Blog

Google veröffentlicht Security-Audits

Veröffentlicht von Michael Herkens am 31.08.2014 06:00:00
Google hat Google Apps for Business sowie die Google Cloud-Plattform gemäß ISO 27001 rezertifizieren und Audits nach SOC 2 und SOC 3 Typ II unterziehen lassen. Ebenso wurden jetzt auch Google+ und Hangout in die Auditierung eingebunden. In dem Beitrag im Google Enterprise Blog wurden sowohl das bereits im April aufgefrischte ISO-27001-Zertifikat als auch der von Mitte Juli datierende SOC-3-Prüfbericht veröffentlicht. Vorher waren die Zertifikate bei Google nur auf Anfrage einsehbar.

ISO 27001 certified by Ernst & Young CertifyPoint
Zertifiziert gem. ISO 27001 durch Ernst & Young CertifyPoint
Eran Feigenbaum, Director of Security of Google Apps, erklärt auch, solche Reports müssten in jedem Kalenderjahr erneuert werden, um gültig zu bleiben. Die Arbeiten dauerten etwa drei Monate. Abgedeckt würden vier Bereiche: Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Darunter fallen Themen wie Verhindern nicht autorisierter Zugriffe auf Daten, Einhaltung von Service-Level Agreements etwa zu Ausfallquoten im Rechenzentrum, und Maßnahmen, um Verwendung von Anwenderdaten in nicht zulässiger Weise zu verhindern.

Google beschäftigt mehr als 450 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren. Nach den Veröffentlichungen zu NSA-Zugriffen auf Rechenzentren von beispielsweise Apple, Microsoft, Yahoo oder eben Google bemüht es sich, seine Maßnahmen gegen solche Abhörversuche ins rechte Licht zu rücken. “Es ist wichtig, dass Unternehmenskunden das Ausmaß der Sicherheitsmaßnahmen eines Rechenzentrums sehen”, sagt Feigenbaum.

Sicherheit ist kein Frage des Standortes


Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so?

Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die, wie von Eran Feigenbaum beschrieben, regelmäßig von externen Drittanbietern geprüft werden.

Aber dürfen personenbezogenen Daten nach außerhalb der EU übermittelt werden? 


Wenn personenbezogene Daten - also „Angaben, anhand derer natürliche Personen bestimmbar sind“ - ausgelagert werden, ist eine gesetzliche Legitimation für die Datenübermittlung erforderlich. Die etablierte Lösung ist die Auftragsdatenverarbeitung. Diese erfordert

  • einen schriftlichen Cloud-Vertrag
  • einen Regelungskatalog
  • Sicherstellung der technische und organisatorische Maßnahmen zum Datenschutz

Die o.g. Punkte sind unabhängig vom Standort des Dienstleisters zu beachten und gelten bei der Übermittlung personenbezogener Daten auch für Managed Services in Deutschland.Gemäß den gesetzlichen Regelungen darf die Übermittlung personenbezogener Daten nach außerhalb der EU nur in solche Staaten erfolgen, die als sog. sichere Drittstaaten über ein ausreichendes gesetzliches Datenschutzniveau verfügen.Daher muß bei der Auswahl eines Cloud Service Provider wie Google, Microsoft oder IBM für Mail & Collaboration Dienste ergänzend zu den o.g. Punkten folgendes beachtet werden:

Safe Harbor ist eine Entscheidung der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Dateien rechtskonform auch in die USA zu übermitteln.Google ist dem Safe Harbor-Programm beigetreten. Nach Meinung mancher Landesdatenschutzbehörden in Deutschland ist der Beitritt zu dem Safe-Harbor-Programm nicht ausreichend, solange der Anbieter nicht mittels weiterer Maßnahmen die Einhaltung eines ausreichenden Datenschutzniveaus gewährleistet. Als zusätzliches Mittel zur Einhaltung der EU-Datenschutzrichtlinien  hat Google im Dezember 2012 die Verwendung der EU-Standardvertragsklauseln für europäische Google Apps Kunden eingeführt. Die Verwendung der EU-Standardvertragsklauseln trägt für die Übermittlung personenbezogener Daten an Google-Server außerhalb der EU zu einem angemessenen Datenschutzniveau bei.

Abschließend kann ich mich der Einschätzung von Thomas Cloer, Leitender Redakteur COMPUTERWOCHE vollumfänglich anschließen:
"[...]Die wenigsten Unternehmen dürften mit ihrer Infrastruktur aucn nur ansatzweise ein mit Googles Public Cloud vergleichbares Sicherheits- und Datenschutzniveau erreichen.[...]"

 

Topics: Google Cloud Connect, Datenschutz, Google Apps

Update für "Google Cloud Connect für Microsoft Office"

Veröffentlicht von Michael Herkens am 24.06.2011 06:00:00
Seit zwei Tagen ist ein Update für das PlugIn „Google Cloud Connect für Microsoft Office“ verfügbar. Nutzer können Dokumente direkt aus MS Office heraus öffnen. Das PlugIn lädt zunächst eine Liste aller verfügbaren Dokumente in Google Docs. Nutzern, die das PlugIn bereits installiert haben, steht der erweitere Funktionsumfang automatisch zur Verfügung.




Wie funktioniert Google Cloud Connect?
  • Synchronisieren und Freigeben von Dokumenten: Google Cloud Connect verfolgt, verwaltet und synchronisiert alle Änderungen in Ihren Microsoft Office-Dokumenten in eine aktualisierte Version für jedes Dokument. Jedes Dokument, das Sie über Google Cloud Connect synchronisieren, erhält eine eindeutige URL oder Web-Adresse, die Sie über Instant Messaging oder E-Mail mit Kollegen austauschen können. Abhängig von den Datenschutzeinstellungen, die Sie für das Dokument ausgewählt haben, können andere Personen auf diesen Link klicken und das Dokument im Browser anzeigen.
  • Gleichzeitig an Dokumenten arbeiten: Mit Google Cloud Connect können Sie problemlos Dokumente für andere Personen freigeben. Wenn Sie jemanden als Bearbeiter in einem Dokument hinzufügen, wird diese Person per E-Mail informiert, dass ein Dokument für sie freigegeben wurde. Von dieser E-Mail aus kann sie einen Link öffnen, um das Dokument im Browser anzuzeigen, oder wenn der Bearbeiter Änderungen vornehmen möchte – das Dokument herunterladen und in Microsoft Office öffnen. Wenn ein anderer Bearbeiter ein Dokument in Microsoft Office bearbeitet, werden alle Änderungen synchronisiert und auf Ihrem Bildschirm angezeigt.
  • Überarbeitungsverlauf: Mit Google Cloud Connect können Sie ein Dokument sowohl online als auch offline bearbeiten. Jedes Mal, wenn Sie ein Microsoft Office-Dokument synchronisieren, werden die Überarbeitungen gespeichert, sodass Sie problemlos auf eine frühere Version zurückgreifen können. Sie können jederzeit eine frühere Version eines Dokuments abrufen oder wiederherstellen. Klicken Sie dazu auf das Dokumenteinstellungssymbol und dann auf Revisionsverlauf anzeigen.
 

Topics: Cloud, Google Cloud Connect, Google Apps