Business- und Education-Kunden der Workspace-Kategorien Enterprise Plus, Education Plus und Education Standard von Google können ab sofort erweiterte Sicherheitsfeatures nutzen. Damit können sie ein noch höheres Niveau an Datenschutz und -sicherheit erreichen, um ihre digitale Souveränität wirkungsvoll abzusichern.
Ermöglicht wird dies durch eine clientseitige Verschlüsselung (CSE) für alle wesentlichen Workspace-Dienste, die in Zusammenarbeit verschiedener Google Teams – darunter auch das in München ansässige Google Safety Engineering Center (GSEC) – dem weltweiten Hub für Security Engineering von Google entwickelt wurde.
Datenschutzverordnungen und Compliance-Richtlinien setzen Unternehmen einen engen Rahmen für den Umgang mit Informationen. Insbesondere die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), das die Vorgaben der DSGVO ins deutsche Recht überträgt, legen Organisationen strenge Regeln in puncto Datenverarbeitung auf. Die Konsequenzen für Datenschutzverstöße sind für Unternehmen bekanntermaßen drastisch und umfassen neben Geldbußen auch Reputationsverluste bei Kunden und Partnern. Um dem entgegenzuwirken, müssen Organisationen bei ihren Daten höchste Sicherheitsstandards anwenden. Ein entscheidender Faktor dabei ist die Verschlüsselung von sensiblen Daten.
Client Side Encryption: Die Datenhoheit behalten
Schon im letzten Jahr hat Google die clientseitige Verschlüsselung (CSE) für seine Dienste Google Drive, Docs, Slides, Sheets sowie die Videokonferenzlösung Meet aktiviert. Mit CSE werden die Daten auf der Client-Seite verschlüsselt, bevor sie an einen Dienstleister (z. B. den Server von Google) weitergeleitet werden – zusätzlich zur Verschlüsselung während der Übertragung und am endgültigen Speicherort. Seit Februar dieses Jahres können Kunden, die über eine Lizenz für Google Workspace Enterprise Plus oder Google Workspace for Education Plus verfügen, CSE für den E-Mail-Dienst Gmail und den Google Kalender aktivieren. Bei CSE sind Unternehmen die alleinigen Eigentümer ihrer kryptografischen Schlüssel. Diese sind nur der jeweiligen Firma bekannt und stehen für das Verschlüsseln sensibler Daten ausschließlich diesem zur Verfügung. Da Googles Dienste cloud-nativ sind, erfolgt die Verschlüsselung auf dem Gerät des Nutzers, ohne dass zusätzliche Software installiert werden muss. Eine solche Verschlüsselung bietet Unternehmen mehrere Vorteile in Bezug auf Datensicherheit und -schutz. Dadurch, dass die Verschlüsselungsschlüssel nur dem Unternehmen selbst gehören, kann Google als Bereitsteller des Cloud-Speichers weder auf die Schlüssel zugreifen, um gespeicherte Daten zu entschlüsseln und auszulesen noch Dritten Zugang zu den Daten ermöglichen. Auf diese Weise unterstützt CSE die Einhaltung der DSGVO durch die datenverarbeitenden Kunden, wonach personenbezogene Daten nicht für Dritte zugänglich sein dürfen.
Welche Daten werden verschlüsselt?
In der Praxis bedeutet CSE in Google Workspace: Nutzer:innen können E-Mails senden und empfangen sowie Kalendereinträge erstellen, wobei ihre sensiblen Daten bereits verschlüsselt sind, bevor sie die Google-Server erreichen. Bei E-Mails, die über das CSE von Gmail verschlüsselt werden, heißt das: Der E-Mail-Text sowie Inline-Bilder und angehängte Dateien sind bereits verschlüsselt, bevor sie das Unternehmensnetzwerk verlassen und auf den Servern von Google gespeichert werden. Die CSE bei Google Kalender verschlüsselt die Beschreibung eines Termins und zudem angefügte Drive-Dateien sowie Meeting-Aufzeichnungen, sofern hier die CSE aktiviert ist.
Für wen CSE interessant ist
CSE kommt besonders für Organisationen infrage, die sicherstellen wollen, dass sie mehr Kontrolle über ihre sensiblen Daten haben. Wirtschaftsunternehmen, Telekommunikationsanbieter und auch das Verlagswesen haben ein großes Interesse daran, dass nicht nur ihre Daten, sondern auch die Informationen ihrer Kunden bzw. journalistischen Kontakte vor fremden Zugriffen sicher sind – und das schließt ihre Technologieanbieter mit ein. Auch Industrieunternehmen, die verhindern wollen, dass wertvolle Projektdokumente der Industriespionage zum Opfer fallen, sollten sich mit der CSE befassen.
In sieben Schritten zur clientseitigen Verschlüsselung
Organisationen, die eine clientseitige Verschlüsselung einrichten möchten, müssen die untenstehenden aufgeführten Schritte durchführen. Grundvoraussetzung ist eine Google Workspace Enterprise Plus- oder Education Plus-Lizenz.
- Superadministratorrechte für Google Workspace einrichten: Voraussetzung, um eine CSE im Unternehmen einzurichten, ist ein:e Superadministrator:in, der oder die über alle notwendigen Berechtigungen verfügt. Das sind: Hinzufügen und Verwalten von Schlüsseldiensten, Zuweisung von Schlüsseldiensten zu Organisationseinheiten und Gruppen sowie CSE für Benutzer:innen ein- oder auszuschalten.
- Erstellung eigener Schlüssel in einem externen Schlüsseldienst: Im zweiten Schritt wählt der oder die Superadministrator:in einen Workspace-KACL (Key Access Control List Dienst)-Partner zur zukünftigen Verschlüsselung von Daten. Alternativ können Unternehmen ihren eigenen KACL-Dienst mit Hilfe des KACL-API aufbauen. Der Dienst sollte ausschließlich HTTPS mit dem Verschlüsselungsprotokoll TLS ab Version 1.2 nutzen, ein gültiges X.509-Zertifikat aufweisen und eine maximale Latenz von 200 ms haben, um kurze Antwortzeiten zu gewährleisten.
- Einbindung in Google Workspace und Zuweisung von Schlüsseldiensten zu Organisationseinheiten und Gruppen: Superadministrator:innen fügen ihre KACL zu Workspace hinzu, indem sie die von ihrer KACL bereitgestellte Integrations-URL verwenden. Die Einbindung findet mit Hilfe der URL des KACLS in die Eingabeaufforderung statt. Ist Google Workspace mit dem Dienst verbunden, können Administrator:innen die CSE für Nutzer:innen aktivieren. Nachdem Google Workspace mit einem externen Schlüsseldienst verbunden ist, kann er Organisationseinheiten und Gruppen zugewiesen werden. Hierzu muss zunächst ein Schlüsseldienst als Standard für die gesamte Organisation dienen. Administrator:innen können weitere Dienste hinzufügen und jeweils verschiedenen Gruppen und Einheiten zuweisen.
- Google Workspace mit einem Identity Provider (IdP) verbinden: Administrator:innen können Google Workspace hierbei entweder mit einem IdP eines Drittanbieters oder mit Googles eigenem Service Google Identity verbinden. Der IdP prüft die Identität der Nutzer:innen, bevor sie Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können.
- Gmail-API aktivieren: Dazu muss die Gmail-API aktiviert und für das gesamte Unternehmen zugänglich gemacht werden. Danach müssen IT-Administrator:innen für jede:n Nutzer:in über die API ein S/MIME-Zertifikat (Secure/Multipurpose Internet Mail Extensions) und private Schlüssel-Metadaten hochladen, die vom KACLS-Schlüsseldienst verschlüsselt wurden.
- CSE aktivieren: Im vorletzten Schritt aktivieren IT-Verantwortliche die clientseitige Verschlüsselung für Nutzer:innen, die Bedarf nach einer zusätzlichen Sicherheitsstufe bei ihrer Arbeit haben.
- S/MIME-Zertifikate von Nutzer:innen hochladen: Für jede:n Nutzer:in, der CSE für Gmail verwendet, laden IT-Administrator:innen jetzt über die Gmail-API ein S/MIME-Zertifikat (Secure/Multipurpose Internet Mail Extensions) und Metadaten für den privaten Schlüssel hoch, die von ihrem Schlüsseldienst verschlüsselt werden.
Fazit
Sobald CSE aktiviert ist, können Nutzer:innen die clientseitige Verschlüsselung ihrer Informationen für Kalendertermine und E-Mails mit einem Tastendruck aktivieren. CSE ist besonders hilfreich für Unternehmen, die einen erhöhten Bedarf an Sicherheit und Compliance für ihre Daten haben. Besonders Organisationen, die mit sensiblen und personenbezogenen Daten arbeiten, können das Risiko von Datenlecks durch eine zusätzliche Sicherheitsebene effektiv verringern. Durch die Einrichtung einer CSE über den gesamten Google Workspace hinweg bleibt die Datenhoheit immer in den Händen des Unternehmens.