Google veröffentlicht Ergebnisse unabhängiger Sicherheitschecks

Google hat einen ungewöhnlichen Schritt unternommen, um zu belegen, dass sein Engagement für Datenschutz echt ist. Erstmals veröffentlicht es eine unabhängige Sicherheitsüberprüfung ebenso wie das Resultat einer Sicherheitszertifizierung nach ISO 27001.

Gegenstand der Prüfung nach SOC 3 Typ II und der (bestandenen) ISO-Zertifizierung waren Google Apps for Business, Google Apps for Education und die Google Cloud Platform. Erstmals wurden auch Google Hangouts und das Soziale Netz Google+ geprüft beziehungsweise zertifiziert.

Es handelt sich um international bekannte und anerkannte Sicherheitsstandards. SOC 3 ist eine kürzere Alternative zu SOC 2 für Rechenzentren. Das ISO-Zertifikat spezifiziert laut Wikipedia „die Anforderungen an Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.“

Mit der Veröffentlichung der detaillierten Ergebnisse erleichtert Google es Kritikern potenziell, Einwände gegen seine Praxis zu erheben. Eran Feigenbaum, Security Director für Google Apps, hat diesbezüglich aber wenig Bedenken. „Das ist ein großer Schritt voran für unsere Transparenz.“ Das Ziel sei es, Kunden offenzulegen, „wer ihre Daten schützt – und wie.“

Feigenbaum erklärt auch, solche Reports müssten in jedem Kalenderjahr erneuert werden, um gültig zu bleiben. Die Arbeiten dauerten etwa drei Monate. Abgedeckt würden vier Bereiche: Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Darunter fallen Themen wie Verhindern nicht autorisierter Zugriffe auf Daten, Einhaltung von Service-Level Agreements etwa zu Ausfallquoten im Rechenzentrum, und Maßnahmen, um Verwendung von Anwenderdaten in nicht zulässiger Weise zu verhindern.

Google beschäftigt mehr als 450 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren. Nach den Veröffentlichungen zu NSA-Zugriffen auf Rechenzentren von beispielsweise Apple, Microsoft, Yahoo oder eben Google bemüht es sich, seine Maßnahmen gegen solche Abhörversuche ins rechte Licht zu rücken. „Es ist wichtig, dass Unternehmenskunden das Ausmaß der Sicherheitsmaßnahmen eines Rechenzentrums sehen“, sagt Feigenbaum.

Google veröffentlicht auch regelmäßige Transparenzberichte zu Regierungsanfragen nach Nutzerdaten. Es klärt die Öffentlichkeit etwa auch über Löschanträge wegen persönlichkeitsverletzender Verweise in der Suchmaschine und wegen gegen das Urheberrecht verstoßender Links auf.

[mit Material von Dara Kerr, News.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.