Datenschutz bei Google Workspace

Datenschutz bei Google Workspace

Aus eigenem Interesse heraus. Und weil ich Google Workspace nutze, habe ich mir nun mal die Mühe gemacht und die Whitepapers angesehen, den Datenschutz betreffend. Google wird ja immer als die große böse Firma aus den amerikanischen Staaten angesehen. Und bei vielen als rechte Hand des US-amerikanischen Staates angesehen. Ich möchte das nicht unbedingt immer unterschreiben, dass Google böses mit unseren Daten vorhat.

Ja, es gibt diese US-Amerikanischen Gesetze die es den Behörden erlaubt aus Gründen der nationalen Sicherheit, auf die Daten zuzugreifen. Dies kommt gerade für private Google Mail und Drive Konten zum Tragen, da man bei diesen Konten kein Datencenter auswählen kann. Bei Google Workspace Konten kann man dies sowohl. Ich habe damals natürlich direkt als Erstes das europäische Datencenter ausgewählt. Um die Daten vor Schnüffelei so sicher zu haben, ist ungewiss. Aber ich hoffe das Google hier den europäischen Gesetzen nachkommt. Mehr als hoffen kann man bei allen kommerziellen Anbietern nicht.

Interessante Berichte der Niederländischen Regierung bezüglich Google Workspace. Ist in dem Beitrag von Mike Kuketz verlinkt.

https://social.tchncs.de/@kuketzblog/105938179721804836

Sowie der Artikel von „the Register“ .

Die Whitepapers

Verschlüsselung

Mich hat insbesondere das Whitepaper interessiert, wo es explizit um die verschlüsselung der Runen Daten geht. In einem Absatz steht folgendes.

[…]Wie im vorherigen Abschnitt beschrieben, werden Dateien oder Datenstrukturen mit
mit vom Kunden erstellten Inhalten, die von Google Workspace geschrieben wurden, in
Chunks unterteilt, von denen jeder mit seinem eigenen Chunk-Datenverschlüsselungsschlüssel
(„Chunk-Schlüssel“) verschlüsselt. Jeder Chunk-Schlüssel wird durch einen anderen Schlüssel verschlüsselt, den sogenannten Wrapping
Schlüssel, der von einem Google-weiten Schlüsselverwaltungsdienst (KMS) verwaltet wird. Das
Ergebnis ist ein „umhüllter“ (verschlüsselter) Chunk-Schlüssel, der zusammen mit den
verschlüsselten Daten gespeichert wird. Die Wrapping-Schlüssel, die zum Entschlüsseln der verschlüsselten Chunk-Schlüssel und
Chunk-Schlüssel und damit zur Entschlüsselung des Chunks benötigt werden, sind nur dem KMS bekannt und werden niemals
in unverschlüsselter Form gespeichert.
Ent- und Verschlüsselungsvorgänge an Chunk-Schlüsseln werden innerhalb des
KMS durchgeführt. Der umhüllte Chunk-Schlüssel wird von einem Speichersystem an das KMS gesendet als
Anforderung zum Entpacken (Entschlüsseln) an das KMS gesendet, um auf die verschlüsselten Daten zugreifen zu können. Das
KMS authentifiziert das anfragende System und prüft die Anfrage sowohl auf
ACLs auf Systemebene und pro verschlüsseltem Schlüssel.
Wenn die Anfrage autorisiert ist, wird der Chunk-Schlüssel im KMS entschlüsselt und an das Speichersystem zurückgegeben.
und an das Speichersystem zurückgegeben, das nun diesen Chunk-Schlüssel zur Entschlüsselung dieses bestimmten
Datenpakete entschlüsseln. Diese Chunk-Schlüssel werden, wie unten beschrieben, während der Übertragung verschlüsselt.
Dieser Vorgang wird wiederholt, bis alle Chunks, aus denen eine bestimmte Datei oder Datenstruktur besteht, entschlüsselt sind.
entschlüsselt sind, so dass die Daten der anfordernden Anwendung zur Verfügung stehen.

Ich nehme allein aus diesen zitierten Absatz die Schlussfolgerung, dass die ruhenden Daten mehrfach verschlüsselt sind.

Die KMS-Wrapping-Schlüssel, die die Chunk-Schlüssel verschlüsseln, sind 128-Bit- oder stärkere AES-Schlüssel. In einer Grafik wurde das ganze Verschlüsselungsverfahren veranschaulicht.

Wer sich das komplette Whitepaper ansehen möchte, kann sich dieses hier herunterladen.

Trennung der Daten sowie der Zugriff darauf.

Um die Daten privat und sicher zu halten, isoliert Google die Daten eines jeden Kunden logisch von denen anderer Kunden und Nutzer, selbst wenn sie
auf demselben physischen Server gespeichert sind.

Nur eine kleine Gruppe von Google-Mitarbeitern hat
Zugang zu den Kundendaten. Google-Mitarbeitern wird nur eine begrenzte Anzahl von Standardberechtigungen gewährt, um
auf Unternehmensressourcen zugreifen, wie z. B. Mitarbeiter-E-Mails und das Google-interne
Mitarbeiterportal. Anträge auf zusätzlichen Zugriff folgen einem formalen Prozess
der eine Anfrage und eine Genehmigung von einem Daten- oder Systemeigentümer beinhaltet,
Manager oder anderen Führungskräften, wie in den Sicherheitsrichtlinien von Google vorgeschrieben.

Nach dem gApps Security und Compliance Whitepaper zu urteilen gibt es einige Möglichkeiten die Daten vor ungewolltem Zugriff von extern zu schützen.

  • 2-step verification
  • Single Sign On
  • OAuth 2.0 and OpenID Connect

Die zwei Faktor Authentifizierung sollte eigentlich jeder aktiv haben, solange der genutzte Dienst dies unterstützt. Es sind noch lange nicht alle so weit, aber es werden immer mehr Dienste.

Eine Schwachstelle sind die 3rd Party Apps, die in Google Drive genutzt werden können. Da kann man sich nicht sicher sein, wie bei deren Infrastruktur mit den Daten anderer umgegangen wird. Auch wenn es dort auch Richtlinien gibt, sollte man nicht jeder App blind vertrauen.

Emails werden verschlüsselt übertragen

Die E-Mails werden standardmäßig immer verschlüsselt übertragen, dass verhindert das andere Zugriff auf den Datenverkehr bekommen während der Übertragung. Das Transport Layer Security (TLS) Protokoll ermöglicht eine sichere Übertragung zwischen Server und Client. Das Verfahren ist vereinfacht gesprochen eine Kombination aus Verschlüsselung, Authentifizierung und Datenintegrität. Dabei wird ein Schlüsselpaar verwendet, um Identitäten zu authentifizieren und um über das Internet übertragende Informationen, z.b. über HTTPS (Web) und IMAPS/POP3S/SMTPS (Mail), zu verschlüsseln.

Mein persönliches Fazit:

Habe mich immer gefragt, wie Google mit den Daten geht, gerade bei Google Workspace Konten. Die Whitepapers haben mir dabei etwas geholfen und bestätigt mich in meiner Vermutung, dass Workspace Kunden besser abgesichert sind als private Google-Konten. Es gibt einem ein etwas besseres Gefühl, wenn man seine Daten in Europa abspeichern kann, auch wenn ich es selber nicht für Enterprise konnten zahlt um den Verlauf der Daten Umverlagerung nach Europa nach verfolgen zu können. Aber allein die Tatsache, dass die Daten in Europa gespeichert werden und auch verschlüsselt werden, gibt einem ein besseres Gefühl beim täglichen Nutzen der Daten.

Es mag viele geben, die auch zurecht in Google gegenüber sehr, sehr skeptisch sind. Ich bin,,, aber im Google Universum gelandet, auch wegen des besitzen der Google Watch und das Pixel 6 Pro. Aktuell gefällt es mir, da können jetzt viele Buh-Rufe kommen aber ich stehe dazu. Ich glaube den Apple Nutzern, dann geht es genauso. Einmal in der Bubble drin, kommt man nicht mehr so schnell raus, weil die Cloud-Dienste einfach funktionieren, ohne dir Gedanken machen zu müssen, wie es läuft und ob es läuft.