Google Apps mit Sicherheitszertifikat
Google hat seine Maßnahmen zur Sicherheitsüberwachung seiner Cloud-Anwendungen Google Apps bezüglich die Norm ISO 27001 zertifizieren lassen.
Der Cloud-Anbieter Google hat sich vom anerkannten Auditierungsunternehmen Ernst & Young CertifyPoint überprüfen lassen und die Bescheinigung erhalten, dass seine Maßnahmen für die Datensicherheit seiner Google Apps der internationalen Norm ISO 27001 entsprechen. Das daraufhin errungene Zertifikat ist ein wichtiges, wenn auch nicht allein hinreichendes Kriterium für Unternehmen, wenn sie die Sicherheit empfindlicher, zum Beispiel personenbezogener Daten beim Speichern und Bearbeiten in der Cloud bewerten wollen. Allerdings steckt die ISO-Norm nur einen Rahmen ab, wie das zertifizierte Unternehmen seine selbst formulierten Sicherheitsansprüche umsetzt – zum Beispiel, mit welchen Schritten es als inakzeptabel eingestufte Sicherheitsrisiken eindämmt. Darüber, wann ein Risiko als inakzeptabel gelten soll, macht die Norm jedoch keine konkreten Vorgaben.
Wir befragten Eran Feigenbaum, Sicherheitschef für den Bereich Google Enterprise, nach den konkreten Maßnahmen seines Unternehmens, erhielten aber im Wesentlichen die Antwort, gerade aus Sicherheitsgründen sei die Dokumentation der einzelnen Vorkehrungen nicht für die Öffentlichkeit bestimmt – ein Standpunkt, den zum Beispiel der Mitbewerber Microsoft teilt. Während aber Microsoft, das für verschiedene seiner Online-Dienste entsprechende Zertifikate um den Jahreswechsel 2011/2012 erlangt hatte, diese Pauschalangaben seitenweise konkretisiert und sich zum Beispiel zum Schutz gegen internationale Nachforschungsforderungen just an der "Orientierungshilfe - Cloud Computing" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (PDF)ausgerichtet hat, bezog Feigenbaum gegenüber heise online eine einfachere Position: Im Prinzip müsse jedes Unternehmen für sich herausfinden, ob der Schutzbedarf seiner Daten beim Cloud Computing erfüllt werde, und im Übrigen sei es ein Sicherheitsfeature, dass Daten bei Google Apps auf zahlreichen, im Einzelfall unbekannten Servern gespeichert würden. Das erschwere Angreifern das Handwerk.
Eine Sonderlösung, wie Google sie mit der Government-Edition seiner Apps in den USA eingerichtet hat, sei für europäische Kunden – staatlich oder privat – nicht zu erwarten, dafür sei das absehbare Nutzungsvolumen zu gering. Ähnlich wie Microsoft dies mit gesonderten Gebühren für Großunternehmen anbietet, offeriert Google US-amerikanischen Behördenkunden eine separate Cloud, deren Nutzer sich die Resourcen ausschließlich untereinander teilen müssen, nicht aber mit allen anderen Cloud-Kunden. (hps)
