt werden, um zu jedem Zeitpunkt zu überprüfen, ob die Google Apps Services problemlos funktionieren oder ob etwa eine Störung vorliegen sollte.

Mobile Device Management

Administratoren können Geräterichtlinien für ihren Mobilgerätebestand über ihr Google Apps-Steuerungsfeld erzwingen oder bspw. auch per Remote-Zugriff Geräte sperren bzw. löschen sowie manipulierte Geräte identifizieren. Unterstützt werden Android, iOS, Windows Phone sowie Smartphones und Tablets mit MS Exchange ActiveSync, wie beispielsweise BlackBerry 10, verfügbar.

Mail-Archivierung mit unbegrenztem Speicherplatz

Google Vault bietet eine revisionssichere Archivierungsfunktion für Mails. Der Dienst kann optional für € 40,00 pro Nutzer und Jahr zugebucht werden. In Google Apps Unlimited ist Google Vault bereits enthalten. Nachrichten werden gemäß der individuellen Aufbewahrungsrichtlinien sicher archiviert.
 

Topics: Security, Google Apps

Whitepaper "Google for Work - Sicherheit und Compliance"

Veröffentlicht von Michael Herkens am 01.06.2015 06:00:00

Security Key für die 2 Faktor Authentifizierung

Veröffentlicht von Michael Herkens am 26.04.2015 18:30:00
Wenn Sie in Google Apps die Bestätigung in zwei Schritten verwenden, haben Sie jetzt auch die Möglichkeit, einen Sicherheitsschlüssel als primäre Methode auszuwählen. Mit einem Sicherheitsschlüssel ist kein Abtippen von Codes notwendig. Sie müssen lediglich Ihren Sicherheitsschlüssel in den USB-Anschluss Ihres Computers stecken, wenn Sie dazu aufgefordert werden.

Besserer Schutz gegen Phishing

Bei der Bestätigung in zwei Schritten brauchen Sie zur Anmeldung in Google ihren Benutzernamen, dass Passwort und ein mobiles Engerät (z. B. Ihr Smartphone). Während Ihrer Anmeldung sendet Google einen Code an Ihr Telefon, den Sie zur Bestätigung eingeben. Raffinierte Hacker könnten Sie jedoch über eine Google-ähnliche Pseudo-Website auffordern, Ihren Bestätigungscode einzugeben. Sicherheitsschlüssel bieten einen besseren Schutz gegen diese Art von Angriff, da sie Kryptographie anstelle von Bestätigungscodes einsetzen und automatisch nur mit der vorgesehenen Website funktionieren. Mit der Nutzung eines Sicherheitsschlüssel ist eine Mobilfunkverbindung nicht erforderlich. Sicherheitsschlüssel sind ohne Datenverbindung einsetzbar und können beispielsweise am Schlüsselbund oder in der Brieftasche überall hin mitgenommen werden.


Voraussetzungen für die Verwendung eines Sicherheitsschlüssels
Für die Verwendung eines Sicherheitsschlüssels ist ein Computer unter Chrome OS, Windows, Mac oder Linux mit mindestens Google Chrome-Version 38 erforderlich. Sie können jedes mit dem offenen Standard "FIDO Universal 2nd Factor (U2F)" kompatible Gerät nutzen.
 
 
 

Google veröffentlicht Security-Audits

Veröffentlicht von Michael Herkens am 31.08.2014 06:00:00
Google hat Google Apps for Business sowie die Google Cloud-Plattform gemäß ISO 27001 rezertifizieren und Audits nach SOC 2 und SOC 3 Typ II unterziehen lassen. Ebenso wurden jetzt auch Google+ und Hangout in die Auditierung eingebunden. In dem Beitrag im Google Enterprise Blog wurden sowohl das bereits im April aufgefrischte ISO-27001-Zertifikat als auch der von Mitte Juli datierende SOC-3-Prüfbericht veröffentlicht. Vorher waren die Zertifikate bei Google nur auf Anfrage einsehbar.

ISO 27001 certified by Ernst & Young CertifyPoint
Zertifiziert gem. ISO 27001 durch Ernst & Young CertifyPoint
Eran Feigenbaum, Director of Security of Google Apps, erklärt auch, solche Reports müssten in jedem Kalenderjahr erneuert werden, um gültig zu bleiben. Die Arbeiten dauerten etwa drei Monate. Abgedeckt würden vier Bereiche: Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Darunter fallen Themen wie Verhindern nicht autorisierter Zugriffe auf Daten, Einhaltung von Service-Level Agreements etwa zu Ausfallquoten im Rechenzentrum, und Maßnahmen, um Verwendung von Anwenderdaten in nicht zulässiger Weise zu verhindern.

Google beschäftigt mehr als 450 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren. Nach den Veröffentlichungen zu NSA-Zugriffen auf Rechenzentren von beispielsweise Apple, Microsoft, Yahoo oder eben Google bemüht es sich, seine Maßnahmen gegen solche Abhörversuche ins rechte Licht zu rücken. “Es ist wichtig, dass Unternehmenskunden das Ausmaß der Sicherheitsmaßnahmen eines Rechenzentrums sehen”, sagt Feigenbaum.

Sicherheit ist kein Frage des Standortes


Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so?

Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die, wie von Eran Feigenbaum beschrieben, regelmäßig von externen Drittanbietern geprüft werden.

Aber dürfen personenbezogenen Daten nach außerhalb der EU übermittelt werden? 


Wenn personenbezogene Daten - also „Angaben, anhand derer natürliche Personen bestimmbar sind“ - ausgelagert werden, ist eine gesetzliche Legitimation für die Datenübermittlung erforderlich. Die etablierte Lösung ist die Auftragsdatenverarbeitung. Diese erfordert

  • einen schriftlichen Cloud-Vertrag
  • einen Regelungskatalog
  • Sicherstellung der technische und organisatorische Maßnahmen zum Datenschutz

Die o.g. Punkte sind unabhängig vom Standort des Dienstleisters zu beachten und gelten bei der Übermittlung personenbezogener Daten auch für Managed Services in Deutschland.Gemäß den gesetzlichen Regelungen darf die Übermittlung personenbezogener Daten nach außerhalb der EU nur in solche Staaten erfolgen, die als sog. sichere Drittstaaten über ein ausreichendes gesetzliches Datenschutzniveau verfügen.Daher muß bei der Auswahl eines Cloud Service Provider wie Google, Microsoft oder IBM für Mail & Collaboration Dienste ergänzend zu den o.g. Punkten folgendes beachtet werden:

Safe Harbor ist eine Entscheidung der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Dateien rechtskonform auch in die USA zu übermitteln.Google ist dem Safe Harbor-Programm beigetreten. Nach Meinung mancher Landesdatenschutzbehörden in Deutschland ist der Beitritt zu dem Safe-Harbor-Programm nicht ausreichend, solange der Anbieter nicht mittels weiterer Maßnahmen die Einhaltung eines ausreichenden Datenschutzniveaus gewährleistet. Als zusätzliches Mittel zur Einhaltung der EU-Datenschutzrichtlinien  hat Google im Dezember 2012 die Verwendung der EU-Standardvertragsklauseln für europäische Google Apps Kunden eingeführt. Die Verwendung der EU-Standardvertragsklauseln trägt für die Übermittlung personenbezogener Daten an Google-Server außerhalb der EU zu einem angemessenen Datenschutzniveau bei.

Abschließend kann ich mich der Einschätzung von Thomas Cloer, Leitender Redakteur COMPUTERWOCHE vollumfänglich anschließen:
"[...]Die wenigsten Unternehmen dürften mit ihrer Infrastruktur aucn nur ansatzweise ein mit Googles Public Cloud vergleichbares Sicherheits- und Datenschutzniveau erreichen.[...]"

 

Topics: Google Cloud Connect, Datenschutz, Google Apps

Chrome Extensions für Google Apps User

Veröffentlicht von Matthias Scheele am 10.07.2014 06:00:00
Chrome Extensions sind, wie der Name bereits vermuten lässt, Erweiterungen für Ihren Chrome Browser. Diese bieten teils drastische, teils minimale Veränderungen, die oft sehr praktisch sind. Die Bandbreite reicht hierbei von kleinen Spielereien über verbesserte Navigation, Veränderungen in der Darstellung von Websites bis hin zu der Möglichkeit, die Steuerung Ihres gesamten Computers jemand anderem zu überlassen. Man sieht also, mit Chrome Extensions ist sehr viel möglich. Chrome Extensions finden Sie im Chrome Web Store. Hier gibt tausende Chrome Extensions. Damit Sie diese nicht alle durchsehen müssen haben wir einige Interessante für Sie herausgesucht. Falls Sie weitere Chrome Extensions benutzen, die für Sie unerlässlich geworden sind, lassen Sie es uns wissen!







GoogleKalender- und Mailchecker



Google Kalenderchecker und Google Mailchecker sind ein Beispiel für Chrome Extensions, die wenig bis gar nichts verändern, jedoch trotzdem sehr praktisch sind: Mit diesen Extensions erhalten Sie ein kleines Widget  (Mail/Kalender) in Ihren Chrome Browser. Durch klicken auf diese Widgets kommen sie zu Gmail oder Google Calendar. Außerdem werden im Gmail Widget direkt die ungelesenen E-Mails eingeblendet, während das Kalender Widget die Zeit bis zur nächsten Besprechung anzeigt.


Gmail Offline

Gmail Offline ist eigentlich eine App und keine Chrome Extension, trotzdem möchten wir es hier vorstellen: Gmail Offline erlaubt es Ihnen auch ohne die Anbindung eines IMAP Clients oder Outlooks auch offline Zugriff auf Ihre E-Mails zu haben. Durch die Installation von Gmail Offline werden Ihre E-Mails von dieser Extension lokal gespeichert, sodass Sie diese jederzeit auch ohne Internetzugriff abrufen können. Somit ist Gmail Offline eine sehr praktische Chrome Extension für alle, die zum Beispiel auf Grund von Reisen nicht immer über Internetzugriff verfügen, jedoch trotzdem zu jeder Zeit Ihre E-Mails lesen können wollen.





Wollten Sie immer schon sehen, ob Ihre E-Mails gelesen wurden? Das ist möglich - mit Mailtrack. Wurde eine E-Mail versendet erscheint ein Grüner Haken neben der E-Mail, hat der Empfänger sie geöffnet kommt ein zweiter hinzu. mxHero führt das ganze noch weiter: Wurden die Anhänge geöffnet? Dazu verfügt es über weitere Features, wie das Versenden von “Burn after Reading” E-Mails - also E-Mails die sich nach dem öffnen automatisch löschen. Auch ein Absenden nach Timer ist mit mxHero möglich - Sie können also eine E-Mail schreiben und diese dann eine Stunde später versenden lassen. mxHero hat noch viele weitere Funktionen und ist ein “Alleskönner” unter den Chrome Extensions.



Secure Mail und Mymail-Crypt for Gmail

Möchten Sie Ihre E-Mails verschlüsseln, sind Sie mit diesen Chrome Extensions gut beraten - jedoch müssen Sender und Empfänger beide das entsprechende Plugin verwenden um verschlüsselte E-Mails hin und hersenden zu können. Wem die Verschlüsselung, die Google über die Mails legt nicht genügt, der sollte sich eine dieser Chrome Extensions installieren - oder direkt beide. Nocheinmal zur Erinnerung: Wem immer Sie eine verschlüsselte E-Mail senden möchten, wird die entsprechende Chrome Extension ebenfalls benötigen.






KeyRocket

Das Hotkeys Ihre Arbeit wesentlich effektiver und schneller machen können, ist kein Geheimnis - und niemand wird bestreiten, dass es einfacher ist eine neue E-Mail mit einem Druck auf “c” zu öffnen, statt mit der Maus auf das Schreibenfeld zu  klicken. Das große Problem ist aber, diese Hotkeys ersteinmal zu lernen. Hier springt KeyRocket ein - es analysiert Ihre Bildschirmbewegungen und schlägt Ihnen den passenden Hotkey vor - so lernt man während der Benutzung automatisch die Hotkeys. Achtung: KeyRocket funktioniert nur solange Gmail auf Englisch gestellt ist.






Google Hangouts

Üblicherweise steht Google Hangouts nur in Gmail zur Verfügung. Mit der Chrome Extension wird Google Hangouts auf Ihrem Rechner ausgefüht, solange der Chrome Browser offen ist, und wird als unabhängige Anwendung behandelt. Sie müssen also nicht mehr auf Gmail wechseln, um mit Hangouts zu chatten sondern haben mit dieser Chrome Extension die Hangout Chatfenster immer im Vordergrund.



Office Editing for Docs, Sheets and Slides

Diese Chrome Extension, die von Google selbst stammt, ermöglicht es Ihnen  Microsofteigene Formate wie Word und Excel Dateien ohne vorherige Konvertierung in ein Google Format im Drive zu bearbeiten. Falls Sie oft mit Word und Excel Dateien umgehen müssen, und diese nicht vor dem bearbeiten konvertieren wollen, ist diese Extension sehr zu empfehlen. Nutzer von Chrome OS Geräten müssen diese Extension übrigens nicht installieren - diese wurde mit einem automatischen Update integriert.






Wenn Sie Ihre Websites schon immer direkt im Drive bearbeiten und erstellen wollten, ist Editey Ihre Chrome Extension! Editiy stellt eine große Vorlagengallerie zur Verfügung. Ist Ihre Website ersteinmal fertig können Sie diese direkt aus dem Drive heraus publishen! Außerdem gibt es hilfreiche Features, wie zum Beispiel das gleichzeitige Bearbeiten mehrerer Zeilen.






Save to Drive

Save to Drive bzw. in Google Drive Speichern erlaubt es Ihnen Inhalte Ihres Chrome Browsers direkt per Rechtsklick direkt ins Drive zu speichern - Somit wird der Weg “Rechtsklick, Herunterladen, Downloadordner öffnen, Drive Öffnen, Datei herüberziehen” auf “Rechtsklick, Save to Drive” reduziert.






Google Keep

Google Keep ist eigentlich keine Chrome Extension, sondern ein weiterer Google Dienst, der auf Google Tabellen basiert, trotzdem möchte ich Google Keep an dieser Stelle erwähnen, da es recht unbekannt ist. Unterkeep.google.comerreichen Sie den Notizblock von Google. Diese können mit der Google Keep App auch auf Ihr Mobiles Endgerät synchronisiert werden, sodass Sie kein seperates Notizprogramm und keinen physischen Notizblock mehr brauchen, sondern alles wichtige einfach in Google Keep schreiben können. Die Benutzeroberfläche ist hierbei, wie für Google Produkte üblich, sehr intuitiv und benutzerfreundlich.





AdBlock

AdBlock verändert Ihre Surferfahrung drastisch - und zwar sowohl im Komfort als auch beim Aspekt der Sicherheit. AdBlocke entfernt Werbung und PoP Up’s von sämtlichen Websiten, sogar die Anzeigen bei einer Googlesuche tauchen nicht mehr auf. Auch Werbevideos vor Webvideos gehört damit der Vergangenheit an. Das ist sehr angenehm, doch wie verbessert das Ihre Sicherheit? Viele Viren werden durch PoP Up’s oder Werbebanner verbreitet, auf die man versehentlich klickt. Sind diese nicht mehr da haben Sie eine der Hauptquellen, die für Viren verantwortlich sind beseitigt. Somit ist AdBlock eine sehr zu empfehlende Chrome Extension.



Mit Addblock
Ohne Addblock
 



Smooth Geastures

Smooth Geastures macht das Navigieren im Browser sehr komfortabel. Smooth Geastures erlaubt es Ihnen mithilfe selbst definierbarer Gesten in Ihrem Chromebrowser zu navigieren. Mit den Standardeinstellungen können Sie so zum Beispiel bei gedrückter rechter Maustaste die Maus nach links bewegen, um “zurück” zu gehen, oder nach rechts, um “vor” zu gehen. Wird ein “U” mit der Maus beschrieben aktualisiert sich die Seite. Der Weg, den Sie mit der Maus gehen während Sie die rechte Maustaste gedrückt halten wird hierbei mit einer roten Linie dargestellt. Zunächst ist die Navigation mit Smooth Geastures ungewohnt, jedoch gewöhnt man sich sehr schnell daran und möchte dann auch nicht mehr darauf verzichten.



Chrome Remote Desktop

Eine weitere Chrome Extension, die zeigt, was für Möglichkeiten Chrome Extensions bieten. Chrome Remote Desktop funktioniert im Prinzip wie ein in den Chrome Browser integrierter Teamviewer. So kann man die Kontrolle über seinen Rechner an jemanden frei geben, oder selbst die Kontrolle über einen freigegebenen Rechner übernehmen - was beispielsweise beim Support sehr praktisch sein kann.
 

Topics: Google Apps, Workflows, Google Mail, Verschlüsselung GMail

Blog-Updates Abonnieren