Blog

Nino Flück

Find me on:

Recent Posts

Sicherheit bei Google Apps for Work - Teil 2: Sicher auf dem Markt

Veröffentlicht von Nino Flück am 05.09.2016 12:48:25

Im ersten Posting rund um das Thema Google Apps for Work habe ich einige Use-Cases zum Thema Sicherheit beschrieben; ein aufmerksamer Leser machte mich auf den Marktplatz von Google aufmerksam. Doch was ist das überhaupt, was macht es mit Ihrer Google Apps for Work Umgebung?


Ab auf den Markt… frische Apps holen


Ersteinmal sei gesagt, es gibt keinen zentralen Marktplatz. Bei uns in Köln gibt es in verschiedenen Stadtteilen jeweils eigene Märkte, teilweise mit denselben Händlern und den gleichen Produkten. So ungefähr sieht es auch bei Google aus, denn innerhalb des Google Universums gibt es verschiedene Märkte (oder Stores), aus denen man als Nutzer und Administrator Apps kaufen und herunterladen kann. Und diese sind alle über den eigenen Google Account aufrufbar:


Chrome Web Store

  • Der Chrome Webstore ist ein Marktplatz auf dem die in HTML oder JavaScript geschriebenen Applikationen gesammelt und auf einem Server gehostet werden. Einige dieser Apps nutzen möglicherweise spezielle Chrome API’s, um im Chrome Browser erweiterte Funktionen zu bieten, während andere auch in anderen Browsern funktionieren.
  • Um öffentliche Apps im Chrome Webstore zu veröffentlichen ist eine Registrierungsgebühr von $5 fällig.
  • Im Web Store finden Sie die Drive Addons, Chrome Extensions und Chrome Apps.
    chromest.png

 

Google Apps Marketplace

  • Der Google Apps Marketplace ist eine Google-Apps-exklusive Möglichkeit, Software für Ihre Domain zu aktivieren oder zu erwerben.
  • Um Apps im Google Apps Marketplace veröffentlichen zu können, ist eine Registrierungsgebühr von $5 fällig.

 

st.png

 

 

Google Playstore

  • Der Google Playstore ist ein Marktplatz für Android Apps.
  • Um Apps im Playstore zu veröffentlichen, ist eine Registrierungsgebühr von $25 fällig

ps.png

 

Selber Apps auf dem Marktplatz vertreiben: Privat oder Öffentlich


Wenn Apps in einem der Marktplätze veröffentlicht werden, gibt es hierfür zwei verschiedene Möglichkeiten der Veröffentlichung: diese kann öffentlich oder in einem privaten Kanal erfolgen. Öffentliche Apps können von jedem Nutzer, der Zugriff auf diese Marktplätze hat, installiert werden. Wenn eine App öffentlich veröffentlicht wird, kann diese App auch “ungelistet” veröffentlicht werden, sodass nur Personen, die über den Link verfügen, diese App installieren können. Eine ungelistete App kann jedoch nicht Bulkmäßig auf einer Google Apps Domain ausgerollt werden. Die Alternative zu dem ungelisteten Veröffentlichen von Apps ist der private Kanal. In diesem können private Apps veröffentlicht werden, auf die außerhalb des Google Apps Accounts nicht zugegriffen werden kann. Diese Einschränkung kann auch auf einzelne Organisationseinheiten heruntergebrochen werden. Beim privaten Kanal entfällt zudem die Registrierungsgebühr.


Sicherheit auf dem Markt

Eine neue App einem Google Apps Account hinzuzufügen, ist immer ein Sicherheitsrisiko. Jede App benötigt Zugriff auf verschiedene Daten - das kann vom Auslesen der E-Mail Adresse der Nutzer bis hin zu vollständigem Dokumenten-Zugriff oder dem Schreiben von E-Mails reichen.


Bei der erstmaligen Einrichtung einer App werden die Nutzer gefragt, ob Sie dieser App die entsprechenden Zugriffe auf ihren Account geben möchten, die Nutzer erfahren also direkt, was eine App theoretisch tun könnte. Doch was hinter den Kulissen passiert, ist nicht mehr so leicht nachzuvollziehen, denn eine App mit beispielsweise Vollzugriff auf Google Docs Vorlagen, kann unter Umständen auch Werbung in die Dokumentenfußzeile schreiben. Die Apps in den Marktplätzen werden nämlich nicht  von Google auf Richtigkeit oder Funktion überprüft.

Daher ist es wichtig, vor der Installation von neuen Apps zu überprüfen, ob es sich um eine vertrauenswürdige App handelt.

Es gibt immerhin verschiedene Wege, dieses Sicherheitsrisiko zu minimieren- die erste und sicherste Methode ist es, die Benutzung von Apps und Addons vollständig zu sperren.

Dies verwehrt den Nutzern die Möglichkeit, die Rechte überhaupt erst an ein solches Programm zu vergeben, verhindert jedoch auch, dass Ihre Nutzer sich die erweiterten Funktionalitäten dieser Apps zunutze machen. (Achtung: Dies verhindert NICHT die Installation von Marketplace Apps, die Sie administrativ verwalten können. Da Sie auch Addon’s über den Marketplace installieren können, haben Sie so weiterhin die Möglichkeit, Ihren Nutzern Addons zur Verfügung zu stellen). Sollten Sie Google Apps Unlimited Kunde sein, lassen sich diese Einstellungen per OU(s.o.) treffen.

Im Administratorpannel lässt sich unter “Nutzer” einsehen, welcher Nutzer welchen Apps welche Zugriffe auf seinen Account gegeben hat. Hier können diese Zugriffe ggf. auch zurückgezogen werden

Sollten Sie Nutzern die Installation dieser Apps erlauben, sollten Sie sie vorher für das Thema sensibilisieren. Indikatoren für eine vertrauenswürdige App sind beispielsweise Kundenbewertungen und Nutzungsbedingungen, Datenschutzerklärungen und Richtlinien zum Löschen des Anbieters.

Wenden Sie sich bei Fragen zur Evaluation der Sicherheit einer App am besten direkt an den Anbieter oder sprechen Sie direkt mit den Spezialisten von CLOUDPILOTS. In unserem Security Assessment überprüft ein Spezialist mit Ihnen mehr als 100 mögliche Sicherheitrisiken in Ihrer Google Apps for Work Umgebung, gibt Ihnen Hinweise zur Kommunikation von Sicherheitsrisiken an die User, bespricht diese mit Ihnen in einem WrapUp und erstellt für Sie einen Actionplan für Ihre Umgebung. Nutzen Sie die Möglichkeit und lassen Sie sich auf den neusten Stand zum Thema Sicherheit bei Google Apps bringen und machen Sie Ihre Arbeitsumgebung noch sicherer- für Sie, für Ihre Nutzer und Ihre Daten.

Topics: Security

Google Apps for Work ist sicher! Sicher?

Veröffentlicht von Nino Flück am 15.08.2016 17:16:28

Auch ein Unternehmen wie Google muss sich um die Sicherheit Ihrer Infrastruktur und der dorthin ausgelagerten Daten bemühen- und natürlich immer auf dem neusten Stand sein. Hier greift das Google Sicherheitsskonzept- es gibt technische und organisatorische Maßnahmen, um die Kundendaten schützen. Google übernimmt an dieser Stelle die Verantwortung für die Informationsicherheit, Standortsicherheit und Betriebssicherheit in den Rechenzentren, für alle Kunden. Neben einer ISO 27001 Zertifizierung ist Google auch nach SOC 2 und SOC 3 Typ II zertifiziert, die Prüfergebnisse sind für alle Kunden öffentlich einsehbar. 2014 gab Google bekannt, dass mehr als 450 Mitarbeiter für das Thema Sicherheit bei Google verantwortlich sind (Quelle: Enterprise Blog Beitrag vom 27.08.2014), außerdem wurden seit 2011 die Server auf Perfect Forward Secrecy (PFS) umgestellt und auf 2048-Bit-Zertifikate umgestellt.  

1.png

Doch sind wir mal ehrlich- das alles sind technische Fakten, die gerne auch dazu dienen, in Marketingabteilungen die Whitepaper zu verbessern und dem Kunden noch mehr Sicherheitsgefühl zu verkaufen. Denn so gut die Sicherheit von Google Apps for Work auch ist- Sie kann nicht vor menschlichen Fehlern schützen. Die Technik kann nichts gegen falsch getroffene Systemeinstellungen im Admin-Panel oder gegen Weitergabe von Kennwörtern an Dritte tun. Das schwächste Glied in der Kette sind also die Administratoren bzw. die Nutzer.

Doch wie kann man zumindest den fahrlässigen Verlust von Daten oder das Setzen von falschen Einstellungen verhindern? Übertrieben gesagt: Gar nicht. Aber Sie als Administrator können mit unserem Google Apps Security Assessment ein Wissen aufbauen und weiterentwickeln, um die Sicherheit Ihrer Google Apps for Work Umgebung zu verbessern.


Nutzen Sie die 2-Step-Verification oder auch 2-Stufen-Verifizierung:

Diese Funktion erlaubt es, sich zusätzlich zum normalen Passwort ein Einmal-Passwort auf Ihr mobiles Endgerät oder Telefon senden zu lassen und schützt somit vor versehentlicher Herrausgabe oder erraten des Passworts. Das Einmalpasswort wird bei jedem Einloggen abgefragt - wenn gewünscht, kann der zweite Faktor auch 30 Tage lang auf einem Gerät gespeichert werden, sodass er auf dem Arbeitsrechner nur einmal pro Monat angegeben werden muss. Als Alternative zur SMS bzw. einem Anruf gibt es auch die Möglichkeit auf Security Keys oder eine Applikation für Android und iOS zurückzugreifen.

2.png

Kennen Ihre Nutzer zum Beispiel das Security Check-Up?

In den Account Einstellungen können Ihre Nutzer ein Selbst-Check durchführen- in wenigen Schritten evaluiert Google, ob der Useraccount ausreichend gesichert ist und gibt Tipps zur Verbesserung des Datenschutzes und zur Wiederherstellung des Accounts, sollte dieser einmal kompromittiert sein.

3.png

Zusätzlich zu dem Security Check-Up gibt es für Administratoren die Möglichkeit, die Passwortsicherheit der Nutzer zu überprüfen. Hierzu gibt es im Admin-Panel die Option, die Passwortlänge- und Stärke zu überprüfen- dabei wird dem Administrator angezeigt, ob der User ein grünes (sicher), gelbes (sollte sicherer gemacht werden) oder rotes (unsicher) Passwort vergeben hat.

 

Überprüfen Sie die Berichte!

Viele Administratoren wissen gar nicht was in Ihrer Google Apps for Work Umgebung passiert: Ist der Kollege aus London gerade wirklich in London und Singapur eingeloggt? Sollen die HR-Daten der Kollegin aus Australien gerade wirklich an einen Kunden freigegeben werden? Oder ist es wirklich gewünscht, dass die Sozialversicherungsnummer des spanischen Zeitarbeiters an einen Kollegen geschickt wird? In den Google Apps Berichten können verschiedene Verhaltensmuster von Nutzern überprüft werden. Beispielsweise kann hier eingesehen werden, welcher Nutzer wieviele Dateien öffentlich im Netz bzw. außerhalb der Organisation freigegeben hat. Außerdem können hier auch Alerts eingerichtet werden, die über bestimmte Aktivitäten wie bspw. geänderte Passwörter oder Compliance Verstöße unterrichten.

 

google_apps_security.jpg

 

Ihre Rolle? Sie sind der Administrator:

Viele Unternehmen geben sehr vielen Nutzern Superadministratorrechte - dieses sollte aus verschiedenen Gründen vermieden werden. Zunächst erhöht jeder zusätzliche Superadministratoraccount, die Möglichkeit, dass ein Account mit solchen Rechten gehackt wird. Darüberhinaus besteht die Möglichkeit, dass im Falle eines Ausscheidens aus dem Unternehmen ein Superadministrator Einstellungen verstellt, Nutzer löscht etc. Daher sollte die Anzahl Superadministratoren auf ein Minimum beschränkt werden. Stattdessen können Administratorrollen vergeben werden, die über weniger Rechte, wie z.B. das Resetten von Passwörtern verfügen.

Diese und noch viele weitere Einstellungen werden in unserem Google Apps Security Assessment überprüft. Ein Spezialist überprüft mit Ihnen mehr als 100 mögliche Sicherheitrisiken in Ihrer Google Apps for Work Umgebung, bespricht diese mit Ihnen in einem WrapUp und erstellt für Sie einen Actionplan für Ihre Umgebung. Nutzen Sie die Möglichkeit und lassen Sie sich auf den neusten Stand zum Thema Sicherheit bei Google Apps bringen und machen Sie Ihre Arbeitsumgebung noch sicherer- für Sie, für Ihre Nutzer und Ihre Daten.