Public Cloud-Anbieter Google
Warum Ihre Daten sicherer sind, als Sie dachten
19.01.2011
Von Christa Manta
Von Cloud Computing erhoffen sich Anbieter geringere Kosten und mehr Effizienz. Was die Sicherheit und Vertraulichkeit ihrer Daten angeht, gibt es aber noch Bedenken. Eran Feigenbaum (Bild), Director of Security und John Collins, Trust Manager bei Google Enterprise, erklären in einem Webcast, was Google dafür tut, dass Unternehmensdaten in der Cloud sicher sind. Wir haben die wichtigsten Punkte in einer Bildergalerie zusammengefasst.
- Das Google Cloud-Angebot im Überblick
> Bei Google Apps for Business handelt es sich um webbasierte Unternehmenslösungen wie E-Mail, Text & Tabellen oder Kalender. <br> > Über den Google Marketplace können ergänzende Cloud-Anwendungen von Drittanbietern eingebunden werden, zum Beispiel für das Projekt- oder Kundenmanagement. <br> > Und schließlich stellt die Google App Engine for Business eine Plattform dar, um eigene Anwendungen zu entwickeln und zu hosten. <br> Zugang zu den Unternehmensdaten in der Cloud haben die Anwender von überall – ob über den Web-Browser des PCs oder von mobilen Geräten aus, wie iPhone oder Android-Smartphones. - Sind die Daten bei Google sicher?
Praktisch, wenn die Unternehmensdaten überall verfügbar sind - im Büro, im Home Office oder beim Kunden. Aber CIOs und Sicherheitsverantwortliche beschäftigt die Frage: Sind geschäftskritische Daten in der Google Cloud auch wirklich sicher? - Wo liegen die Daten heute?
Eran Feigenbaum, Director of Security bei Google Enterprise, stellt die seiner Meinung nach entscheidende Gegenfrage: „Wo liegen meine Daten heute?“ <br> 60 Prozent der Unternehmensdaten würden ungeschützt auf PCs oder Laptops lagern. Ist das sicher? Jeder zehnte Laptop wird innerhalb des ersten Jahres nach dem Kauf gestohlen. Auch gehen mehr als 66 Prozent aller USB-Sticks verloren – samt darauf gespeicherter vertraulicher Unternehmensdaten. <br> Das Problem ist laut Feigenbaum, dass Anwender von On-Premise-Lösungen Mittel und Wege finden müssen, ihre Daten zu transportieren, um zum Beispiel auch von zu Hause oder von unterwegs aus zu arbeiten. Also nehmen sie sie auf USB-Sticks mit, schicken sie an die private E-Mail-Adresse oder packen sie auf den persönlichen Laptop – und gehen damit Sicherheitsrisiken ein, die sie in der Cloud nicht hätten. - Sicherheit und das Patching-Problem
Unternehmen arbeiten mit verschiedenen Betriebssystemen unterschiedlicher Versionen sowie zahlreichen Anwendungen. In regelmäßigen, aber nicht übereinstimmenden Abständen halten die Hersteller Sicherheits-Patches für die einzelnen Betriebssysteme und Applikationen bereit. CIOs und Sicherheitsverantwortliche müssen die Updates einzeln prüfen und aufspielen – eine zeitintensive Aufgabe. Im Durchschnitt vergehen zwischen dem Release eines Betriebssystem-Patches und seinem Aufspielen 25 bis 60 Tage. Zeit genug für Hacker und Cyberkriminelle, die Schwachstellen im Programm auszunutzen. - Wie wichtig sind Zertifizierungen?
Da es keine spezielle Technologie oder spezifischen Standards für Cloud-Computing gibt, hängt die Sicherheit der Daten in der Cloud laut Feigenbaum ganz vom Cloud-Anbieter ab. Unternehmen sollten sich genau über die Standards des Anbieters für Vertraulichkeit, Integrität und Verfügbarkeit informieren – zum Beispiel über die Prüfverfahren und Zertifizierungen, die er absolviert hat. - Wie Google den Sicherheitsanforderungen begegnet
- Mit eigenen, gehaerteten, also auf die wesentlichen Aufgaben reduzierten Server - alle Dienste, Funktionen oder Komponenten, die nicht unbedingt gebraucht werden, werden deaktiviert. <br> - Mit einer speziell gebauten, gehaerteten, Linux-basierten Software-Architektur <br> - Mit Simplizität: In einer homogenen Umgebung können Updates und Patches sehr schnell eingespielt werden. - Wo Google die Daten ablegt
Google hat keine dezidierten Server für einzelne Kunden, sondern eine Reihe mandantenfähiger Server. Auf diesen werden die Daten von Endkunden, Unternehmenskunden und sogar die Google-eigenen Unternehmensdaten mehrfach repliziert und abgelegt, ohne dass die einzelnen Mandanten Einblick in die Daten oder die Benutzerverwaltung des jeweils anderen haben. Bei einem Server-Ausfall oder einem technischen Problem bleibt so die Verfügbarkeit der Daten gewährleistet. - Wie Google die Daten ablegt
Google hat ein eigenes auf Linux basierendes, verteiltes Dateisystem entwickelt, um die Daten zu speichern - das Google File System. Am Beispiel einer E-Mail erklärt, funktioniert dies folgendermaßen: Eine E-Mail - oder jede andere Datei - wird zunächst in einzelne kleine Chunks gespalten. Diese Teile werden in mehrfacher Kopie über die ganze Server-Infrastruktur und sogar über unterschiedliche Rechenzentren hinweg verteilt. Fällt ein Chunk-Server oder sogar ein ganzes Rechenzentrum aus, können die E-Mails trotzdem ohne Weiteres wieder hergestellt werden. Die Dateinamen werden den Chunks willkürlich zugeordnet, so dass nicht nachvollziehbar ist, welche E-Mail wem gehört, und die Inhalte der Chunks werden verschlüsselt gespeichert – zwei weitere Sicherheitsvorteile gegenüber herkömmlichen E-Mail-Umgebungen. - Maßnahmen zur Netzwerksicherheit
Das Google-Netzwerk wird über mehrere Verteidigungsschichten vor Angriffen von außen geschützt. Dazu gehören laut Feigenbaum eine strikte Kontrolle seiner Netzwerkinfrastruktur und ein sehr genaues Wissen über die „ingress-“ und „degress“-points, also über die Stellen, die einen Zugang oder ein Abgang von Daten ermöglichen. Die Google Frontends sind sehr homogen gestaltet und sehen identisch aus. Bei jeder Kommunikation mit einer Google Property, ob es die Suche ist, Google Mail oder Google Text & Tabellen, muss der Anwender über ein Google Frontend gehen. Das hat den Vorteil, dass nur eine Stelle vor Angriffen geschützt werden muß. <br> Außerdem hat Google einen größenbedingten Vorteil: Da der Anbieter täglich mehr als zwei Milliarden E-Mails verarbeitet, weiß er sehr schnell über Spam- oder Angriffswellen Bescheid und kann entsprechend reagieren. - Maßnahmen bei Sicherheitsvorfällen
Eine gutes Sicherheitskonzept muss sich daran messen lassen, wie ein Anbieter im Ernstfall reagiert. Am Anfang der Sicherheitskontrolle steht das Monitoring. Die Google-Server werden unaufhörlich mit einem so genannten Google Standard Gold Image verglichen. Sobald eine binäre Abweichung auftaucht und auf einen Angriff hindeutet, wird der Vorfall einem Sicherheitsteam gemeldet, das rund um die Uhr verfügbar ist. - Neues Sicherheitsfeature - zweistufige Authentifizierung
Ein besonderes Sicherheitsfeature hat Google im September 2010 für seine Dienste vorgestellt: die zweistufige Authentifizierung. Anwender können sich wie gewohnt mit einem persönlichen Passwort in die Google Anwendungen einloggen, anschließend erfolgt jedoch eine zweite Abfrage nach einem Verifizierungscode. Diesen Code erhält man per SMS oder Sprachanruf, oder über eine entsprechende App für das Mobiltelefon oder Smartphone. - Sind die Daten in der Cloud vertraulich?
Wichtige Fragen, die Cloud- und somit auch Google-Kunden beschäftigen, sind laut John Collins, ob die Daten in der Cloud privat sind, wie es um den Schutz der Daten steht und wem die Daten gehören, die ein Anwender in der Cloud ablegt. Collins, Trust Manager bei Google Enterprise betont, dass Kundendaten in der Google-Cloud dem Kunden gehören. Dieser behält die volle Kontrolle über seine Daten, kann sie löschen oder transferieren wann und wohin er will. Insbesondere für Anwenderunternehmen aus Europa ist es wichtig zu wissen, dass der Kunde stets Herr seiner Daten bleibt und Google keinerlei Rechte an diesen hat. - Datenschutz nach Außen
Auch wird Google keine Daten von und persönliche Informationen über Kunden oder Anwenderunternehmen mit Dritten teilen. <br> Um transparent zu machen, auf welche Daten der Gesetzgeber Zugriff hat, hat Google den so genannten Google Transparency Report initiiert. Auf einer Google Map ist eingezeichnet, aus welchen Ländern Google Anfragen der Regierung bekommen hat, Inhalte zu löschen, beispielsweise für Suchergebnisse. Neben der Anzahl ist aufgeführt, welche Löschanfragen sich durchgesetzt haben. In Deutschland waren es zwischen Januar und Juni 2010 668 Löschgesuche seitens der Behörden, von denen 124 umgesetzt wurden. Erhält der Anbieter die Anfrage einer Regierung nach Unternehmensdaten, wird diese standardmäßig immer zuerst an das Unternehmen weitergeleitet. Die wenigen Ausnahmen werden in der so genannten Privacy Policy beschrieben. <br> Für Unternehmen, die in Europa angesiedelt oder über Ländergrenzen hinweg tätig sind: Google ist US / EU Safe Harbor zertifiziert. Bei Safe Harbor (Sicherer Hafen) handelt es sich um eine zwischen der EU und den USA getroffene Vereinbarung, wonach sicherstellt, dass ein angemessenes Datenschutzniveau vorliegt, wenn personenbezogene Daten in die USA übermittelt werden. Desweiteren sind Google Apps SAS 70 Type II- und FISMA-zertifiziert. - Datenschutz nach Innen
John Collins betont, dass bereits bei der Software-Entwicklung Sicherheit und Datenschutz im Mittelpunkt stehen. <br> Im Unternehmen wird das Modell des „least privilege access“ angewandt. Das bedeutet, dass jeder Mitarbeiter nur die Rechte erhält, die er unbedingt braucht. <br> Vor ihrer Einstellung werden alle Google-Mitarbeiter auf ihren Hintergrund überprüft sowie sorgfältig trainiert und eingewiesen. <br> Schließlich seien Sicherheit und Datenschutz zentraler Bestandteil der Firmenkultur bei Google, so Collins. - Transparenz- und Kontroll-Tools für Kunden und Anwenderunternehmen
Google gibt den Anwenderunternehmen und Kunden eine Reihe von Tools an die Hand, um die Sicherheit und den Schutz der Daten zu erhöhen. <br> Im Google Dashboard können Anwender sehen, welche Daten Google zu ihrem Account gespeichert hat und für wen diese Daten freigegeben sind. Über das Dashboard können Einstellungen und Paßwörter verwaltet und verändert werden. <br> Administratoren von Google Apps können Sicherheits- und Datenschutz-Einstellungen über das Control Panel vornehmen. So kann zum Beispiel über die Rechteverwaltung der Zugriff auf Dokumenten gesteuert oder unterbunden werden. <br> Und schließlich werden im Google Apps Status Dashboard die aktuellen Informationen zur Systemleistung und über den Status der Google Apps für den Service einer Domain angezeigt.