FISMAtenten: über die Sicherheit von Google Apps
Sowohl Google als auch Microsoft vermarkten ihre Office-Webdienste als hinreichend sicher für den Einsatz in US-Behörden. Die Gültigkeit des diesbezüglichen FISMA-Zertifikats für die Google-Dienste wird jetzt aber von Microsoft bestritten.
Gemäß dem Federal Information Security Management Act (FISMA) müssen US-amerikanische Bundesbehörden jährlich überprüfen, ob ihre gespeicherten Daten und die Informationssysteme einschließlich der Dienste von Seiten externer Dienstleister ausreichende Datensicherheit gewährleisten. Für die Risikobewertung etwa eines externen IT-Diensts ist eine standardisierte Überprüfung durch die General Services Administration (GSA) erforderlich, die im Idealfall ein sogenanntes FISMA-Zertifikat für den Dienst nach sich zieht. Google war das erste IT-Unternehmen, das sich für seine Dienstplattform Google Apps for Government Mitte 2010 mit einem solchen FISMA-Zertifikat gebrüstet hat.
Dieses Zertifikat stellt nun Microsofts Vice President David Howard in Abrede und bezieht sich dabei auf eine jüngst offengelegte Gerichtsakte. Darin geht es um eine Klage seitens Google, das sich in einem Ausschreibungsverfahren für ein Cloud-gestütztes E-Mail-System im Juli 2010 für das US-Innenministerium benachteiligt gesehen und die US-Regierung daraufhin verklagt hat. Aus der Akte (PDF) zitiert Howard, Googles Apps for Government hätten kein FISMA-Zertifikat. Offenbar hat das beklagte Ministerium nachträglich eine Untersuchung angestrengt und im August entschieden, der Multi-Tenant-Ansatz (mit dem Google mehrere Regierungs-Anwender über eine gemeinsame Server-Anwendung bedient) entspräche nicht den ministeriellen Sicherheitsansprüchen. Dies gälte speziell deswegen, weil darin bundesstaatliche und lokale Einrichtungen gemeinsam bedient würden, die indes unterschiedliche Sicherheitsbedürfnisse hätten.
Im Dezember brachten die Regierungsberater heraus, dass Google zwar kein Zertifikat über Google Apps for Government vorlegen könne, weil dessen Beantragung noch in Arbeit sei. Sie erfuhren aber auf Nachfrage, Google Apps for Government sei eine Variante des sehr wohl zertifizierten Dienstes Google Apps Premier, von dem es sich nur durch weiter verschärfte Sicherheitsanforderungen unterscheide – zum Beispiel dadurch, dass Google die Regierungsanwender in speziell für sie reservierten Rechenzentren bedient. Die Akte macht indes nicht deutlich, wieso die Sicherheitsverschärfung des ursprünglich goutierten Google Apps Premier nach Auffassung der Prüfinstanz zu einem neuen Produkt mit inakzeptablen Sicherheitsmerkmalen geführt haben soll.
Pikanterweise kritisiert Howard nicht etwa die mangelhafte Sicherheit in Googles Cloud-Diensten, sondern Googles vermeintliche Praxis, Kunden mit Fehlinformationen zu irritieren. Kein Wunder, denn die Microsoft-Lösung, für die sich das Innenministerium entschieden hat, ist ihrerseits nicht FISMA-zertifiziert, wenn man Googles Entgegnung auf die Attacke glauben darf. (hps)
