Google veröffentlicht Security-Audits

Google hat Google Apps for Business sowie die Google Cloud-Plattform gemäß ISO 27001 rezertifizieren und Audits nach SOC 2 und SOC 3 Typ II unterziehen lassen. Ebenso wurden jetzt auch Google+ und Hangout in die Auditierung eingebunden. In dem Beitrag im Google Enterprise Blog wurden sowohl das bereits im April aufgefrischte ISO-27001-Zertifikat als auch der von Mitte Juli datierende SOC-3-Prüfbericht veröffentlicht. Vorher waren die Zertifikate bei Google nur auf Anfrage einsehbar.

Zertifiziert gem. ISO 27001 durch Ernst & Young CertifyPoint

Eran Feigenbaum, Director of Security of Google Apps, erklärt auch, solche Reports müssten in jedem Kalenderjahr erneuert werden, um gültig zu bleiben. Die Arbeiten dauerten etwa drei Monate. Abgedeckt würden vier Bereiche: Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Darunter fallen Themen wie Verhindern nicht autorisierter Zugriffe auf Daten, Einhaltung von Service-Level Agreements etwa zu Ausfallquoten im Rechenzentrum, und Maßnahmen, um Verwendung von Anwenderdaten in nicht zulässiger Weise zu verhindern.

Google beschäftigt mehr als 450 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren. Nach den Veröffentlichungen zu NSA-Zugriffen auf Rechenzentren von beispielsweise Apple, Microsoft, Yahoo oder eben Google bemüht es sich, seine Maßnahmen gegen solche Abhörversuche ins rechte Licht zu rücken. “Es ist wichtig, dass Unternehmenskunden das Ausmaß der Sicherheitsmaßnahmen eines Rechenzentrums sehen”, sagt Feigenbaum.

Sicherheit ist kein Frage des Standortes

Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so?

Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die, wie von Eran Feigenbaum beschrieben, regelmäßig von externen Drittanbietern geprüft werden.

Aber dürfen personenbezogenen Daten nach außerhalb der EU übermittelt werden? 

Wenn personenbezogene Daten - also „Angaben, anhand derer natürliche Personen bestimmbar sind“ - ausgelagert werden, ist eine gesetzliche Legitimation für die Datenübermittlung erforderlich. Die etablierte Lösung ist die Auftragsdatenverarbeitung. Diese erfordert

• einen schriftlichen Cloud-Vertrag
• einen Regelungskatalog
• Sicherstellung der technische und organisatorische Maßnahmen zum Datenschutz

Die o.g. Punkte sind unabhängig vom Standort des Dienstleisters zu beachten und gelten bei der Übermittlung personenbezogener Daten auch für Managed Services in Deutschland. ​ ​Gemäß den gesetzlichen Regelungen darf die Übermittlung personenbezogener Daten nach außerhalb der EU nur in solche Staaten erfolgen, die als sog. sichere Drittstaaten über ein ausreichendes gesetzliches Datenschutzniveau verfügen. ​ ​Daher muß bei der Auswahl eines Cloud Service Provider​ ​wie Google, Microsoft oder IBM ​ ​für Mail & Collaboration​ ​Dienste​ ergänzend zu den o.g. Punkten folgendes beachte​t werden​:

Safe Harbor ist eine Entscheidung der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Dateien rechtskonform auch in die USA zu übermitteln. Google ​ ​ist​ ​dem Safe Harbor-Programm beigetreten. Nach Meinung mancher Landesdatenschutzbehörden in Deutschland ist der Beitritt zu dem Safe-Harbor-Programm nicht ausreichend, solange der Anbieter nicht mittels weiterer Maßnahmen die Einhaltung eines ausreichenden Datenschutzniveaus gewährleistet. Als zusätzliches Mittel zur Einhaltung der EU-Datenschutzrichtlinien  hat Google im Dezember 2012 die Verwendung der EU-Standardvertragsklauseln für europäische Google Apps Kunden eingeführt. Die Verwendung der EU-Standardvertragsklauseln trägt für die Übermittlung personenbe​​​zogener Daten an Google-Server außerhalb der EU zu einem angemessenen Datenschutzniveau bei.

Abschließend kann ich mich der Einschätzung von Thomas Cloer, Leitender Redakteur COMPUTERWOCHE vollumfänglich anschließen:

"[...]Die wenigsten Unternehmen dürften mit ihrer Infrastruktur aucn nur ansatzweise ein mit Googles Public Cloud vergleichbares Sicherheits- und Datenschutzniveau erreichen.[...]"