Blog

Sicherheit bei Google Apps for Work - Teil 2: Sicher auf dem Markt

Veröffentlicht von Nino Flück am 05.09.2016 12:48:25
Finden Sie mich bei:

Im ersten Posting rund um das Thema Google Apps for Work habe ich einige Use-Cases zum Thema Sicherheit beschrieben; ein aufmerksamer Leser machte mich auf den Marktplatz von Google aufmerksam. Doch was ist das überhaupt, was macht es mit Ihrer Google Apps for Work Umgebung?


Ab auf den Markt… frische Apps holen


Ersteinmal sei gesagt, es gibt keinen zentralen Marktplatz. Bei uns in Köln gibt es in verschiedenen Stadtteilen jeweils eigene Märkte, teilweise mit denselben Händlern und den gleichen Produkten. So ungefähr sieht es auch bei Google aus, denn innerhalb des Google Universums gibt es verschiedene Märkte (oder Stores), aus denen man als Nutzer und Administrator Apps kaufen und herunterladen kann. Und diese sind alle über den eigenen Google Account aufrufbar:


Chrome Web Store

  • Der Chrome Webstore ist ein Marktplatz auf dem die in HTML oder JavaScript geschriebenen Applikationen gesammelt und auf einem Server gehostet werden. Einige dieser Apps nutzen möglicherweise spezielle Chrome API’s, um im Chrome Browser erweiterte Funktionen zu bieten, während andere auch in anderen Browsern funktionieren.
  • Um öffentliche Apps im Chrome Webstore zu veröffentlichen ist eine Registrierungsgebühr von $5 fällig.
  • Im Web Store finden Sie die Drive Addons, Chrome Extensions und Chrome Apps.
    chromest.png

 

Google Apps Marketplace

  • Der Google Apps Marketplace ist eine Google-Apps-exklusive Möglichkeit, Software für Ihre Domain zu aktivieren oder zu erwerben.
  • Um Apps im Google Apps Marketplace veröffentlichen zu können, ist eine Registrierungsgebühr von $5 fällig.

 

st.png

 

 

Google Playstore

  • Der Google Playstore ist ein Marktplatz für Android Apps.
  • Um Apps im Playstore zu veröffentlichen, ist eine Registrierungsgebühr von $25 fällig

ps.png

 

Selber Apps auf dem Marktplatz vertreiben: Privat oder Öffentlich


Wenn Apps in einem der Marktplätze veröffentlicht werden, gibt es hierfür zwei verschiedene Möglichkeiten der Veröffentlichung: diese kann öffentlich oder in einem privaten Kanal erfolgen. Öffentliche Apps können von jedem Nutzer, der Zugriff auf diese Marktplätze hat, installiert werden. Wenn eine App öffentlich veröffentlicht wird, kann diese App auch “ungelistet” veröffentlicht werden, sodass nur Personen, die über den Link verfügen, diese App installieren können. Eine ungelistete App kann jedoch nicht Bulkmäßig auf einer Google Apps Domain ausgerollt werden. Die Alternative zu dem ungelisteten Veröffentlichen von Apps ist der private Kanal. In diesem können private Apps veröffentlicht werden, auf die außerhalb des Google Apps Accounts nicht zugegriffen werden kann. Diese Einschränkung kann auch auf einzelne Organisationseinheiten heruntergebrochen werden. Beim privaten Kanal entfällt zudem die Registrierungsgebühr.


Sicherheit auf dem Markt

Eine neue App einem Google Apps Account hinzuzufügen, ist immer ein Sicherheitsrisiko. Jede App benötigt Zugriff auf verschiedene Daten - das kann vom Auslesen der E-Mail Adresse der Nutzer bis hin zu vollständigem Dokumenten-Zugriff oder dem Schreiben von E-Mails reichen.


Bei der erstmaligen Einrichtung einer App werden die Nutzer gefragt, ob Sie dieser App die entsprechenden Zugriffe auf ihren Account geben möchten, die Nutzer erfahren also direkt, was eine App theoretisch tun könnte. Doch was hinter den Kulissen passiert, ist nicht mehr so leicht nachzuvollziehen, denn eine App mit beispielsweise Vollzugriff auf Google Docs Vorlagen, kann unter Umständen auch Werbung in die Dokumentenfußzeile schreiben. Die Apps in den Marktplätzen werden nämlich nicht  von Google auf Richtigkeit oder Funktion überprüft.

Daher ist es wichtig, vor der Installation von neuen Apps zu überprüfen, ob es sich um eine vertrauenswürdige App handelt.

Es gibt immerhin verschiedene Wege, dieses Sicherheitsrisiko zu minimieren- die erste und sicherste Methode ist es, die Benutzung von Apps und Addons vollständig zu sperren.

Dies verwehrt den Nutzern die Möglichkeit, die Rechte überhaupt erst an ein solches Programm zu vergeben, verhindert jedoch auch, dass Ihre Nutzer sich die erweiterten Funktionalitäten dieser Apps zunutze machen. (Achtung: Dies verhindert NICHT die Installation von Marketplace Apps, die Sie administrativ verwalten können. Da Sie auch Addon’s über den Marketplace installieren können, haben Sie so weiterhin die Möglichkeit, Ihren Nutzern Addons zur Verfügung zu stellen). Sollten Sie Google Apps Unlimited Kunde sein, lassen sich diese Einstellungen per OU(s.o.) treffen.

Im Administratorpannel lässt sich unter “Nutzer” einsehen, welcher Nutzer welchen Apps welche Zugriffe auf seinen Account gegeben hat. Hier können diese Zugriffe ggf. auch zurückgezogen werden

Sollten Sie Nutzern die Installation dieser Apps erlauben, sollten Sie sie vorher für das Thema sensibilisieren. Indikatoren für eine vertrauenswürdige App sind beispielsweise Kundenbewertungen und Nutzungsbedingungen, Datenschutzerklärungen und Richtlinien zum Löschen des Anbieters.

Wenden Sie sich bei Fragen zur Evaluation der Sicherheit einer App am besten direkt an den Anbieter oder sprechen Sie direkt mit den Spezialisten von CLOUDPILOTS. In unserem Security Assessment überprüft ein Spezialist mit Ihnen mehr als 100 mögliche Sicherheitrisiken in Ihrer Google Apps for Work Umgebung, gibt Ihnen Hinweise zur Kommunikation von Sicherheitsrisiken an die User, bespricht diese mit Ihnen in einem WrapUp und erstellt für Sie einen Actionplan für Ihre Umgebung. Nutzen Sie die Möglichkeit und lassen Sie sich auf den neusten Stand zum Thema Sicherheit bei Google Apps bringen und machen Sie Ihre Arbeitsumgebung noch sicherer- für Sie, für Ihre Nutzer und Ihre Daten.

Topics: Security