Elke Witmer-Goßner

Mit Cloudvisory führt FireEye ein Steuerungssystem für das Cloud-Sicherheitsmanagement für Private-, Public- und Hybrid-Cloud-Umgebungen ein.

Zwei Jahre nach Ablauf der DSGVO-Umsetzungsfrist gibt es noch immer keinen Kriterienkatalog zur Überprüfung von Cloud-Services. Die Cloud-Branche, vertreten durch EuroCloud, wünscht sich dringend Klarheit von den verantwortlichen nationalen und europäischen Behörden.

Die Coronavirus-Krise hat viele tausend Beschäftigte in kürzester Zeit ins Homeoffice gezwungen. Doch auch hier müssen Datenschutzgesetze und IT-Sicherheit gewahrt bleiben. Arbeitgeber müssen also sicherstellen, dass der Mitarbeiter von zu Hause aus Zugriff auf alle relevanten Daten hat, diese aber vor Diebstahl geschützt sind.

Das Thema Sicherheit bei der Cloud-Nutzung ist noch lange nicht vom Tisch, glaubt man den Ergebnissen einer neuen MacAfee-Studie. Demnach nutzen mehr als die Hälfte der Unternehmen Cloud-Services, die bereits Angriffen ausgesetzt waren. Und viele speichern sensible Daten in der Cloud und wissen gar nichts davon.

Die Cloud findet im privaten wie auch im geschäftlichen Umfeld immer mehr Anwendung. Die Sicherheit der Cloud-Anbieter fällt jedoch unterschiedlich aus. Meist können Dritte zwar keine Einsicht in abgelegte Dokumente nehmen, der Anbieter könnte allerdings darauf zugreifen.

Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum etablierten und vielfach national wie international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen und neu aufgelegt.

Mit Cloud Application Protection (CAP) hat Barracuda eine neue, integrierte Plattform vorgestellt, die interoperable Lösungen und Funktionen für die vollständige Anwendungssicherheit vereinen soll.

Trotz aller Vorsichtsmaßnahmen auf allen Seiten: Eine reale Bedrohungslage für Public Clouds bleibt existent. Aber es ist möglich, die Datensicherheit auch in der Public Cloud hoch zu halten. Security-Spezialist Sophos gibt wertvolle Tipps.

Eine Rechnung im Portable Document Format (PDF), die man von einem Portal herunterlädt oder per E-Mail erhält und ausdruckt, muss man zwar bezahlen, aber sie stellt keine steuerlich abzugsfähige Rechnung dar. Darauf weist die TeamDrive Systems GmbH hin. Insbesonders Freiberufler, Selbstständige und Kleinbetriebe laufen Gefahr, in diese „PDF-Falle“ zu tappen.

Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.

Eine kürzlich von Keysight Technologies veröffentlichte Umfrage zum Thema „The State of Cloud Monitoring“ zeigt deutliche Probleme bei Sicherheit und Überwachung von Public-Cloud-Umgebungen, mit denen sich IT-Mitarbeiter zunehmend konfrontiert sehen.

In diesem Jahr feiert die Open-Source-Software Docker bereits ihren sechsten Geburtstag. Mit Docker lassen sich Anwendungen in Containern isoliert betreiben, was die Bereitstellung von Anwendungen und den Datentransport erheblich vereinfacht. Oftmals vernachlässigt wird dabei allerdings die Container-Sicherheit. Viele Unternehmen behandeln diese viel zu oft getrennt von der Cloud.

Die jüngst vorgestellte Unified-IT-Plattform „Ivanti Cloud“ vereinheitlicht den IT-Betrieb mit Sicherheitsdaten und -prozessen, damit Unternehmen schnell ihre Umgebung prüfen und Erkenntnisse daraus gewinnen können.

As-a-Service-Lösungen verbreiten sich immer weiter. Dabei bleibt es längst nicht mehr bei einer einzigen Cloud. 82 Prozent der Unternehmen nutzen mehr als zehn verschiedene Public-Cloud-Dienste. Dazu kommen noch Private Clouds und On-Premise-Systeme, so eine aktuelle Studie von McAfee. Sicherheitssysteme stoßen im Angesicht dieser neuen komplexen Architekturen schnell an ihre Grenzen.

Es ist noch gar nicht lange her, dass das deutsche Gesetz zur Vorratsdatenspeicherung vom Verwaltungsgericht Köln wegen Unvereinbarkeit mit EU-Recht abgelehnt wurde. Und auch das jüngste US-amerikanische Gesetz CLOUD Act („Clarifying Lawful Overseas Use of Data”), das den Umgang mit außerhalb der USA gespeicherten Daten regelt, wird in Europa vor allem als unverhältnismäßiger Eingriff in die Persönlichkeitsrechte und den Datenschutz durch ausländische Ermittlungsbehörden begriffen.

Die Cloud ist noch immer nicht so sicher, wie erhofft. Die größten Gefahren für in der Cloud gespeicherte sensible Unternehmensdaten treten vor allem bei SaaS-Collaboration, IaaS- bzw. PaaS-Konfigurationsfehlern sowie Cloud-Bedrohungsvorfällen auf.

Microsoft gibt nicht auf und kämpft weiter darum, die Daten seiner Cloud-Kunden vor dem Zugriff durch staatliche Strafverfolgungsbehörden zu schützen. Das Unternehmen fordert, dass sowohl Cloud-Provider, als auch Cloud-Nutzer mehr Rechte haben sollen, staatliche Datenanforderungen anfechten zu können.

Seit Ende Mai ist die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Doch was eigentlich klar geregelt sein sollte, verunsichert viele Berufsgruppen in Deutschland. Fotografen sind unsicher, ob sie jetzt noch Menschenmengen ablichten dürfen. Freiberufler und Handwerker, selbst Privatpersonen müssen ihre Alltagshandlungen aufwändig dokumentieren.

Cyberkriminelle Organisationen greifen immer aggressiver mithilfe von Cryptomining-Malware an, um illegale Einnahmequellen zu generieren. Unterdessen scheinen sich Cloud-Infrastrukturen zum wachsenden Ziel von Bedrohungsakteuren zu entwickeln.

Der IT-Lösungsanbieter Tarox erweitert seine ECM-Software Tarox Smart Documents um eine Datenschutz-Suite. Unternehmen sollen damit alle verlangten Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) mühelos erfüllen können. Mit Hilfe der Softwareerweiterung können Anwender die gesamte Dokumentation, wie etwa der Nachweise, zu einem digitalen Prozess transformieren, der sicher und komfortabel verwaltbar sein soll. Auf Wunsch stellt Tarox seinen Kunden aber auch externe Datenschutzbeauftragte zur Seite.

Unternehmen können sich vor Hackerangriffen sowie Malware auch dadurch schützen, indem sie Unterlizenzierung verwendeter Software vermeiden und effektive Software-Asset-Management-Prozesse einführen und somit den reibungslosen Ablauf ihrer Geschäftsprozesse gewährleisten.

Der Skandal um Facebook und Cambridge Analytica hat schlagartig eine weltweite Diskussion zur Datenschutz- und Vertraulichkeitsproblematik ausgelöst, vor allem über die Frage, wie legitim es ist, dass Unternehmen derartig viele Informationen ihrer Nutzer sammeln dürfen.

Auch für sogenannte Auftragsverarbeiter gelten die ab 25. Mai 2018 wirksam werdenden neuen, speziellen Regeln der europäischen Datenschutzgrundverordnung (DSGVO).

Seit 1. November 2017 ist er der „Neue“ bei Pegasystems: Harald Esch verantwortet jetzt als Geschäftsführer und Vice President den Bereich Sales in der DACH-Region. Der IT-Experte mit über 25 Jahren Vertriebserfahrung war zuletzt beim Coud-CRM-Konkurrenten Salesforce als Area Vice President Commercial Business Deutschland, Österreich und Schweiz beschäftigt.

Um die EU-weite Strafvereitelung und Strafverfolgung zu erleichtern, will die Europäische Kommission künftig den grenzüberschreitenden Zugriff auf sogenannte elektronische Beweismittel („e-evidence“) für internationale Rechtshilfegesuche und Fahndungen zulassen.

Aufatmen bei der SpaceNet AG. Das Verwaltungsgericht (VG) Köln hat jetzt zugunsten des Münchner Internetproviders entschieden, dass die anlasslose Vorratsdatenspeicherung mit EU-Recht nicht vereinbar ist.

Microsoft hat den Compliance Manager für Azure, Dynamics 365 und Office 365 Business and Enterprise in Public Clouds, den Compliance Score für Office 365 sowie den Azure Information Protection Scanner generell verfügbar gemacht.

Zwei Herzen schlagen in der Brust vieler Unternehmen. Auf der einen Seite fordern kostenfokussierte Abteilungen in Unternehmen die Verlagerung in die öffentliche Cloud. Auf der anderen Seite sieht das IT-Sicherheitsteam darin potenzielle Sicherheitsrisiken und versucht, die Kontrolle nicht zu verlieren.

In Kürze wird aus den USA ein wegweisendes Urteil des dortigen Obersten Gerichtshofs erwartet. Im Februar 2018 will er darüber entscheiden, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.

Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach.

Kein halbes Jahr mehr, dann tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Aber viele Firmen unterschätzen noch immer die Folgen für den eigenen Betrieb. So sind Datenhaltung und der Datenfluss in deutschen Unternehmen häufig noch immer unstrukturiert, schwer kontrollierbar und datenschutzrechtlich mangelhaft organisiert.

Neun von zehn IT-Sicherheitsverantwortlichen in Deutschland sorgen sich um die Sicherheit in der Public Cloud. Dennoch setzen fast 15 Prozent keine Sicherheitslösungen für sensible Daten ein, die außerhalb der Infrastruktur des Unternehmens gespeichert sind.

Nur wenige Monate vor Inkrafttreten der neuen EU-Verordnung zum Datenschutzrecht kommen Unternehmen nur langsam mit den Vorbereitungen voran. Ein Großteil der Cloud-Apps erfüllt noch immer nicht die Richtlinien der DSGVO.

Cyberangriffe auf Nutzerkonten in der Cloud nehmen immer mehr zu und auch die Raffinesse wächst. Weiter zeigt sich, dass Ransomware (Erpresser-Software) wie WannaCrypt (auch bekannt als WannaCry) sowie Petya im weltweiten Vergleich überproportional häufig Computer in Europa angreifen.

Neu am Markt ist die Uniki GmbH mit ihrer Komplettlösung aus Hardware und Software für maximale Datenhoheit. In Kombination mit einem eigenen App-Store können sich Unternehmen ihre gesamte IT-Infrastruktur über Uniki einrichten.

Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen.

Hewlett Packard Enterprise (HPE) Software stellt ein Lösungspaket zur Verfügung, mit dem Unternehmen einen wichtigen ersten Schritt zur Vorbereitung auf die kommende EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR) machen können. Das Software-Paket hilft Unternehmen dabei, Informationen, die unter die neue Richtlinie fallen, zu identifizieren, zu klassifizieren und entsprechend zu sichern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht.

Mit einem neuen Komplettangebot bestehend aus einer OpenStack-basierten Cloud-Infrastruktur, Managed Services und ergänzenden Beratungsleistungen will die Materna GmbH die Anforderung vieler Fachbereiche nach schnell verfügbaren, skalierbaren und sicheren IT-Kapazitäten adressieren. Das neue Angebot für Private Cloud as-a-Service (PCaaS) nutzt „IBM Bluemix Private Cloud“ zur Verwaltung cloud-basierter IT-Infrastrukturen.

Utimaco, Hersteller für Hardware-Sicherheitsmodul-(HSM)-Technologie, bietet ab sofort einen kostenlosen Simulator auch für die neue Version 4.10 des SecurityServer an, die für das Absichern von Cloud-Anwendungen optimiert ist.