Reaktion auf Vorfälle im Zusammenhang mit Kundendaten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Der Inhalt dieses Dokuments wurde im September 2022 zum letzten Mal aktualisiert und stellt den Stand zum Zeitpunkt der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google Cloud können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.

Die höchste Priorität von Google besteht darin, eine sichere Umgebung für Kundendaten zu verwalten. Zum Schutz von Kundendaten setzt Google branchenweit führende Maßnahmen für die Informationssicherheit ein, die stringente Prozesse, ein Expertenteam für die Reaktion auf Vorfälle sowie eine mehrschichtige Infrastruktur für die Informationssicherheit und den Datenschutz verbinden. In diesem Dokument wird unser wesentlicher Ansatz zur Verwaltung und Reaktion auf Datenvorfälle in Google Cloud erläutert.

Die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen definieren einen Datenvorfall als "einen Verstoß gegen die Sicherheit von Google, der zur versehentlichen oder rechtswidrigen Vernichtung, zu Verlust, Änderung, unberechtigten Offenlegung von oder unberechtigtem Zugriff auf Kundendaten in Systemen führt, die von Google verwaltet oder anderweitig kontrolliert werden." Während wir Maßnahmen ergreifen, um vorhersehbare Bedrohungen für Daten und Systeme zu beheben, umfassen Datenvorfälle keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit von Kundendaten nicht beeinträchtigen. Datenvorfälle sind beispielsweise keine fehlgeschlagenen Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder Netzwerksysteme.

Die Reaktion auf Vorfälle ist ein zentraler Aspekt unseres allgemeinen Sicherheits- und Datenschutzprogramms. Im Umgang mit Datenvorfällen verfolgen wir einen strengen Prozess. Darin sind Maßnahmen, Eskalationen, Risikominderungen, Lösungen und Benachrichtigungen zu potenziellen Vorfällen festgelegt, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten beeinträchtigen.

Weitere Informationen zum Schutz von Google Cloud finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur und der Sicherheit von Google Cloud.

Reaktion auf Datenvorfälle

Unser Programm zur Reaktion auf Datenvorfälle wird von Teams betreut, die sich aus Experten für zahlreiche Spezialfunktionen in Bezug auf die Vorfallreaktion zusammensetzen. So ist gewährleistet, dass jede Reaktion ideal auf den jeweiligen Vorfall und die damit verbundenen Herausforderungen abgestimmt ist. Je nach Art des Vorfalls kann das professionelle Reaktionsteam Experten aus den folgenden Teams umfassen:

  • Cloud-Vorfallmanagement
  • Produktentwicklung
  • Site Reliability Engineering
  • Cloud-Sicherheit und -Datenschutz
  • Digitale Forensik
  • Weltweite Untersuchungen
  • Signalerkennung
  • Sicherheit, Datenschutz und Produktberatung
  • Vertrauen und Sicherheit
  • Technologie zur Verhinderung von Missbrauch
  • Cloud Customer Care

Die Experten dieser Teams sind auf verschiedene Weise eingebunden. Incident Commander koordinieren beispielsweise die Reaktion auf Vorfälle, während das Team für digitale Forensik bei Bedarf forensische Untersuchungen durchführt und laufende Angriffe verfolgt. Produktentwickler arbeiten daran, die Auswirkungen auf Kunden zu begrenzen, und bieten Lösungen zur Behebung des bzw. der betroffenen Produkte. Der Rechtsbeistand arbeitet mit Mitgliedern der entsprechenden Sicherheits- und Datenschutzteams zusammen, um die Strategie von Google in Bezug auf Beweiserhebung umzusetzen, mit Strafverfolgungsbehörden und Regierungsbehörden zusammenzuarbeiten und bei rechtlichen Fragen und Anforderungen zu beraten. Der Kundendienst beantwortet Kundenanfragen und Anfragen zu zusätzlichen Informationen und weiterer Unterstützung.

Organisation der Teams

Wenn von uns ein Vorfall festgestellt wird, bestimmen wir einen Incident Commander, der die Reaktion und Lösung des Vorfalls koordiniert. Der Incident Commander wählt Spezialisten aus verschiedenen Teams aus und bildet ein Reaktionsteam. Der Incident Commander delegiert die Verantwortung zur Bearbeitung der verschiedenen Aspekte des Vorfalls an ausgewählte Experten seines Teams und betreut den Vorfall von der Feststellung bis zum Abschluss. Das folgende Diagramm zeigt diese Organisation verschiedener Rollen und ihre Verantwortlichkeiten während der Reaktion auf Vorfälle.

Organisation des Teams für die Reaktion auf Datenvorfälle

Reaktion auf Vorfälle im Zusammenhang mit Kundendaten

Jeder Datenvorfall ist einzigartig und das Ziel des Reaktionsprozesses bei einem Datenvorfall ist der Schutz von Kundendaten, die schnellstmögliche Wiederherstellung des normalen Dienstes und die Erfüllung sowohl gesetzlicher als auch vertraglicher Verpflichtungen. In der folgenden Tabelle werden die wichtigsten Schritte des Google-Programms zur Reaktion auf Vorfälle beschrieben.

Incident-Schritt Ziel Beschreibung
Erkennung Erkennung Automatisierte und manuelle Prozesse erkennen potenzielle Sicherheitslücken und Vorfälle.
Berichterstellung Automatisierte und manuelle Prozesse melden das Problem dem Team für die Reaktion auf Vorfälle.
Koordination Triage Die folgenden Aktivitäten erfolgen:
  • Der Bereitschaftsdienst wertet die Art des Vorfallberichts aus.
  • Der Bereitschaftsdienst bewertet den Schweregrad des Vorfalls.
  • Der Bereitschaftsdienst weist Incident Commander zu.
Reaktion des Reaktionsteam Die folgenden Aktivitäten erfolgen:
  • Incident Commander schließt eine Bewertung bekannter Fakten ab.
  • Incident Commander identifiziert Leads von relevanten Teams und bildet das Team für die Reaktion auf Vorfälle.
  • Das Team für die Reaktion auf Vorfälle bewertet den Vorfall- und Reaktionsaufwand.
Lösung Prüfung Die folgenden Aktivitäten erfolgen:
  • Das Team für die Reaktion auf Vorfälle erfasst wichtige Fakten zum Vorfall.
  • Zusätzliche Ressourcen werden nach Bedarf eingebunden, um eine schnelle Lösung zu ermöglichen.
Eingrenzung und Wiederherstellung Der Lead führt folgende Schritte sofort aus:
  • Begrenzen Sie den laufenden Schaden.
  • Beheben Sie das zugrunde liegende Problem.
  • Stellen Sie die betroffenen Systeme und Dienste wie gewohnt wieder her.
Kommunikation Die folgenden Aktivitäten erfolgen:
  • Dafür werden die wichtigsten Fakten ausgewertet, um festzustellen, ob eine Benachrichtigung geeignet ist.
  • Leiter von Communications-Entwicklern einen Kommunikationsplan mit geeigneten Leads.
Abschluss Erkenntnisse Die folgenden Aktivitäten erfolgen:
  • Das Team für die Reaktion auf Vorfälle überprüft den Vorfall und die Reaktion auf Vorfälle.
  • Der Befehl "Incident" legt Inhaber für langfristige Verbesserungen fest.
Kontinuierliche Verbesserungen Programmentwicklung Dafür werden erforderliche Teams, Schulungen, Prozesse, Ressourcen und Tools gewartet.
vermeiden Die Teams verbessern das Programm zur Reaktion auf Vorfälle basierend auf den gewonnenen Erkenntnissen.

In den folgenden Abschnitten werden die einzelnen Schritte genauer beschrieben.

Erkennung

Die frühzeitige und genaue Erkennung von Vorfällen ist für ein effektives Vorfallmanagement maßgebend. In der Identifizierungsphase liegt der Fokus auf der Überwachung von Sicherheitsereignissen, um potenzielle Datenvorfälle zu erkennen und zu melden.

Das Team für die Erkennung von Vorfällen setzt modernste Erkennungstools, Signale und Warnmechanismen ein, die frühzeitig auf mögliche Vorfälle hinweisen. Zu den Quellen der Vorfallerkennung gehören:

  • Automatisierte Analyse von Netzwerk- und System-Logs: Durch die automatisierte Analyse des Netzwerkverkehrs und von Systemzugriffen können verdächtige, missbräuchliche oder unbefugte Aktivitäten erkannt und an das Sicherheitspersonal eskaliert werden.

  • Testen: Das Sicherheitsteam sucht aktiv nach Sicherheitsbedrohungen. Dabei kommen Penetrationstests, Qualitätssicherungsmaßnahmen (QS), Intrusion Detection und Überprüfungen der Softwaresicherheit zum Einsatz.

  • Interne Codeüberprüfungen: Durch die Überprüfung von Quellcode werden versteckte Sicherheitslücken und Designfehler entdeckt und überprüft, ob wichtige Sicherheitskontrollen implementiert sind.

  • Produktspezifische Tools und Prozesse: Wenn möglich, werden automatisierte, speziell auf die Funktion des Teams bezogene Tools eingesetzt, damit wir Vorfälle auf Produktebene noch besser erkennen.

  • Erkennung von Nutzungsanomalien: Wir setzen viele Ebenen von Systemen für maschinelles Lernen ein, um zwischen sicheren und anomalen Nutzeraktivitäten bei Browsern, Geräten, Anmeldungsvorgängen bei Anwendungen und anderen Nutzungsereignissen zu unterscheiden.

  • Sicherheitswarnungen für Rechenzentren und Arbeitsplatzdienste: Sicherheitswarnungen in Rechenzentren suchen nach Vorfällen, die möglicherweise unsere Infrastruktur betreffen.

  • Google-Mitarbeiter: in Google-Mitarbeiter erkennt eine Anomalie und meldet diese.

  • Google-Prämienprogramm für die Meldung von Sicherheitslücken: Von Zeit zu Zeit melden externe Sicherheitsexperten potenzielle technische Sicherheitslücken in Google-eigenen Browsererweiterungen, mobilen Anwendungen und Webanwendungen, die die Vertraulichkeit oder Integrität von Nutzerdaten betreffen.

Koordination

Wenn ein Vorfall gemeldet wird, überprüft und bewertet der Bereitschaftsdienst die Art des Vorfalls, um festzustellen, ob dieser einen potenziellen Datenvorfall darstellt, und leitet den unseren Prozess für die Reaktion auf Vorfälle ein.

Nach der Bestätigung übergibt der Empfänger den Vorfall an einen Incident Commander, der die Art des Vorfalls beurteilt und einen koordinierten Ansatz für die Reaktion einrichtet. In dieser Phase umfasst die Reaktion das Abschließen der Bewertung des Vorfalls, bei Bedarf das Anpassen des Schweregrads und das Einleiten der Tätigkeiten des benötigten Reaktionsteams mit geeigneten operativen/technischen Leads, die die Fakten überprüfen und zentrale Bereiche ermitteln, die untersucht werden müssen. Wir bestimmen einen Product Lead und einen Legal Lead, die in Bezug auf die Reaktion zentrale Entscheidungen treffen. Der Incident Commander weist die Verantwortung für die Untersuchung zu und die Fakten werden zusammengestellt.

Viele Aspekte unserer Reaktion hängen von der Bewertung des Schweregrads ab. Dieser basiert auf wichtigen Daten, die das Team für die Reaktion auf Vorfälle sammelt und analysiert. Hier sind einige wichtige Fakten:

  • Schadenspotenzial für Kunden, Dritte und Google

  • Art des Vorfalls (z. B.: Wurden Daten möglicherweise vernichtet, wurde auf sie zugegriffen oder sind sie nicht verfügbar?)

  • Art der Daten, die eventuell betroffen sind

  • Auswirkungen des Vorfalls auf die Fähigkeit des Kunden, den Dienst zu nutzen

  • Status des Vorfalls (z. B.: Ist der Vorfall isoliert, fortgesetzt oder eingedämmt?)

Der Incident Commander und andere Leads bewerten diese Faktoren während der gesamten Reaktionszeit regelmäßig neu, wenn sich neue Informationen ergeben. So wird sichergestellt, dass unsere Reaktion die entsprechenden Ressourcen erhält und mit der gebotenen Dringlichkeit bearbeitet wird. Ereignissen mit der größten Auswirkung wird der höchste Schweregrad zugewiesen. Ein Communication Lead wird sodann ernannt, um mit anderen Leads einen Kommunikationsplan zu entwickeln.

Lösung

In der Auflösungsphase liegt der Fokus darauf, die Hauptursache zu untersuchen, die Auswirkungen des Vorfalls zu begrenzen, unmittelbare Sicherheitsrisiken, falls vorhanden, zu beseitigen, im Rahmen der Behebung notwendige Korrekturen durchzuführen und betroffene Systeme, Daten und Dienste wiederherzustellen.

Betroffene Daten werden nach Möglichkeit in den ursprünglichen Zustand zurückversetzt. Je nachdem, was bei einem bestimmten Vorfall angemessen und notwendig ist, können wir verschiedene Schritte einleiten, um ihn zu lösen. So müssen eventuell etwa technische oder forensische Untersuchungen durchgeführt werden, um die Hauptursache eines Problems zu rekonstruieren oder Auswirkungen auf Kundendaten zu ermitteln. Wir können versuchen, Kopien von Daten aus unseren Sicherungskopien wiederherzustellen, wenn Daten missbräuchlich geändert oder vernichtet wurden.

Ein zentraler Aspekt bei der Korrektur ist die Benachrichtigung von Kunden, wenn Vorfälle ihre Daten betreffen. Dafür werden die wichtigsten Fakten während des gesamten Vorfalls ausgewertet, um festzustellen, ob hierdurch Daten von Kunden betroffen sind. Ist daraufhin die Benachrichtigung von Kunden angebracht, leitet der Incident Commander den Benachrichtigungsprozess ein. Der Communications Lead entwickelt mit Informationen vom Product Lead und vom Legal Lead einen Kommunikationsplan, informiert die Betroffenen und unterstützt danach Kundenanfragen mit der Hilfe unseres Kundendienstes.

Wir bemühen uns, Benachrichtigungen umgehend und mit eindeutigen und genauen Informationen bereitzustellen. Dazu gehören die bekannten Details des Datenvorfalls, Schritte, die wir zur Minderung der potenziellen Risiken unternommen haben, und Maßnahmen, die wir Kunden empfehlen, um den Vorfall zu beheben. Wir tun unser Bestmögliches, um ein klares Bild des Vorfalls zu vermitteln, damit Kunden ihre eigenen Mitteilungspflichten beurteilen und diesen nachkommen können.

Abschluss

Nach erfolgreicher Korrektur und Lösung eines Datenvorfalls wertet das Team für die Reaktion auf Vorfälle die aus dem Vorfall gezogenen Erkenntnisse aus. Wenn der Vorfall kritische Punkte aufwirft, kann der Incident Commander eine retrospektive Analyse einleiten. Bei diesem Prozess überprüft das Team für die Reaktion auf Vorfälle die Ursache des Vorfalls und unsere Reaktion und identifiziert die wichtigsten Verbesserungsbereiche. In einigen Fällen können hierbei Gespräche mit verschiedenen Produkt-, Entwickler-, und Operations-Teams erforderlich und Arbeiten zur Verbesserung von Produkten notwendig sein. Sind Nachbearbeitungen erforderlich, entwickelt das Team für die Reaktion auf Vorfälle einen Maßnahmenplan, um diese Arbeiten durchzuführen, und beauftragt Projektmanager für die langfristige Umsetzung. Nach vollständiger Durchführung der Korrekturmaßnahmen ist der Vorfall abgeschlossen.

Kontinuierliche Verbesserungen

Bei Google ist das Ziel, aus jedem Vorfall zu lernen und vorbeugende Maßnahmen zu ergreifen, um zukünftige Vorfälle zu vermeiden.

Mit den umsetzbaren Informationen aus der Vorfallanalyse sind wir in der Lage, unsere Tools, Schulungen, Prozesse, das allgemeine Sicherheits- und Datenschutzprogramm, Sicherheitsrichtlinien und die Reaktionsmaßnahmen zu verbessern. Darüber hinaus erleichtern die wichtigsten Erkenntnisse, bei Entwicklungsmaßnahmen Prioritäten zu setzen und bessere Produkte zu gestalten.

Sicherheits- und Datenschutzexperten verbessern unser Programm, indem sie unsere Sicherheitspläne für alle Netzwerke, Systeme und Dienste überprüfen und projektspezifische Beratungsdienste für Produkt- und Entwicklungsteams bereitstellen. Sicherheits- und Datenschutzexperten stellen maschinelles Lernen, Datenanalyse und andere neue Methoden bereit, um verdächtige Aktivitäten in unseren Netzwerken zu überwachen, Bedrohungen der Informationssicherheit anzugehen, routinemäßige Sicherheitsbewertungen und -prüfungen durchzuführen und externe Experten mit regelmäßigen Sicherheitsbewertungen zu beauftragen. Darüber hinaus hat Project Zero das Ziel, gezielte Angriffe zu verhindern, indem Fehler an Softwareanbieter gemeldet und in einer externen Datenbank erfasst werden.

Wir führen regelmäßig Schulungen und Aufklärungskampagnen durch, um Innovation in Bezug auf Sicherheit und Datenschutz voranzutreiben. Die für dedizierte Reaktionen auf Datenvorfälle zuständigen Mitarbeiter erhalten Schulungen in forensischer Analyse und Verarbeitung von Beweismitteln, wobei auch Tools von Drittanbietern und urheberrechtlich geschützte Tools verwendet werden. In zentralen Bereichen wie Systemen, auf denen vertrauliche Kundeninformationen gespeichert werden, werden Tests zu Prozessen und Verfahren für die Reaktion auf Vorfälle durchgeführt. Dabei werden verschiedene Szenarien berücksichtigt, darunter auch Bedrohungen von innen und Sicherheitslücken in Software. So können wir uns mit diesen Tests besser auf Sicherheits- und Datenschutzvorfälle vorbereiten.

Unsere Prozesse werden im Rahmen unserer Programme für ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 und FedRAMP regelmäßig getestet. Damit liefern wir unseren Kunden und den Aufsichtsbehörden einen Nachweis über die unabhängige Überprüfung unserer Kontrollen für Sicherheit, Datenschutz und Compliance. Eine Liste der Drittanbieter-Zertifizierungen für Google Cloud finden Sie im Zentrum für Compliance-Ressourcen.

Fazit

Der Datenschutz steht für unser Unternehmen im Mittelpunkt. Wir investieren kontinuierlich in unser umfassendes Sicherheitsprogramm, unsere Ressourcen und unser Know-how, sodass unsere Kunden sich darauf verlassen können, dass wir im Falle eines Vorfalls effektiv reagieren, Kundendaten schützen und die hohe Zuverlässigkeit gewährleisten, die sie von einem Google-Dienst erwarten.

Unser erstklassiges Programm zur Reaktion auf Datenvorfälle bietet folgende wichtige Funktionen:

  • Einen auf branchenführenden Methoden aufbauenden Prozess zur Lösung von Vorfällen, der für einen effizienten Betrieb im Google-Maßstab optimiert wurde

  • Wegweisende Überwachungssysteme, Datenanalyse und maschinelles Lernen, um Vorfälle proaktiv zu erkennen und einzudämmen

  • Spezialisierte Experten, die auf Datenvorfälle jeder Art und Größenordnung reagieren können.

  • Einen ausgereiften Prozess für die unverzügliche Benachrichtigung betroffener Kunden gemäß den Verpflichtungen von Google in unseren Nutzungsbedingungen und Kundenvereinbarungen.

Weiteres Vorgehen