Blog

Sicherheit bei Google Apps for Work - Teil 2: Sicher auf dem Markt

Veröffentlicht von Nino Flück am 05.09.2016 12:48:25

Im ersten Posting rund um das Thema Google Apps for Work habe ich einige Use-Cases zum Thema Sicherheit beschrieben; ein aufmerksamer Leser machte mich auf den Marktplatz von Google aufmerksam. Doch was ist das überhaupt, was macht es mit Ihrer Google Apps for Work Umgebung?


Ab auf den Markt… frische Apps holen


Ersteinmal sei gesagt, es gibt keinen zentralen Marktplatz. Bei uns in Köln gibt es in verschiedenen Stadtteilen jeweils eigene Märkte, teilweise mit denselben Händlern und den gleichen Produkten. So ungefähr sieht es auch bei Google aus, denn innerhalb des Google Universums gibt es verschiedene Märkte (oder Stores), aus denen man als Nutzer und Administrator Apps kaufen und herunterladen kann. Und diese sind alle über den eigenen Google Account aufrufbar:


Chrome Web Store

  • Der Chrome Webstore ist ein Marktplatz auf dem die in HTML oder JavaScript geschriebenen Applikationen gesammelt und auf einem Server gehostet werden. Einige dieser Apps nutzen möglicherweise spezielle Chrome API’s, um im Chrome Browser erweiterte Funktionen zu bieten, während andere auch in anderen Browsern funktionieren.
  • Um öffentliche Apps im Chrome Webstore zu veröffentlichen ist eine Registrierungsgebühr von $5 fällig.
  • Im Web Store finden Sie die Drive Addons, Chrome Extensions und Chrome Apps.
    chromest.png

 

Google Apps Marketplace

  • Der Google Apps Marketplace ist eine Google-Apps-exklusive Möglichkeit, Software für Ihre Domain zu aktivieren oder zu erwerben.
  • Um Apps im Google Apps Marketplace veröffentlichen zu können, ist eine Registrierungsgebühr von $5 fällig.

 

st.png

 

 

Google Playstore

  • Der Google Playstore ist ein Marktplatz für Android Apps.
  • Um Apps im Playstore zu veröffentlichen, ist eine Registrierungsgebühr von $25 fällig

ps.png

 

Selber Apps auf dem Marktplatz vertreiben: Privat oder Öffentlich


Wenn Apps in einem der Marktplätze veröffentlicht werden, gibt es hierfür zwei verschiedene Möglichkeiten der Veröffentlichung: diese kann öffentlich oder in einem privaten Kanal erfolgen. Öffentliche Apps können von jedem Nutzer, der Zugriff auf diese Marktplätze hat, installiert werden. Wenn eine App öffentlich veröffentlicht wird, kann diese App auch “ungelistet” veröffentlicht werden, sodass nur Personen, die über den Link verfügen, diese App installieren können. Eine ungelistete App kann jedoch nicht Bulkmäßig auf einer Google Apps Domain ausgerollt werden. Die Alternative zu dem ungelisteten Veröffentlichen von Apps ist der private Kanal. In diesem können private Apps veröffentlicht werden, auf die außerhalb des Google Apps Accounts nicht zugegriffen werden kann. Diese Einschränkung kann auch auf einzelne Organisationseinheiten heruntergebrochen werden. Beim privaten Kanal entfällt zudem die Registrierungsgebühr.


Sicherheit auf dem Markt

Eine neue App einem Google Apps Account hinzuzufügen, ist immer ein Sicherheitsrisiko. Jede App benötigt Zugriff auf verschiedene Daten - das kann vom Auslesen der E-Mail Adresse der Nutzer bis hin zu vollständigem Dokumenten-Zugriff oder dem Schreiben von E-Mails reichen.


Bei der erstmaligen Einrichtung einer App werden die Nutzer gefragt, ob Sie dieser App die entsprechenden Zugriffe auf ihren Account geben möchten, die Nutzer erfahren also direkt, was eine App theoretisch tun könnte. Doch was hinter den Kulissen passiert, ist nicht mehr so leicht nachzuvollziehen, denn eine App mit beispielsweise Vollzugriff auf Google Docs Vorlagen, kann unter Umständen auch Werbung in die Dokumentenfußzeile schreiben. Die Apps in den Marktplätzen werden nämlich nicht  von Google auf Richtigkeit oder Funktion überprüft.

Daher ist es wichtig, vor der Installation von neuen Apps zu überprüfen, ob es sich um eine vertrauenswürdige App handelt.

Es gibt immerhin verschiedene Wege, dieses Sicherheitsrisiko zu minimieren- die erste und sicherste Methode ist es, die Benutzung von Apps und Addons vollständig zu sperren.

Dies verwehrt den Nutzern die Möglichkeit, die Rechte überhaupt erst an ein solches Programm zu vergeben, verhindert jedoch auch, dass Ihre Nutzer sich die erweiterten Funktionalitäten dieser Apps zunutze machen. (Achtung: Dies verhindert NICHT die Installation von Marketplace Apps, die Sie administrativ verwalten können. Da Sie auch Addon’s über den Marketplace installieren können, haben Sie so weiterhin die Möglichkeit, Ihren Nutzern Addons zur Verfügung zu stellen). Sollten Sie Google Apps Unlimited Kunde sein, lassen sich diese Einstellungen per OU(s.o.) treffen.

Im Administratorpannel lässt sich unter “Nutzer” einsehen, welcher Nutzer welchen Apps welche Zugriffe auf seinen Account gegeben hat. Hier können diese Zugriffe ggf. auch zurückgezogen werden

Sollten Sie Nutzern die Installation dieser Apps erlauben, sollten Sie sie vorher für das Thema sensibilisieren. Indikatoren für eine vertrauenswürdige App sind beispielsweise Kundenbewertungen und Nutzungsbedingungen, Datenschutzerklärungen und Richtlinien zum Löschen des Anbieters.

Wenden Sie sich bei Fragen zur Evaluation der Sicherheit einer App am besten direkt an den Anbieter oder sprechen Sie direkt mit den Spezialisten von CLOUDPILOTS. In unserem Security Assessment überprüft ein Spezialist mit Ihnen mehr als 100 mögliche Sicherheitrisiken in Ihrer Google Apps for Work Umgebung, gibt Ihnen Hinweise zur Kommunikation von Sicherheitsrisiken an die User, bespricht diese mit Ihnen in einem WrapUp und erstellt für Sie einen Actionplan für Ihre Umgebung. Nutzen Sie die Möglichkeit und lassen Sie sich auf den neusten Stand zum Thema Sicherheit bei Google Apps bringen und machen Sie Ihre Arbeitsumgebung noch sicherer- für Sie, für Ihre Nutzer und Ihre Daten.

Topics: Security

Mail & Collaboration im Unternehmen - Google?....Google!

Veröffentlicht von Michael Herkens am 14.12.2015 18:00:00
Wenn wir an Google denken, denken wir an die Google Suche und Google Ads. Wir nutzen den Google Suchdienst und dafür gewähren wir die Möglichkeit, dass Anzeigen im Internet über das Google Werbenetzwerk zielgenau ausgeliefert werden kann können. Hier ist jeder Verbraucher, der die Google Suche nutzt, auch ein Teil des Werbesystems.

Mit “Google Apps for Work” bietet Google einen Dienst für Mail & Collaboration als Software-as-a-Service an. Das Wertschöpfungsmodell unterscheidet sich deutlich. Google verlangt EUR 40,00 pro Nutzer und Jahr bzw.EUR 96,00 pro Nutzer und Jahr für Google Apps Unlimited. Unternehmen und Organisationen, die Google Apps for Work einsetzen, bezahlen einen definierten Preis und erhalten einen definierten Service Level.

Mehr als fünf Millionen Unternehmen verwenden bereits Google Apps for Work. Darunter auch Konzerne wie der Basler Pharmariese Roche mit 90.000 Mitarbeitern. Datenschutz und Datensicherheit ist für jedes Unternehmen von höchster Bedeutung.



Daher hier
  1. Zertifizierter Datenschutz und Datensicherheit
  2. Data Loss Prevention für Gmail
  3. Führende Verschlüsselungstechnologie
  4. Zulässige Auftragsdatenverarbeitung
  5. Konsequente Investitionssicherheit
  6. Eingebauter Schutz gegen Identitätsdiebstahl
  7. Google Datenschutzerklärung
  8. Stabilität und Redundanz durch verteilte Rechenzentren
  9. Mobile Device Management
  10. Mail-Archivierung mit unbegrenztem Speicherplatz
 

Zertifizierter Datenschutz und Datensicherheit

Google Apps for Work ist gemäß ISO 27001, ISO 27018 sowie nach SOC 2 und SOC 3 Typ II zertifiziert. Die Prüfberichte sind öffentlich einsehbar. Google beschäftigt mehr als 500 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren, so Eran Feigenbaum, Director of Security, Google Apps im Enterprise Blog Beitrag vom 10.02.2015.  Das deutschsprachige Whitepaper zum Thema Sicherheit und Compliance von Google Apps for Work können Sie hier kostenlos anfordern.

Data Loss Prevention für Gmail

Data Loss Prevention (DPL) für Gmail ist eine zusätzliche Absicherungsschicht, die fremde Zugriffe auf vertrauliche Firmendaten und ein Durchsickern derselben verhindern soll. Diese Funktion ist für Kunden im Programm Google Apps Unlimited verfügbar. Die Funktionsweise des Systems beschreibt Suzanne Frey in einem Blogbeitrag, die als Director des Google-Apps-Teams für Sicherheit, Vertrauenswürdigkeit und Datenschutz zuständig ist.

Führende Verschlüsselungstechnologie

Google hat seine Server bereits 2011 auf Schlüsselaustausch mit Perfect Forward Secrecy (PFS) umgestellt. Dazu mehr im Artikel “Zukunftssicher verschlüsseln mit Perfect Forward Secrecy” auf heise.de. Google hat Mitte 2013 auf 2048-Bit-Zertifikate umgestellt

Zulässige Auftragsdatenverarbeitung

Google bietet für Google Apps for Work einen schriftlichen Cloud-Vertrag, einen Regelungskatalog des § 11 BDSG und stellt die technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) sicher. Google hat sich nicht nur auf das etwas ältere Safe Harbor gestützt, sondern bietet seit Ende 2012 die neueren und umfassenderen EU Model Contract Clauses (MCC). Die MCC wurden von der EU-Kommission entwickelt als Vertragsvorlage, die die Einhaltung der EU Datenschutzrichtlinie gewährleistet.
 

Konsequente Investitionssicherheit

Google unterstreicht sein Bekenntnis zur Wahlfreiheit des Anbieters. Diese erfahren unter www.Dataliberation.org, wie sie einfache Import- und Exportfunktionen erstellen, um ihre Daten schnell und unkompliziert in alle Google-Dienste zu im- und exportieren.

Eingebauter Schutz gegen Identitätsdiebstahl

Mit der optionalen 2-Faktor-Authentifizierung sind zwei unabhängige Faktoren für den Login erforderlich: Neben dem Nutzernamen und Passwort muss auch ein Bestätigungscode eingeben werden, wenn sich der Nutzer anmelden möchte. Seit April 2015 werden auch Security Keys unterstützt, die der U2F-Spezifikation folgen.

Google Datenschutzerklärung

In der deutschsprachigen Google Datenschutzerklärung vom 19. August 2015 finden Sie Informationen zu Transparenz und Wahlmöglichkeit, den Anwendungsbereich der Datenschutzerklärung, die Einhaltung von Vorschriften und Zusammenarbeit mit Regulierungsbehörden.

Stabilität und Redundanz durch verteilte Rechenzentren

Google unterhält eine Reihe geografisch verteilter Rechenzentren. Spezialisierte Teams garantieren den sicheren und störungsfreien Betrieb von Google Apps for Work. Die Lösung wird 365 Tage im Jahr rund um die Uhr überwacht. Qualifizierte Sicherheitsteams und der Einsatz neuester Technologien gewährleisten maximale Zugangs- und Übertragungssicherheit sowie permanente Verfügbarkeit (>99,9%) an allen Standorten. Das Apps Status Dashboard ist eine öffentliche Seite die Leistungsinformationen der Google Apps Dienste darstellt.  Dieses Dashboard kann genutzt werden, um zu jedem Zeitpunkt zu überprüfen, ob die Google Apps Services problemlos funktionieren oder ob etwa eine Störung vorliegen sollte.

Mobile Device Management

Administratoren können Geräterichtlinien für ihren Mobilgerätebestand über ihr Google Apps-Steuerungsfeld erzwingen oder bspw. auch per Remote-Zugriff Geräte sperren bzw. löschen sowie manipulierte Geräte identifizieren. Unterstützt werden Android, iOS, Windows Phone sowie Smartphones und Tablets mit MS Exchange ActiveSync, wie beispielsweise BlackBerry 10, verfügbar.

Mail-Archivierung mit unbegrenztem Speicherplatz

Google Vault bietet eine revisionssichere Archivierungsfunktion für Mails. Der Dienst kann optional für € 40,00 pro Nutzer und Jahr zugebucht werden. In Google Apps Unlimited ist Google Vault bereits enthalten. Nachrichten werden gemäß der individuellen Aufbewahrungsrichtlinien sicher archiviert.
 

Topics: Security, Google Apps

Mobile Datenkommunikation – Alles aber sicher.

Veröffentlicht von Michael Herkens am 13.06.2012 06:00:00
Eine neue Generation von Mitarbeitern erobert die Unternehmen und verlangt vor allem eines: Flexibilität. Die Leistungsfähigkeit von Mitarbeitern wird nicht mehr an den Stunden der Anwesenheit im Büro gemessen, sondern an deren Ergebnissen. Home-Office war gestern. Morgen wird der Zugriff auf wichtige Arbeitsunterlagen und Unternehmensdaten von überall mobil erfolgen. Wenn man den vor wenigen Tagen veröffentlichen „IDC Worldwide Mobile Phone Tracker Report“ betrachtet fallen zwei Dinge auf. Zum einen werden die stürmischen Zuwachsraten bestätigt und zum anderen bricht RIM mit dem Blackberry OS weiter dramatisch ein.
Quelle: IDC Worldwide Mobile Phone Tracker vom 24. Mai 2012
Dabei war es lange Zeit ein Alleinstellungsmerkmal, dass der Blackberry Enterprise Server (BES) einige relevante Sicherheitsfunktionen für den Unternehmenseinsatz bereitstellt. Wenn das Smartphone mit unternehmenskritischen Daten in die falschen Hände gerät, kann der Administrator durch das Fernlöschen oder Sperren der Geräte weiteren Schaden abwenden. Aufgrund solcher Funktionen setzen viele IT-Administratoren den BES gerne ein. Und die Anwender? Die haben gemäß des IDC-Reports andere Präferenzen. Da liegen Android und iOS in der Gunst weit vorne.

Gemäß den Marktbeobachtern von IDC werden weltweit 35 % der arbeitenden Bevölkerung bis zum Jahr 2013 mobil arbeiten, die sich dabei einer sehr heterogenen Endgerätelandschaft bedienen werden. Schon heutzutage arbeitet der Großteil der Arbeitnehmer weltweit zumindest zeitweise außerhalb des Büros. Kein Wunder: Mit dem mobilen Arbeiten zu jeder Zeit und von überall kann ein gewaltiges Plus an Produktivität verbunden sein. IDC geht davon aus, dass schon in diesem Jahr rund 20% aller deutschen Arbeitnehmer mobil arbeiten. In der Bereitstellung dieser Informationen liegt der Schlüssel zu einem zufriedenen Anwender. Und wenn die IT-Abteilung der Nachfrage nicht gerecht wird, nutzen die Anwender Technologien und mobile Endgeräte zur Erreichung ihrer beruflichen Ziele, die sie auch im privaten Umfeld verwenden – wie Android und iPhone.

„Bring your own Device“ oder kurz „BYOD“ ist ein globaler Trend, der die IT-Verantwortlichen in Deutschlands Unternehmen jedoch noch spaltet: Die einen sehen einen Mehrwert in der verbesserten Wettbewerbsfähigkeit durch die gesteigerte Mobilität. Die anderen hingegen befürchten den Kontrollverlust und IT-Gau durch virenverseuchte und mit Sicherheitslücken versehene Endgeräte. Mit Recht: Denn anders als PCs oder Laptops stehen insbesondere die mobilen Endgeräte, die derzeit boomen, in dem meisten Fällen nur unter der Administration des jeweiligen Nutzers. Bei Verlust oder Diebstahl sind Kosten für das Ersatzgerät verschwindend gering gegenüber den Folgekosten durch die Störungen im Betriebsablauf oder durch den Datenverlust. Eine Lösung bietet Google Apps.
Administratoren können die unter iOS, Android oder Windows Mobile betriebenen Geräte ihrer Nutzer mit einer Reihe von Mobile Device Management-Richtlinien verwalten, die darauf ausgerichtet sind, den Nutzern Zugriff auf ihre Daten zu gewähren und gleichzeitig die Sicherheit der Unternehmensinformationen zu gewährleisten. Diese Richtlinien umfassen die Fähigkeit, Daten per Remote-Zugriff von verloren gegangenen oder gestohlenen Geräten zu löschen, das Vorschreiben eines Gerätepassworts oder das Festlegen von Anforderungen für eine bestimmte Passwortstärke.
 

Topics: Security, Datenschutz, Google Apps, Android

Google 2-Faktor-Authentifizierung

Veröffentlicht von Michael Herkens am 14.09.2011 06:00:00
Mit der optionalen 2-Faktor-Authentifizierung, der Anmeldung am Google Apps Konto in zwei unabhängigen Überprüfungsverfahren, erhält Ihr Google Apps-Konto eine zusätzliche Sicherheitsebene. Denn Passwörter sind eine kritische Schwachstelle Web-basierter Dienste. Mit der 2-Faktor-Authentifizierung sind zwei unabhängige Faktoren für den Login erforderlich: Neben dem Nutzernamen und Passwort auch ein Bestätigungscode eingeben werden, wenn sich der Nutzer anmelden möchte.
Google Authentificator mit Nexus S

Damit ist das System auch resistent gegen das Ausspähen von Passwörtern, beispielsweise durch Malware oder die Unachtsamkeit des Nutzers. Auch wenn ein Passwort geknackt, erraten oder auf andere Art gestohlen wird, kann der Angreifer sich nicht ohne die Bestätigungscodes des entsprechenden Nutzers anmelden. Diese kann jedoch nur der Nutzer über sein eigenes Mobiltelefon abrufen.

Mit der Verbreitung von Smartphones lassen sich Passcode-Generatoren als Apps realisieren. Der Google Authenticator ist eine mobile Anwendung, mit deren Hilfe dem Smartphone ein temporärer Code erzeugt wird. Das mobile Endgerät benötigt dazu keine Netzwerkverbindung. Smartphone-Nutzern wird empfohlen, mithilfe von Google Authenticator sofort Bestätigungscodes zu generieren, um sich in ihren Google Apps-Konten anzumelden. Unterstützt werden Android (>2.1), BlackBerry (4.5–6.0) sowie das iPhone (>3.1.3). Ebenso kann der zusätzliche Prüfcode per SMS oder Telefon bereitgestellt werden.

Anmeldung am Google Apps Konto in zwei, unabhängigen Schritten
Wenn die Bestätigung in zwei Schritten konfiguriert ist, meldet sich der Nutzer zunächst normal am Google-Konto an, indem der Nutzernamen und das zugehörige Passwort eingeben wird. Daraufhin wird eine Seite für die Bestätigung in zwei Schritten angezeigt. Dann wird der Bestätigungscode aus Google Authenticator auf dem Telefon eingegeben.

Der Google Authenticator zeigt eine alle 60 Sekunden eine wechselnde 6-stellige Zahl (One-Time-Password, OTP) an. Der Preis für eine vergleichbare Funktionalität von Hardware- Key-Token liegt bei rd. 30 EUR, der Preis für die Server-Software bei einigen tausend EUR (je nach Lizenzgröße, Laufzeit der Token etc.).
 

Topics: Security, Google Apps, Android