Blog

Google veröffentlicht Security-Audits

Veröffentlicht von Michael Herkens am 31.08.2014 06:00:00
Google hat Google Apps for Business sowie die Google Cloud-Plattform gemäß ISO 27001 rezertifizieren und Audits nach SOC 2 und SOC 3 Typ II unterziehen lassen. Ebenso wurden jetzt auch Google+ und Hangout in die Auditierung eingebunden. In dem Beitrag im Google Enterprise Blog wurden sowohl das bereits im April aufgefrischte ISO-27001-Zertifikat als auch der von Mitte Juli datierende SOC-3-Prüfbericht veröffentlicht. Vorher waren die Zertifikate bei Google nur auf Anfrage einsehbar.

ISO 27001 certified by Ernst & Young CertifyPoint
Zertifiziert gem. ISO 27001 durch Ernst & Young CertifyPoint
Eran Feigenbaum, Director of Security of Google Apps, erklärt auch, solche Reports müssten in jedem Kalenderjahr erneuert werden, um gültig zu bleiben. Die Arbeiten dauerten etwa drei Monate. Abgedeckt würden vier Bereiche: Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Darunter fallen Themen wie Verhindern nicht autorisierter Zugriffe auf Daten, Einhaltung von Service-Level Agreements etwa zu Ausfallquoten im Rechenzentrum, und Maßnahmen, um Verwendung von Anwenderdaten in nicht zulässiger Weise zu verhindern.

Google beschäftigt mehr als 450 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren. Nach den Veröffentlichungen zu NSA-Zugriffen auf Rechenzentren von beispielsweise Apple, Microsoft, Yahoo oder eben Google bemüht es sich, seine Maßnahmen gegen solche Abhörversuche ins rechte Licht zu rücken. “Es ist wichtig, dass Unternehmenskunden das Ausmaß der Sicherheitsmaßnahmen eines Rechenzentrums sehen”, sagt Feigenbaum.

Sicherheit ist kein Frage des Standortes


Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so?

Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die, wie von Eran Feigenbaum beschrieben, regelmäßig von externen Drittanbietern geprüft werden.

Aber dürfen personenbezogenen Daten nach außerhalb der EU übermittelt werden? 


Wenn personenbezogene Daten - also „Angaben, anhand derer natürliche Personen bestimmbar sind“ - ausgelagert werden, ist eine gesetzliche Legitimation für die Datenübermittlung erforderlich. Die etablierte Lösung ist die Auftragsdatenverarbeitung. Diese erfordert

  • einen schriftlichen Cloud-Vertrag
  • einen Regelungskatalog
  • Sicherstellung der technische und organisatorische Maßnahmen zum Datenschutz

Die o.g. Punkte sind unabhängig vom Standort des Dienstleisters zu beachten und gelten bei der Übermittlung personenbezogener Daten auch für Managed Services in Deutschland.Gemäß den gesetzlichen Regelungen darf die Übermittlung personenbezogener Daten nach außerhalb der EU nur in solche Staaten erfolgen, die als sog. sichere Drittstaaten über ein ausreichendes gesetzliches Datenschutzniveau verfügen.Daher muß bei der Auswahl eines Cloud Service Provider wie Google, Microsoft oder IBM für Mail & Collaboration Dienste ergänzend zu den o.g. Punkten folgendes beachtet werden:

Safe Harbor ist eine Entscheidung der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Dateien rechtskonform auch in die USA zu übermitteln.Google ist dem Safe Harbor-Programm beigetreten. Nach Meinung mancher Landesdatenschutzbehörden in Deutschland ist der Beitritt zu dem Safe-Harbor-Programm nicht ausreichend, solange der Anbieter nicht mittels weiterer Maßnahmen die Einhaltung eines ausreichenden Datenschutzniveaus gewährleistet. Als zusätzliches Mittel zur Einhaltung der EU-Datenschutzrichtlinien  hat Google im Dezember 2012 die Verwendung der EU-Standardvertragsklauseln für europäische Google Apps Kunden eingeführt. Die Verwendung der EU-Standardvertragsklauseln trägt für die Übermittlung personenbezogener Daten an Google-Server außerhalb der EU zu einem angemessenen Datenschutzniveau bei.

Abschließend kann ich mich der Einschätzung von Thomas Cloer, Leitender Redakteur COMPUTERWOCHE vollumfänglich anschließen:
"[...]Die wenigsten Unternehmen dürften mit ihrer Infrastruktur aucn nur ansatzweise ein mit Googles Public Cloud vergleichbares Sicherheits- und Datenschutzniveau erreichen.[...]"

 

Topics: Google Cloud Connect, Datenschutz, Google Apps

Restricted Communities machen aus Google+ ein Social Intranet

Veröffentlicht von Matthias Scheele am 08.11.2013 06:00:00
Google+ wird nun auch für die interne Unternehmenskommunikation interessanter. Aus dem Social Internet wird mit den "Restricted Communities" im Handumdrehen ein Social Intranet - sofort einsatzbereit und flexibel konfigurierbar. Damit Informationen nicht doch aus Versehen öffentlich werden, sind die neuen, geschlossenen Gruppen klar vom öffentlichen Google+ Bereich abgegrenzt. Diese sehr interessante, neue Funktion, die sich insbesondere für die interne Unternehmenskommunikation eignet, wurde gestern im Google Enterprise Blog angekündigt.

Google+ Communities gibt es doch schon lange ... 

Sicher, Google+ Communities sind im Grunde nichts neues. Viele Unternehmen nutzten auch bisher schon die Community-Funktion von Google+ zur Kommunikation. Allerdings konnte es schnell vorkommen, dass ein unachtsamer Mitarbeiter eine nicht-autorisierte Person zu dieser Community hinzufügte - und somit alle dort veröffentlichten Daten versehentlich preisgab.

Die neuen, beschränkten Communities setzen einen viel höheren Sicherheitsgrad an. Mit einem einfachen Klick verhindern Sie, dass nicht-autorisierte Personen in Ihre Communities eingeladen werden. Ihre sensiblen Daten bleiben genau da, wo sie hingehören: In Ihrem Unternehmen.

Was heißt das im Klartext?

Keine Scheu mehr davor, Google+ für den Austausch kritischer Daten zu nutzen. Ob Dokumente mit Kundeninformationen, Fotos von Produkten im Betastadium oder Videos von der letzten Weihnachtsfeier - Ihre Daten sind nur dem Personenkreis zugänglich, der auch tatsächlich Zugriff haben soll.

Dieser Personen sind, je nach Einstellung, alle User innerhalb Ihrer Domain oder auch nur eingeladene User innerhalb Ihrer Domain. Dabei können Sie selbst bestimmen, ob User Ihre Community über die Suche finden oder nur auf explizite Einladung teilnehmen können.

Abschließend lässt sich sagen, dass mit den beschränkten "Google+ Communities" ein sehr interessantes Produkt für die Unternehmenskommunikation entstanden ist. Google+ kann dadurch auch für die interne Kommunikation eingesetzt werden, ohne Angst um sensible Daten haben zu müssen.

Welche Community passt zu mir?

Art der Community Wer kann beitreten? Wer kann Posts und Mitglieder sehen? Wer kann die Community über die Suche finden?
 1. In Ihrer Domain offen -
 Jeder in Ihrem Unternehmen kann beitreten.
Jeder in Ihrem Unternehmen Jeder in Ihrem Unternehmen  Jeder in Ihrem Unternehmen
 2.  In Ihrer Domain offen -
Zustimmung vom Moderator benötigt, um beitreten zu können.
Jeder in Ihrer Organisation kann einen Beitrittsantrag stellen, aber der Moderator muss den Antrag genehmigen.   Jeder in Ihrem Unternehmen   Jeder in Ihrem Unternehmen
 3. Privat in Ihrer Domain -
Zustimmung vom Moderator benötigt, um beitreten zu können.
 Jeder in Ihrer Organisation kann einen Beitrittsantrag stellen, aber der Moderator muss den Antrag genehmigen.   Mitglieder der Community   Jeder in Ihrem Unternehmen
 4. Privat in Ihrer Domain -
C
ommunity vor Suche schützen
  Nur Mitarbeiter in Ihrem Unternehmen die eingeladen worden sind. Mitglieder der Community Wird nicht in den Suchergebnissen angezeigt.
 

Topics: Google+, Datenschutz, Google Apps

Die Maschinenstürmer der IT

Veröffentlicht von Michael Herkens am 08.09.2013 06:00:00
Noch im vergangenen Jahr variierte der Begriff des „Cloud Computing“ je nach Interessenlage des Analysten, Anbieters oder Verbandes. Gegenwärtig hat sich weitestgehend die Erkenntnis durchgesetzt, dass Hosting, Managed Service Providing (MSP) oder Application Service Providing (ASP) nur sehr wenig mit einer Cloud Infrastruktur gemein haben – weder mit einer Public, noch einer Private Cloud. Grundsätzlich wird ein System wird nicht alleine dadurch mandantenfähig, dass man jedem Mandanten, wie beim Hosting, MSP oder APS, eine eigene Instanz (Kopie) des Systems zuordnet. Berater und Kunden haben verstanden, dass die niedrigeren Kosten bei der Nutzung einer Anwendung aus der Public Cloud ein Resultat der (multi-)mandantenfähigen Architektur im Datacenter des Cloud Service Providers (CSP) sind. Unterschiedliche Kunden bzw. Mandanten nutzen eine Infrastruktur, ohne dass diese gegenseitig Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben. Für Cloud Service Provider (CSP) ist dieser Umstand Fluch und Segen zugleich. Wenn eine gemeinsam genutzte Infrastruktur versagt, können davon eine Vielzahl von Kunden betroffen sein. Daher müssen professionelle CSPs sehr große Investitionen aufbringen, um über mehrfach redundante System den Service ausfallsicher anbieten zu können. Das wiederum kann nur dann wirtschaftlich betrieben und genutzt werden, wenn der CSP in der Lage ist, eine sehr große Zahl von Kunden in seiner Datacenter Landschaft zu gewinnen. Dabei sind die Anfangsinvestitionen für den CSP enorm. Wir sprechen von Beträgen, die häufig nur von internationalen Anbietern wie Google, Microsoft oder IBM aufgebracht werden können.
 

Die Industrialisierung der IT

Mit dem Cloud Computing entstehen also Skaleneffekte, durch die der Kunde in Form von geringen Kosten und einer höheren Datensicherheit profitiert. Aber wie stellt sich der Effizienzgewinn im Vergleich zu Infrstructure-as-a-Service (IaaS), Platform-as-a-Service (Paas) und Software-as-a-Service (SaaS) dar? Beim Einsatz von IaaS werden nur rudimentäre IT-Ressourcen, wie Rechenleistung, Storage oder Netzwerkkapazitäten zur Verfügung gestellt. Bei PaaS übernimmt der CSP schon mehr Verantwortung. Typische PaaS-Lösungen, wie die Google App Engine oder Microsoft Azure bieten skalierbare Plattformen, um cloudbasierte Anwendungen zu entwickeln und auszuführen. SaaS repräsentiert schließlich die oberste Schicht im Cloud-Modell. Der Provider trägt die Verantwortung von der technischen Infrastruktur bis in die Applikation. Demzufolge entstehen geringere Kosten durch die höhere Standardisierung beim Provider. Für den Nutzer entfallen hingegen Investitionen in kostspielige Hard- und Software und die damit verbundenen Kosten für Updates und Systempflege. Die Frage ist folglich, ob sich die insgesamt effizienteste Cloud-Lösung Saas für alle Anwendungen eignet. Bei der genaueren Betrachtung wird schnell klar, dass sich besonders standardisierte IT-Lösungen, wie Mail & Collaboration oder CRM, für die Nutzung im Saas-Modell eignen. Diese können viel günstiger und zuverlässiger aus der Public Cloud als industrialisierte IT-Services von leistungsstarken Anbietern bezogen werden. Die führenden CSPs verfügen über spezialisierte Teams, die den sicheren und störungsfreien Betrieb des Cloud-Services garantieren.

© Torbz - Fotolia.com

Kleine und mittelständische Unternehmen profitieren von den Großen 

Technischen und organisatorische Datenschutzmaßnahmen der Public Cloud Service Provider müssen sich am Standard orientieren, den auch große Konzerne beim Eigenbetrieb anlegen. Von diesem Sicherheitsstandard profitieren dann auch kleine und mittelständische Unternehmen, die sich mit ihren Daten im gleichen Rechenzentrum befinden wie die Großunternehmen. Durch die bedarfsgerechte Abrechnung bezahlen Mittelständler in dem gleichen Umfang (pro User) wie auch ein Konzern. Für alle Unternehmen werden die Dienste 365 Tage im Jahr rund um die Uhr überwacht und genügen den höchsten Anforderungen an die Betriebssicherheit. Die Gründe für die Notwendigkeit der permanenten Überwachung finden sich unter anderem im Bericht „Die Lage der IT-Sicherheit in Deutschland 2011“, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2011 veröffentlicht wurde. Darin heißt es, dass sich beispielsweise ein Botnetz mit 10.000 Bot-PCs für rund 200 US-Dollar pro Tag mieten ließe. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Da Botnetze auch aus mehreren Millionen PCs bestehen können, lässt sich das monetäre Potenzial hinter solchen Internetangriffen nur erahnen. In der aktuellen Prism Diskussion bleibt dieser Aspekt leider allzu oft unberücksichtigt. Zentrale Dienste in der Cloud sind auf Grund der beschriebenen Skalierungseffekte deutlich sicherer und effizienter als der Inhouse-Betrieb oder das Hosting von Single-Tenant-Serverlösungen. Qualifizierte Sicherheitsteams und der Einsatz neuester Technologien gewährleisten maximale Zugangs- und Übertragungssicherheit sowie permanente Verfügbarkeit (i.d.R 99,9%) an allen Standorten. Schon seit 2007 kann Google Apps als Software-as-a-Service (SaaS) von Google bezogen werden. Google ist einer der Pioniere auf dem Gebiet der webbasierten Unternehmensanwendungen. Auch Konzerne, wie der Basler Pharmariese Roche, wechselten bereits mit 90.000 Mitarbeitern zu Google Apps for Business. Die Verantwortung für die Informations-, Standort und Betriebssicherheit übernimmt Google im gleichen Maß, wie für Unternehmen mit nur wenigen Mitarbeitern.

Die Maschinenstürmer der IT

Anhand dieser Aspekte wird deutlich, dass die Minimierung der Kosten für den Kunden bei gleichzeitiger Maximierung der Aufwendungen für die Datensicherheit eine hinreichende Größe des Anbieters voraussetzt.Hieraus begründet sich auch, weshalb vorrangig die großen, internationalen Anbieter wie Google, Microsoft oder IBM Cloud-Leistungen anbieten. Man mag es bedauern, dass wir keinen Anbieter aus Deutschland oder in Europa im Markt haben, der ähnliche Voraussetzungen für einen professionellen Cloud Dienst mitbringt. Umso verständlicher wird die Werbe- oder Kommunikationsstrategie der hiesigen Hoster und Systemhäuser, die Furcht, Ungewissheit und Zweifel befeuert haben. Systemhäuser leben von dem Verkauf, der Implementierung und der Integration von Hard- und Software. Mit dem Umstieg auf die Cloud fallen für Systemhäuser somit wesentliche Umsatzträger aus. Das ist gut für den Kunden, da die Skaleneffekte in der Cloud einen günstigeren Betrieb und eine wirtschaftlichere Implementierung ermöglichen. Andererseits hat das negative Auswirkungen auf den Umsatz des Systemhauses. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Selbstverständlich entsteht beim Übergang von IT-Diensten in die Public Cloud auch Beratungs- und Migrationsbedarf. Der Aufwand ist aber nur einmalig und deutlich geringer als das, was die Systemhäuser Ihren Kunden üblicherweise verkaufen. Es drängt sich der Eindruck auf, dass gerade angestammte Systemhäuser und lokale Hoster deshalb gezielt Ängste und Bedenken gegen die Public Cloud schüren. Bei einer objektiven Analyse der Kosten, des Servicelevels in Verbindung mit einer qualifizierten Beratung kommen unsere Kunden daher oftmals zu der Entscheidung, einen Teil der IT auszulagern.

PRISM, der neue Hebel der Maschinenstürmer

Prism hat die Diskussion um die großen Anbieter, die in der Regel in den USA beheimatet sind, wieder angefacht. Plakative Schlagzeilen wie „Nur deutsche Cloud-Lösungen helfen deutschen Firmen gegen US-Industriespionage“ wurden von der Presse dankbar übernommen. Aber ist es so einfach wie es auf den ersten Blick scheint? Heise Security veröffentlichte am selben Tag, an dem die Enthüllungen Edward Snowdens bekannt wurden, einen brisanten Bericht. Der Webhoster Hetzner war Opfer eines Hackerangriffs geworden, bei dem Unbekannte auch Zugriff auf Kundendaten - inklusive Passwort-Hashes und Zahlungsinformationen - gehabt haben sollen. Wenige Wochen später wurde ebenfalls von Heise Online veröffentlicht, dass sich unbekannte Hacker Zugriff auf die internen Systeme des Hosters OVH verschafft hätten. An diesen Beispielen werden zwei wesentlich Punkte deutlich: Es muss ein massiver Aufwand betrieben werden, um IT-Systeme vor Cyberattacken zu schützen. Selbst für mittelständische Hoster ist dies eine kaum lösbare Aufgabe. Und zweites stellt sich die Frage der Verhältnismäßigkeit. Gegen welche Bedrohungen müssen sich Unternehmen also schützen? Einen interessanten Aspekt wirft Mirko Novakovic in seinem Blog auf. Gemäß der Tageszeitung “Die Welt” werden weltweit 145 Milliarden E-Mails pro Tag versendet. Wenn 4.000 Mitarbeiter der NSA rund 76.800 E-Mails täglich auswerten könnten, so rechnet Novakovic, ist die Wahrscheinlichkeit, einen 5er im Lotto zu erzielen, in etwa so hoch , wie die Chance, dass meine E-Mail von der NSA gelesen wird. Eine Wahrscheinlichkeit von 0,0000429%. Dem gegenüber beschreibt der 2013 vorgestellte Verfassungsschutzbericht NRW über das Jahr 2012, dass 50% der Firmen in NRW ausspioniert werden. Die Wirtschaftsspione haben in den letzten Jahren technisch massiv aufgerüstet. Bevorzugtes Ziel sind neben den großen Dax-Konzernen mittelständische Unternehmen, die häufig über ein weltweit einzigartiges Fachwissen verfügen. Den jährlichen Schaden beziffern Sicherheitsexperten bundesweit auf einen zweistelligen Milliardenbetrag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass allein 2012 bundesweit rund 37 Millionen neue Schadensprogramme eingesetzt wurden. Die jüngst veröffentlichte Umfrage von Ernst & Young kommt dennoch zum Ergebnis, dass 86 Prozent aller Manager für unwahrscheinlich halten, selbst Opfer zum Ziel von digitalen Abhöraktionen, Wirtschaftsspionage oder Datenklau werden könnten. Hauptgrund für diesen Optimismus so die Prüfungs- und Beratungsgesellschaft: Acht von zehn Unternehmen gehen davon aus, dass die eigenen Sicherheitsvorkehrungen ausreichen, um unerwünschten Informationsabfluss zu verhindern. Tatsächlich handelt es sich bei diesen Sicherheitsmaßnahmen aber zumeist um Standardmaßnahmen wie Firewalls (85 Prozent) oder bestimmte Komplexitätsanforderungen für Passwörter (84 Prozent) – für geübte Hacker kein ernsthaftes Hindernis. Wirklich umfassende IT-Sicherheitssysteme hat die Mehrzahl der deutschen Unternehmen gar nicht installiert: Sogenannte Intrusion-Detection- oder -Prevention-Systeme, die Hinweise auf die Aktivitäten von Eindringlingen ins Firmennetzwerk geben können, leisten sich gerade mal 13 respektive 12 Prozent aller Unternehmen.

Sicherheit ist weniger eine Frage des Standortes

Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so? Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die regelmäßig von externen Drittanbietern geprüft werden. Aber dürfen Personendaten nach außerhalb der EU übermittelt werden? Gemäß den gesetzlichen Regelungen darf die Übermittlung nur in solche Staaten erfolgen, die als sog. “sichere Drittstaaten” über ein ausreichendes gesetzliches Datenschutzniveau verfügen. Für den Datentransfer bspw. in die USA hat die EU-Kommission im Jahr 2010 die aktualisierten EU-Standardvertragsklauseln veröffentlicht. Werden personenbezogene Daten in den USA verarbeitet, sollte das bei den Parteien des Cloud-Vertrags unter Verwendung der EU-Standardvertragsklauseln erfolgen. Larry Page, Google CEO und David Drummond, Google Chief Legal Officer veröffentlichten bereits einen Tag nach Snowdens Enthüllungen ein offizielles Statement. Darin heißt es, dass sich Google weder an Prism noch irgendeinem anderen staatlichen Überwachungsprogramm angeschlossen habe. In einem Gastbeitrag in der FAZ vom 05. Juli schreibt David Drummond weiter, dass man keiner Regierung, auch nicht der amerikanischen Regierung, Zugriff auf Google Systeme gegeben habe. Es gäbe keine „Hintertür“, „Seitentür“ oder „versteckte Tür“. Die von der NSA bei vielen Unternehmen auch gar nicht benötigt würde, da die Mail Transfer Agents untereinander im "Klartext" kommunizieren. In den meisten Fällen geht die Übermittlung der Datenüber einen oder mehrere Router. Dieser kann im schlimmsten Fall den gesamten Datenverkehr zwischen Client und Server mitprotokollieren und auswerten. Um einen sicheren Mailversand zur gewährleisten, gibt es die Möglichkeit, eine SMTP-Verbindung per TLS-Verschlüsselung aufzubauen. Dies scheint aber einer sehr großen Zahl von Unternehmen und Hostern unbekannt zu sein. Eine einfache Möglichkeit zur Überprüfung des eigenen Mail-Servers bietet das Tool CheckTLS.com . Bei der Einladung zum unbefugten Mitlesen von unternehmensinternen Nachrichten relativiert sich auch hier die Bedrohung durch Prism.

Zusammenfassung

Schlussendlich ist der sichere Betrieb von IT-Lösungen sehr kosten- und wartungsintensiv. Unternehmen sollten prüfen, welche IT-Anwendungen sich in die Cloud auslagern lassen und welche nicht. Weitgehend standardisierte IT-Lösungen, wie Mail & Collaboration oder CRM, können viel günstiger und zuverlässiger aus der Public Cloud bezogen werden. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Bei der Auswahl des Anbieters müssen sich Kunden von den technischen und organisatorischen Maßnahmen zum angemessen Datenschutz überzeugen. Hier hilft eine offizielle Zertifizierung nach ISO 27001 und SAS 70 Type II. Wer sich hingegen mit bunten Aufklebern auf der sicheren Seite sieht, liegt falsch. Werden Kunden von angestammten Systemhäusern beraten, sollten sie sich eine zweite unabhängige Meinung einholen. Systemhäuser leben von dem Verkauf, der Implementierung und der Integration von Hard- und Software. Daher neigen Systemhäuser dazu, eigene Internet-Dienste bereitzustellen, die dann als Private Cloud verkauft werden, um ihre Kunden nicht an die Public Cloud zu verlieren.
 

Topics: Office 365, Cloud, Datenschutz, Google Apps, PRISM

Mobile Datenkommunikation – Alles aber sicher.

Veröffentlicht von Michael Herkens am 13.06.2012 06:00:00
Eine neue Generation von Mitarbeitern erobert die Unternehmen und verlangt vor allem eines: Flexibilität. Die Leistungsfähigkeit von Mitarbeitern wird nicht mehr an den Stunden der Anwesenheit im Büro gemessen, sondern an deren Ergebnissen. Home-Office war gestern. Morgen wird der Zugriff auf wichtige Arbeitsunterlagen und Unternehmensdaten von überall mobil erfolgen. Wenn man den vor wenigen Tagen veröffentlichen „IDC Worldwide Mobile Phone Tracker Report“ betrachtet fallen zwei Dinge auf. Zum einen werden die stürmischen Zuwachsraten bestätigt und zum anderen bricht RIM mit dem Blackberry OS weiter dramatisch ein.
Quelle: IDC Worldwide Mobile Phone Tracker vom 24. Mai 2012
Dabei war es lange Zeit ein Alleinstellungsmerkmal, dass der Blackberry Enterprise Server (BES) einige relevante Sicherheitsfunktionen für den Unternehmenseinsatz bereitstellt. Wenn das Smartphone mit unternehmenskritischen Daten in die falschen Hände gerät, kann der Administrator durch das Fernlöschen oder Sperren der Geräte weiteren Schaden abwenden. Aufgrund solcher Funktionen setzen viele IT-Administratoren den BES gerne ein. Und die Anwender? Die haben gemäß des IDC-Reports andere Präferenzen. Da liegen Android und iOS in der Gunst weit vorne.

Gemäß den Marktbeobachtern von IDC werden weltweit 35 % der arbeitenden Bevölkerung bis zum Jahr 2013 mobil arbeiten, die sich dabei einer sehr heterogenen Endgerätelandschaft bedienen werden. Schon heutzutage arbeitet der Großteil der Arbeitnehmer weltweit zumindest zeitweise außerhalb des Büros. Kein Wunder: Mit dem mobilen Arbeiten zu jeder Zeit und von überall kann ein gewaltiges Plus an Produktivität verbunden sein. IDC geht davon aus, dass schon in diesem Jahr rund 20% aller deutschen Arbeitnehmer mobil arbeiten. In der Bereitstellung dieser Informationen liegt der Schlüssel zu einem zufriedenen Anwender. Und wenn die IT-Abteilung der Nachfrage nicht gerecht wird, nutzen die Anwender Technologien und mobile Endgeräte zur Erreichung ihrer beruflichen Ziele, die sie auch im privaten Umfeld verwenden – wie Android und iPhone.

„Bring your own Device“ oder kurz „BYOD“ ist ein globaler Trend, der die IT-Verantwortlichen in Deutschlands Unternehmen jedoch noch spaltet: Die einen sehen einen Mehrwert in der verbesserten Wettbewerbsfähigkeit durch die gesteigerte Mobilität. Die anderen hingegen befürchten den Kontrollverlust und IT-Gau durch virenverseuchte und mit Sicherheitslücken versehene Endgeräte. Mit Recht: Denn anders als PCs oder Laptops stehen insbesondere die mobilen Endgeräte, die derzeit boomen, in dem meisten Fällen nur unter der Administration des jeweiligen Nutzers. Bei Verlust oder Diebstahl sind Kosten für das Ersatzgerät verschwindend gering gegenüber den Folgekosten durch die Störungen im Betriebsablauf oder durch den Datenverlust. Eine Lösung bietet Google Apps.
Administratoren können die unter iOS, Android oder Windows Mobile betriebenen Geräte ihrer Nutzer mit einer Reihe von Mobile Device Management-Richtlinien verwalten, die darauf ausgerichtet sind, den Nutzern Zugriff auf ihre Daten zu gewähren und gleichzeitig die Sicherheit der Unternehmensinformationen zu gewährleisten. Diese Richtlinien umfassen die Fähigkeit, Daten per Remote-Zugriff von verloren gegangenen oder gestohlenen Geräten zu löschen, das Vorschreiben eines Gerätepassworts oder das Festlegen von Anforderungen für eine bestimmte Passwortstärke.
 

Topics: Security, Datenschutz, Google Apps, Android

Google Apps mit weiteren Optionen zur Erfüllung der EU Datenschutz Richtlinie

Veröffentlicht von Michael Herkens am 07.06.2012 06:00:00
Im Google Enterprise Blog beschreibt Marc Crandall, Senior Manager Global Compliance, dass Google in Kürze die „EU Model Clauses“ für Google Apps anbietet. Und damit eine weitere Option zur Einhaltung des angemessenen Sicherheitsniveaus gemäß der EU Kommission. Die EU Datenschutz Richtlinie aus dem Jahr 1995 beschreibt den Schutz bei der Verarbeitung personenbezogener Daten. Sie sorgt dafür, dass bestimmte Daten, die von der EU einen angemessenen Schutz der Privatsphäre erfordern, von einem EU-Land nicht in ein Nicht-EU-Land übertragen werden.

Im Jahr 2000 entwickelte das US-Handelsministerium in Absprache mit der EU Kommission das Safe-Harbor Abkommen zur Etablierung technischer und organisatorischer Maßnahmen zum Datenschutz. Die Einhaltung dieser Maßnahmen ermöglicht es europäischen Unternehmen, personenbezogene Daten rechtskonform an einen Auftragnehmer in die USA zu übermitteln. Google, sowie 2.500 weitere US-Unternehmen, die Dienstleistungen in Europa anbieten, haben sich diesem Abkommen verpflichtet. Die Safe-Habor-Grundsätze wurden in Deutschland zuletzt im September 2011 auf der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder in München im Rahmen der Entschließung über die „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“ bestätigt.

Im Jahr 2010 genehmigte die Europäische Kommission die EU-Standardvertragsklauseln („EU Model Clauses“). Das sind von der Europäischen Kommission vorgegebene Vertragsklauseln, die den Datentransfer zwischen Unternehmen innerhalb und außerhalb der Europäischen Union regeln. Die Vertragsklauseln stellen hohe Anforderungen an Anbieter Cloud-basierter Lösungen. Dazu zählen beispielsweise ein sehr ausdifferenziertes Auditrecht oder die Offenlegung der Subunternehmerverträge. Durch die Annahme der EU-Standardvertragsklauseln bietet Google eine zusätzliche Option für die Einhaltung der EU Datenschutz Richtlinie.

Zusammen mit der jüngst veröffentlichen Zertifizierung nach ISO 27001 für Google Apps bietet Google mit der Annahme der "EU Model Clauses" eine weitere Erweiterung der EU-Compliance-Optionen an.
 

Topics: Datenschutz, Google Apps