Google Analytics - Implementieren Interpretieren Profitieren

angemessen vertraglich abzusichern. Dies betrifft in der Regel die Bereitstellung von Leitungen für die Telekommunikation, Elektrizität, Kühlung, Wartung, Reinigung, Prüfung oder Vermietung von Liegenschaften.

    Anlage 2 – Technische und organisatorische Maßnahmen
    Innerhalb seines Verantwortungsbereichs ergreift Google bei der Erhebung Verarbeitung und Nutzung personenbezogener Kundendaten die folgenden technischen und organisatorischen Maßnahmen.
    1. Zutrittskontrolle
    Google ergreift unter anderem die folgenden Maßnahmen um den Zutritt Unbefugter zu den Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verhindern:
    Durch formale Zutrittsprozeduren wird der Zutritt zu den beteiligten Rechenzentren geregelt.
    Alle Personen müssen sich gegenüber dem Sicherheitspersonal ausweisen um Zutritt zu einem Rechenzentrum oder bestimmten Bereichen des Rechenzentrums zu erlangen. Dies erfordert einen von Google ausgestellten Fotoausweis und ein entsprechendes staatliches Ausweisdokument. Es bestehen dokumentierte Prozesse für das Ausstellen von Ausweisen durch Google. Der Besitz und die Rückgabe dieser Ausweise werden nachvollzogen und überprüft.
    Es werden Besucher-Protokolle geführt. Besucher werden mit temporären Ausweisen ausgestattet und müssen von einem Google-Mitarbeiter begleitet werden,um Zutritt zu Bereichen hinter dem Empfangsbereich eines Rechenzentrums zu erlangen.
    Nur autorisierte Google-Mitarbeitern und Vertragspartnern, die dauernd in den Rechenzentren beschäftigt sind, ist es erlaubt, elektronische Zugangskarten für diese Einrichtungen zu erhalten.
    Die daneben bestehenden standardmäßigen Sicherheitsmaßnahmen, die in jedem Rechenzentrum durchgeführt werden, setzen sich aus bekannten Technologien zusammen und folgen allgemein anerkannten Best Practices der Branche. Dabei handelt es sich um elektronische Zugangskontrollsysteme per Kartenzugriff, Alarmsysteme, Innen- und Außenkameras und Sicherheitspersonal.
    2. Zugangskontrolle
    Google ergreift unter anderem die folgenden Maßnahmen, um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern:
    Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsystemen und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten.
    Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist.
    Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal-Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterliegen einer regelmäßigen Überprüfung.
    Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben.
    Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen.
    Die Router sind entsprechend konfiguriert, um Googles interne Netzwerk-Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass