Reaktion auf Vorfälle im Zusammenhang mit Kundendaten

PDF-Version herunterladen

Einführung

Die Aufrechterhaltung einer sicheren Umgebung für Kundendaten hat für Google Cloud höchste Priorität. Zum Schutz von Kundendaten setzt Google branchenweit führende Maßnahmen für die Informationssicherheit ein, die stringente Prozesse, ein hoch qualifiziertes Team und eine mehrschichtige Infrastruktur für die Informationssicherheit und den Datenschutz verbinden. In diesem Whitepaper liegt der Fokus auf dem wesentlichen Ansatz, den Google beim Umgang mit und in Reaktion auf Datenvorfälle in Google Cloud verfolgt.

Die Reaktion auf Vorfälle ist ein zentraler Aspekt des gesamten Sicherheits- und Datenschutzprogramms von Google. Im Umgang mit Datenvorfällen verfolgen wir einen strengen Prozess. Darin sind Maßnahmen, Eskalationen, Risikominderungen, Lösungen und Benachrichtigungen zu potenziellen Vorfällen festgelegt, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten beeinträchtigen.

Ein Datenvorfall wird bei Google als ein Verstoß gegen die Sicherheit von Google definiert, der zu versehentlichen oder rechtswidrigen Vernichtungen, Verlusten, Änderungen, zu unberechtigter Offenlegung von oder unberechtigtem Zugriff auf Kundendaten in Systemen führt, die von Google verwaltet oder anderweitig kontrolliert werden. Google ergreift Maßnahmen im Hinblick auf vorhersehbare Bedrohungen für Daten und Systeme. Datenvorfälle umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit von Kundendaten nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

So trägt Google zum Schutz von Kundendaten bei

Die Sicherheit von Kundendaten ist von größter Bedeutung. Sicherheit ist aber das Ergebnis der Zusammenarbeit zwischen Google und dem Kunden. Während Google die zugrunde liegende Cloud-Infrastruktur und die entsprechenden Dienste sichert, obliegt dem Kunden der Schutz seiner Anwendungen, Geräte und Systeme, wenn er auf der Cloud-Infrastruktur von Google aufbaut. Google bietet Kunden Hilfestellungen und mehrere Sicherheitsfunktionen, mit denen sie Sicherheitsmaßnahmen auf Google-Niveau implementieren können.

  • Identitäts- und Zugriffsverwaltung

  • Standardmäßige Verschlüsselung inaktiver Daten und von Daten bei der Übertragung, d. h. ohne zusätzlichen Aufwand seitens des Kunden

  • Multi-Faktor-Authentifizierung, einschließlich Phishing-resistenter Hardware-Schlüssel der zweiten Authentifizierungsstufe

  • Zahlreiche Optionen für die Netzwerksicherheit, darunter Virtual Private Cloud (VPC) und Shared VPC, integrierter DDoS-Schutz für SaaS-Lösungen (Software as a Service), PaaS-Lösungen (Platform as a Service) sowie die Option, diese auch für IaaS-Lösungen (Infrastructure as a Service) einzusetzen

  • Detailliertes Audit-Logging

Weitere Informationen zum Schutz der Cloud durch Google finden Sie im Whitepaper Übersicht über das Sicherheitsdesign der Infrastruktur von Google und in der dazugehörigen Präsentation zur Sicherheit auf der Google Cloud Next '18 sowie auf der Website zur Sicherheit von Google Cloud.

Google sorgt dafür, dass Kunden über die Dienste, die sie in Google Cloud verwenden, den Überblick behalten. Das Sicherheitscenter für die G Suite bietet ihnen dabei die Möglichkeit, Probleme mit Gmail, Drive, Geräten, OAuth und Nutzerkonten zu verhindern, zu erkennen und zu beheben. Bei der GCP verhält es sich ganz ähnlich. Kunden können das Cloud Security Command Center verwenden, um organisationsübergreifend einen Einblick in ihre Ressourcen, Sicherheitslücken, Risiken und Richtlinien zu erhalten.

Kunden obliegt es ihrerseits, Sicherheitsfunktionen ordnungsgemäß zu konfigurieren, sodass diese ihren eigenen Anforderungen genügen. Außerdem müssen kundenseitig Softwareupdates installiert und Netzwerksicherheitszonen und Firewalls eingerichtet werden. Weiterhin muss sichergestellt werden, dass Endnutzer die Anmeldedaten ihrer Konten schützen und vertrauliche Daten Unbefugten nicht zugänglich machen.

Abbildung 1 zeigt ein anschauliches Beispiel dafür, wie sich die Verantwortung zwischen dem Kunden und Google je nach Umfang der vom Kunden genutzten verwalteten Dienste ändert. Wechselt der Kunde von lokalen Lösungen zu Cloud-Angeboten wie IaaS, PaaS und SaaS, liegt ein Großteil der Verwaltung der Cloud-Dienste bei Google und dem Kunden fallen weniger Sicherheitsaufgaben zu.

Weitere Informationen zu Cloud-Sicherheitskonfigurationen finden Sie in der Dokumentation des jeweiligen Produkts.

Diagramm zu Verantwortlichkeiten

Reaktion auf Datenvorfälle

Das Google-Programm zur Reaktion auf Datenvorfälle wird von Teams betreut, die sich aus Experten für zahlreiche Spezialfunktionen in Bezug auf die Vorfallreaktion zusammensetzen. So ist gewährleistet, dass jede Reaktion ideal auf den jeweiligen Vorfall und die damit verbundenen Herausforderungen abgestimmt ist. Je nach Art des Vorfalls kann das professionelle Reaktionsteam Folgendes umfassen:

  • Cloud-Vorfallmanagement
  • Produktentwicklung
  • Site Reliability Engineering
  • Cloud-Sicherheit und -Datenschutz
  • Digitale Forensik
  • Weltweite Untersuchungen
  • Signalerkennung
  • Sicherheit, Datenschutz und Produktberatung
  • Vertrauen und Sicherheit
  • Technologie zur Verhinderung von Missbrauch
  • Kundensupport

Die Fachleute in diesen Teams sind auf verschiedene Weise eingebunden. Incident Commander koordinieren beispielsweise die Reaktion auf Vorfälle, während das Team für digitale Forensik bei Bedarf laufende Angriffe erkennt und forensische Untersuchungen durchführt. Produktentwickler arbeiten daran, die Auswirkungen auf Kunden zu begrenzen, und bieten Lösungen zur Behebung des bzw. der betroffenen Produkte. Die Rechtsabteilung arbeitet mit Mitgliedern der entsprechenden Sicherheits- und Datenschutzteams zusammen, um die Strategie von Google in Bezug auf Beweiserhebung umzusetzen, mit Strafverfolgungsbehörden und Regierungsbehörden zusammenzuarbeiten und bei rechtlichen Fragen und Anforderungen zu beraten. Supportmitarbeiter beantworten Kundenanfragen und Anfragen zu zusätzlichen Informationen und weiterer Unterstützung.

Organisation der Teams

Wenn von uns ein Vorfall festgestellt wird, bestimmen wir einen Incident Commander, der die Reaktion und Lösung des Vorfalls koordiniert. Der Incident Commander wählt Spezialisten aus verschiedenen Teams aus und bildet ein Reaktionsteam. In Abbildung 2 ist dargestellt, wie Reaktionsvorgänge typischerweise organisiert sind. Der Incident Commander delegiert die Verantwortung zur Bearbeitung der verschiedenen Aspekte des Vorfalls an ausgewählte Experten seines Teams und betreut den Vorfall von der Feststellung bis zum Abschluss. Abbildung 2 zeigt die Organisation verschiedener Rollen und ihre Verantwortlichkeiten während der Reaktion auf Vorfälle.

Organisation des Teams für die Reaktion auf Datenvorfälle

Reaktion auf Vorfälle im Zusammenhang mit Kundendaten

Jeder Datenvorfall ist einzigartig und das Ziel des Reaktionsprozesses bei einem Datenvorfall ist der Schutz von Kundendaten, die schnellstmögliche Wiederherstellung des normalen Dienstes und die Erfüllung sowohl gesetzlicher als auch vertraglicher Verpflichtungen. Das Google-Programm zur Reaktion bei Datenvorfällen folgt folgendem Ablauf:

Workflow für die Reaktion auf Vorfälle

Erkennung

Die frühzeitige und genaue Erkennung von Vorfällen ist für ein starkes und effektives Vorfallmanagement maßgebend. In dieser Phase liegt der Fokus auf der Überwachung von Sicherheitsereignissen, um potenzielle Datenvorfälle zu erkennen und zu melden.

Das Google-Team für die Erkennung von Vorfällen setzt modernste Erkennungstools, Signale und Warnmechanismen ein, die frühzeitig auf mögliche Vorfälle hinweisen.

Zur Erkennung von Vorfällen zieht Google unter anderem folgende Quellen heran:

  • Automatisierte Analyse von Netzwerk- und System-Logs – durch die automatisierte Analyse des Netzwerkverkehrs und von Systemzugriffen können verdächtige, missbräuchliche oder unbefugte Aktivitäten erkannt und an das Sicherheitspersonal von Google eskaliert werden.

  • Testen – das Sicherheitsteam von Google sucht aktiv nach Sicherheitsbedrohungen. Dabei kommen Penetrationstests, Qualitätssicherungsmaßnahmen (QS), Intrusion Detection und Überprüfungen der Softwaresicherheit zum Einsatz.

  • Interne Codeüberprüfungen – durch die Überprüfung von Quellcode werden versteckte Sicherheitslücken und Designfehler entdeckt und überprüft, ob wichtige Sicherheitskontrollen implementiert sind.

  • Produktspezifische Tools und Prozesse – wenn möglich, werden automatisierte, speziell auf die Funktion des Teams bezogene Tools eingesetzt, damit Google Vorfälle auf Produktebene noch besser erkennt.

  • Erkennung von Nutzungsanomalien – Google setzt viele Ebenen von Systemen für maschinelles Lernen ein, um zwischen sicheren und anomalen Nutzeraktivitäten bei Browsern, Geräten, Anmeldungsvorgängen bei Anwendungen und anderen Nutzungsereignissen zu unterscheiden.

  • Sicherheitswarnungen für Rechenzentren und/oder Arbeitsplatzdienste – Sicherheitswarnungen in Rechenzentren suchen nach Vorfällen, die möglicherweise die Unternehmensinfrastruktur betreffen.

  • Google-Mitarbeiter – ein Google-Mitarbeiter erkennt eine Anomalie und meldet diese.

  • Google-Prämienprogramm für die Meldung von Sicherheitslücken – von Zeit zu Zeit melden externe Sicherheitsexperten potenzielle technische Sicherheitslücken in Google-eigenen Browsererweiterungen, mobilen Anwendungen und Webanwendungen, die die Vertraulichkeit oder Integrität von Nutzerdaten betreffen.

Koordination

Wenn ein Vorfall gemeldet wird, überprüft und bewertet der Bereitschaftsdienst die Art des Vorfalls, um festzustellen, ob dieser einen potenziellen Datenvorfall darstellt, und leitet den Google-Prozess für die Reaktion auf Vorfälle ein.

Nach der Bestätigung wird der Vorfall an einen Incident Commander übergeben, der dessen Art beurteilt und einen koordinierten Ansatz für die Reaktion einrichtet. In dieser Phase umfasst die Reaktion das Abschließen der Bewertung des Vorfalls, bei Bedarf das Anpassen des Schweregrads und das Einleiten der Tätigkeiten des benötigten Reaktionsteams mit geeigneten operativen/technischen Leads, die die Fakten überprüfen und zentrale Bereiche ermitteln, die untersucht werden müssen. Wir bestimmen einen Product Lead und einen Legal Lead, die in Bezug auf die Reaktion zentrale Entscheidungen treffen. Der Incident Commander weist die Verantwortung für die Untersuchung zu und die Fakten werden zusammengestellt.

Viele Aspekte der Reaktion von Google hängen von der Bewertung des Schweregrads ab. Dieser basiert auf wichtigen Daten, die das Team für die Reaktion auf Vorfälle sammelt und analysiert. Dazu gehören zum Beispiel:

  • Schadenspotenzial für Kunden, Dritte und Google

  • Art des Vorfalls (z. B.: Wurden Daten möglicherweise vernichtet, wurde auf sie zugegriffen oder sind sie nicht verfügbar?)

  • Art der Daten, die eventuell betroffen sind

  • Auswirkungen des Vorfalls auf die Nutzung des Dienstes durch Kunden

  • Status des Vorfalls (z. B.: Ist der Vorfall isoliert, fortgesetzt oder eingedämmt?)

Der Incident Commander und andere Leads bewerten diese Faktoren während der gesamten Reaktionszeit regelmäßig neu, wenn sich neue Informationen ergeben. So wird sichergestellt, dass die Reaktion von Google die entsprechenden Ressourcen erhält und mit der gebotenen Dringlichkeit bearbeitet wird. Ereignissen mit der größten Auswirkung wird der höchste Schweregrad zugewiesen. Ein Communication Lead wird sodann ernannt, um mit anderen Leads einen Kommunikationsplan zu entwickeln.

Lösung

In dieser Phase liegt der Fokus darauf, die Hauptursache zu untersuchen, die Auswirkungen des Vorfalls zu begrenzen, unmittelbare Sicherheitsrisiken, falls vorhanden, zu beseitigen, im Rahmen der Behebung notwendige Korrekturen durchzuführen und betroffene Systeme, Daten und Dienste wiederherzustellen.

Betroffene Daten werden nach Möglichkeit in den ursprünglichen Zustand zurückversetzt. Je nachdem, was bei einem bestimmten Vorfall angemessen und notwendig ist, kann Google verschiedene Schritte einleiten, um ihn zu lösen. So müssen eventuell etwa technische oder forensische Untersuchungen durchgeführt werden, um die Hauptursache eines Problems zu rekonstruieren oder Auswirkungen auf Kundendaten zu ermitteln. Google kann versuchen, Kopien von Daten aus den Google-eigenen Sicherungskopien wiederherzustellen, wenn Daten missbräuchlich geändert oder vernichtet wurden.

Ein zentraler Aspekt bei der Korrektur ist die Benachrichtigung von Kunden, wenn Vorfälle ihre Daten betreffen. Dafür werden die wichtigsten Fakten während des gesamten Vorfalls ausgewertet, um festzustellen, ob hierdurch Daten von Kunden betroffen sind. Ist daraufhin die Benachrichtigung von Kunden angebracht, leitet der Incident Commander den Benachrichtigungsprozess ein. Der Communications Lead entwickelt mit Informationen vom Product Lead und vom Legal Lead einen Kommunikationsplan, informiert die Betroffenen und unterstützt danach Kundenanfragen mit der Hilfe unseres Supportteams.

Google ist bestrebt, Benachrichtigungen umgehend und mit eindeutigen und genauen Informationen bereitzustellen. Dazu gehören die bekannten Details des Datenvorfalls, Schritte, die Google zur Minderung der potenziellen Risiken unternommen hat, und Maßnahmen, die Google den Kunden empfiehlt, um den Vorfall zu beheben. Wir tun unser Bestmögliches, um ein klares Bild des Vorfalls zu vermitteln, damit Kunden ihre eigenen Mitteilungspflichten beurteilen und diesen nachkommen können.

Abschluss

Nach erfolgreicher Korrektur und Lösung eines Datenvorfalls wertet das Team für die Reaktion auf Vorfälle die aus dem Vorfall gezogenen Erkenntnisse aus. Wenn der Vorfall kritische Punkte aufwirft, kann der Incident Commander eine retrospektive Analyse einleiten. Bei diesem Prozess überprüft das Team für die Reaktion auf Vorfälle die Ursache(n) des Vorfalls und die Reaktion von Google und identifiziert die wichtigsten Verbesserungsbereiche. In einigen Fällen können hierbei Gespräche mit verschiedenen Produkt-, Entwickler-, und Operations-Teams erforderlich und Arbeiten zur Verbesserung von Produkten notwendig sein. Braucht es Nachbearbeitungen, entwickelt das Team für die Reaktion auf Vorfälle einen Maßnahmenplan, um diese Arbeiten durchzuführen, und beauftragt Projektmanager für die langfristige Umsetzung. Nach vollständiger Durchführung der Korrekturmaßnahmen ist der Vorfall abgeschlossen.

Kontinuierliche Verbesserungen

Bei Google ist das Ziel, aus jedem Vorfall zu lernen und vorbeugende Maßnahmen zu ergreifen, um zukünftige Vorfälle zu vermeiden.

Mit den umsetzbaren Informationen aus der Vorfallsanalyse sind wir in der Lage, unsere Tools, Schulungen und Prozesse, das allgemeine Sicherheits- und Datenschutzprogramm von Google, Sicherheitsrichtlinien und/oder die Reaktionsmaßnahmen zu verbessern. Darüber hinaus erleichtern die wichtigsten Erkenntnisse, bei Entwicklungsmaßnahmen Prioritäten zu setzen und bessere Produkte zu gestalten.

Die Sicherheits- und Datenschutzexperten von Google verbessern das Sicherheitsprogramm, indem sie die Sicherheitspläne des Unternehmens für alle Netzwerke, Systeme und Dienste überprüfen und projektspezifische Beratungsdienste für Produkt- und Entwicklungsteams bereitstellen. Dabei kommen maschinelles Lernen, Datenanalyse und andere neue Methoden zum Einsatz, um verdächtige Aktivitäten in den Netzwerken von Google zu überwachen, Bedrohungen der Informationssicherheit anzugehen, routinemäßige Sicherheitsbewertungen und -prüfungen durchzuführen und externe Experten mit regelmäßigen Sicherheitsbewertungen zu beauftragen. Darüber hinaus hat unser Vollzeit-Team – als Project Zero bezeichnet – das Ziel, gezielte Angriffe zu verhindern, indem Fehler an Softwareanbieter gemeldet und in einer externen Datenbank erfasst werden.

Google führt regelmäßig Schulungen und Aufklärungskampagnen durch, um Innovation in Bezug auf Sicherheit und Datenschutz voranzutreiben. Die für Reaktionen auf Datenvorfälle zuständigen Mitarbeiter erhalten Schulungen in forensischer Analyse und Verarbeitung von Beweismitteln, wobei auch Tools von Drittanbietern und proprietäre Tools verwendet werden. In zentralen Bereichen wie Systemen, auf denen vertrauliche Kundeninformationen gespeichert werden, werden Tests zu Prozessen und Verfahren für die Reaktion auf Vorfälle durchgeführt. Dabei werden verschiedene Szenarien berücksichtigt, darunter auch Bedrohungen von innen und Sicherheitslücken in Software. So können wir uns mit diesen Tests besser auf Sicherheits- und Datenschutzvorfälle vorbereiten.

Die Prozesse von Google werden im Rahmen unserer Programme für ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 und FedRAMP regelmäßig getestet. Damit liefern wir unseren Kunden und den Aufsichtsbehörden einen Nachweis über die unabhängige Überprüfung unserer Kontrollen für Sicherheit, Datenschutz und Compliance. Eine umfassendere Liste der externen Zertifizierungen von Google Cloud finden Sie hier.

Fazit

Wie oben beschrieben, verfügt Google über ein erstklassiges Programm zur Reaktion auf Vorfälle. Dieses stellt folgende zentrale Funktionen bereit:

  • Einen auf branchenführenden Methoden aufbauenden Prozess zur Lösung von Vorfällen, der für einen effizienten Betrieb im Google-Maßstab optimiert wurde

  • Wegweisende Überwachungssysteme, Datenanalyse und maschinelles Lernen, um Vorfälle proaktiv zu erkennen und einzudämmen

  • Spezialisierte Experten, die auf Datenvorfälle jeder Art und Größenordnung reagieren können

  • Einen ausgereiften Prozess für die unverzügliche Benachrichtigung betroffener Kunden gemäß den Verpflichtungen von Google in unseren Nutzungsbedingungen und Kundenvereinbarungen

Der Datenschutz steht für Google im Zentrum seiner geschäftlichen Interessen. Wir investieren kontinuierlich in unser umfassendes Sicherheitsprogramm, unsere Ressourcen und unser Know-how, sodass unsere Kunden sich darauf verlassen können, dass wir im Falle eines Vorfalls effektiv reagieren, ihre Daten schützen und die hohe Zuverlässigkeit gewährleisten, die sie von einem Google-Dienst erwarten.