Elke Witmer-Goßner

Zwei Herzen schlagen in der Brust vieler Unternehmen. Auf der einen Seite fordern kostenfokussierte Abteilungen in Unternehmen die Verlagerung in die öffentliche Cloud. Auf der anderen Seite sieht das IT-Sicherheitsteam darin potenzielle Sicherheitsrisiken und versucht, die Kontrolle nicht zu verlieren.

In Kürze wird aus den USA ein wegweisendes Urteil des dortigen Obersten Gerichtshofs erwartet. Im Februar 2018 will er darüber entscheiden, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.

Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach.

Kein halbes Jahr mehr, dann tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Aber viele Firmen unterschätzen noch immer die Folgen für den eigenen Betrieb. So sind Datenhaltung und der Datenfluss in deutschen Unternehmen häufig noch immer unstrukturiert, schwer kontrollierbar und datenschutzrechtlich mangelhaft organisiert.

Neun von zehn IT-Sicherheitsverantwortlichen in Deutschland sorgen sich um die Sicherheit in der Public Cloud. Dennoch setzen fast 15 Prozent keine Sicherheitslösungen für sensible Daten ein, die außerhalb der Infrastruktur des Unternehmens gespeichert sind.

Nur wenige Monate vor Inkrafttreten der neuen EU-Verordnung zum Datenschutzrecht kommen Unternehmen nur langsam mit den Vorbereitungen voran. Ein Großteil der Cloud-Apps erfüllt noch immer nicht die Richtlinien der DSGVO.

Cyberangriffe auf Nutzerkonten in der Cloud nehmen immer mehr zu und auch die Raffinesse wächst. Weiter zeigt sich, dass Ransomware (Erpresser-Software) wie WannaCrypt (auch bekannt als WannaCry) sowie Petya im weltweiten Vergleich überproportional häufig Computer in Europa angreifen.

Neu am Markt ist die Uniki GmbH mit ihrer Komplettlösung aus Hardware und Software für maximale Datenhoheit. In Kombination mit einem eigenen App-Store können sich Unternehmen ihre gesamte IT-Infrastruktur über Uniki einrichten.

Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen.

Hewlett Packard Enterprise (HPE) Software stellt ein Lösungspaket zur Verfügung, mit dem Unternehmen einen wichtigen ersten Schritt zur Vorbereitung auf die kommende EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR) machen können. Das Software-Paket hilft Unternehmen dabei, Informationen, die unter die neue Richtlinie fallen, zu identifizieren, zu klassifizieren und entsprechend zu sichern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht.

Mit einem neuen Komplettangebot bestehend aus einer OpenStack-basierten Cloud-Infrastruktur, Managed Services und ergänzenden Beratungsleistungen will die Materna GmbH die Anforderung vieler Fachbereiche nach schnell verfügbaren, skalierbaren und sicheren IT-Kapazitäten adressieren. Das neue Angebot für Private Cloud as-a-Service (PCaaS) nutzt „IBM Bluemix Private Cloud“ zur Verwaltung cloud-basierter IT-Infrastrukturen.

Utimaco, Hersteller für Hardware-Sicherheitsmodul-(HSM)-Technologie, bietet ab sofort einen kostenlosen Simulator auch für die neue Version 4.10 des SecurityServer an, die für das Absichern von Cloud-Anwendungen optimiert ist.

Sobald Cloud-Speicher-Nutzer große Datenmengen im Büro synchronisieren wollen, gibt es Probleme. In der Regel ist der Speicherplatz auf Clients nämlich deutlich kleiner als der genutzte Cloud-Speicher.

Das Bundeskabinett hat den nunmehr vierten Entwurf zur Umsetzung des neuen EU-Datenschutzgesetzes in Deutschland abgesegnet. Dieser Entwurf schreibt ein hohes Datenschutzniveau fest, lässt aber im Rahmen der Europäischen Datenschutz Grundverordnung noch genug Spielraum für innovative Geschäftsmodelle. Dies stößt auf Zustimmung, aber auch Kritik.

Allen Kritikern zum Trotz verzeichnet Microsoft mit seinem Cloud-Geschäft im abgelaufenen Quartal erneut eine satte Steigerung. 5,2 Milliarden US-Dollar betrug allein der Gewinn und damit ein Wachstum von 3,6 Prozent – und die Analysten schließen ein weiteres Wachstum nicht aus.

Fachabteilungen und Mitarbeiter setzen häufig Cloud-Services ein, die nicht von der IT-Abteilung autorisiert sind. Zu diesem Ergebnis kommt der aktuelle „Skyhigh Cloud Adoption and Risk Report“, der die Cloud-Nutzung in Unternehmen analysiert und im Hinblick auf Sicherheitsrisiken beleuchtet.

Mit dem Cloud Privacy Check (CPC) steht die zurzeit größte europäische Informationsplattform zur Verfügung, die kostenlos und auf einfache Art und Weise Datenschutzgesetze erklärt und 32 Ländergesetze direkt vergleichbar macht. Diese wurde von Anwälten aus über 30 Ländern entwickelt.

Als einer der ersten Dienste ist der Sync & Share-Service TeamDrive in der Microsoft Cloud Deutschland verfügbar. Ab sofort kann damit TeamDrive alle Cloud-Services für europäische Kunden aus der Microsoft Cloud Deutschland anbieten.

Bei Verstößen gegen die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) drohen hohe Bußgelder. Die verhängte Strafe kann bis zu vier Prozent des weltweiten Umsatzes ausmachen. Um den neuen Anforderungen zu entsprechen, sollten Firmen deshalb ihre Prozesse neu aufsetzen und ihre Daten besonders schützen.

Mit Cloud Computing, aber auch den neuen Hypes Big Data und Industrie 4.0, stellen nicht wenige Anwender den Anbietern die Gretchenfrage: Wie hältst du es mit Datenschutz und Datensicherheit?

Die deutsche Gerichtsbarkeit genießt ein hohes Ansehen. Denn so global wie international Internet und Cloud Computing auch sind – bei Streitfragen bevorzugen deutsche Unternehmen den vertrauten Rechtsweg vor deutschen Gerichten.

Bei mehr als einem Drittel der Unternehmen besteht noch Handlungsbedarf in Sachen Datenschutz. Darauf weisen die Ergebnisse des TÜV SÜD Datenschutzindikators (DSI) hin.

Google ist nicht gerade zimperlich, wenn es darum geht, persönliche Daten zu speichern und archiviert daher beinahe alles, was dazu beiträgt ein möglichst vollständiges Profil des Nutzers erstellen zu können.

Am 12. April 2016 endet der erweiterte Support von Microsoft für SQL Server 2005. Ab diesem Datum erhalten Kunden keine Sicherheits-Updates mehr für diese SQL-Server-Version.

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.

Mitarbeiter dürfen ihre privaten Smartphones für die Arbeit nutzen und werden dafür ggf. auch entschädigt. Oder noch einfacher: Mitarbeiter bringen ihre privaten Geräte in die Arbeit mit und nutzen diese ohne zu fragen auch für ihre Tätigkeit. Hinter beiden Möglichkeiten steht der Begriff „Bring your own device“ (BYOD) und in jedem Fall bringen die Privatgeräte Gefahren ins Unternehmen.

Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.

Gruselig: Obwohl der Datenschutz in Deutschland einen hohen Stellenwert hat, würden sehr viele Bewohner leichtfertig darauf pfeifen. Das ist das Ergebnis einer neuen Studie von Kaspersky. Noch gruseliger: Weltweit ist 50 Prozent der Nutzer die Privatsphäre egal.

Im Zuge der COVID-19 Krise hat sich ein Großteil des Arbeitslebens in das Homeoffice verlagert, Unternehmen müssen nun mit einer Vielzahl neuer Cloud-Tools jonglieren. Das hat auch negative Begleiterscheinungen – so steigen etwa auch die Angriffe auf entsprechende Accounts, laut dem jüngsten Report des Sicherheitsexperten gar um das Siebenfache!

Optimierte Verbindungen zu einem Cloud-Provider bieten Vorteile bei Verfügbarkeit, Latenz und Bandbreite im Vergleich zu herkömmlichen Verbindungen über das Internet. In welchem Umfang die Sicherheit profitieren kann, kommt auf die genaue Art der Cloud-Verbindung an.

McAfee hat eine cloud-basierte Lösung für Security Information and Event Management (SIEM) vorgestellt. Mit dem ESM Cloud genannten Produkt sollen IT-Teams schnell auf Bedrohungen reagieren – sagt der Anbieter und wirbt mit Reaktionszeiten von unter zwei Stunden.

Die Diskussionen über die Sicherheit von Cloud Computing begleiten diese Technologie von Beginn an. Trotz dieser Diskussion ist Cloud Computing heute allgegenwärtig und fast alle Organisationen nutzen die Dienste eines Cloud-Anbieters. So liegt es nahe, dass Cyberkriminelle spezielle Angriffsmethoden für Cloud-Anwendungen entwickelt haben.

Veritas hat in einer globalen Studie untersucht, wie sich komplexe hybride Multi-Cloud-Umgebungen auf den Schutz vor Ransomware auswirken.

Mit einem Anteil von mehr als 30 Prozent am globalen Cloud-Markt und einer Vielzahl von anpassbaren Funktionen ist Amazon Web Services (AWS) für viele Unternehmen zum bevorzugten Anbieter von Cloud-Diensten geworden. Während AWS zwar die Sicherheit der Cloud verwaltet, liegt die Verantwortung für die Sicherheit in der Cloud trotzdem beim Kunden.

Zwei Jahre nach Ablauf der DSGVO-Umsetzungsfrist gibt es noch immer keinen Kriterienkatalog zur Überprüfung von Cloud-Services. Die Cloud-Branche, vertreten durch EuroCloud, wünscht sich dringend Klarheit von den verantwortlichen nationalen und europäischen Behörden.

Beim Weg in die digitale Zukunft führt heute kein Weg mehr an der Cloud vorbei und der Großteil der Unternehmen hat dies längst erkannt. So sind laut dem Cloud and Threat Report von Netskope bereits 89 Prozent der Unternehmensanwender in der Cloud und nutzen täglich mindestens eine Cloud-App aktiv.

Inzwischen ist ein halbes Jahr vergangen, seit der Europäische Gerichtshof dem österreichischen Journalisten Max Schrems Recht gab und das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA kippte.

Im Rahmen der Europäischen Digitalen Strategie bereitet derzeit die Europäische Kommission ein Gesetzespaket über digitale Dienstleistungen vor, das Digital Services Act, mit dem Innovation und Wettbewerbsfähigkeit des europäischen Online-Umfelds gefördert werden sollen.

Mit Prisma Cloud 2.0 präsentiert Palo Alto Networks weitere Sicherheitsmodule, die cloud-native Anwendungen in öffentlichen und privaten Clouds absichern. Dabei integriert Anbieter für Cybersecurity nach eigenem Bekunden zugleich Aporeto.

Mit Cloudvisory führt FireEye ein Steuerungssystem für das Cloud-Sicherheitsmanagement für Private-, Public- und Hybrid-Cloud-Umgebungen ein.

Sophos hat sich in einer weltweiten Umfrage mit der Sicherheit der Public Cloud befasst. Weltweit ergaben sich aus der Befragung von mehr als 3.500 IT-Managern deutliche Unterschiede. Europa schneidet aber im Vergleich zu Ländern auf anderen Kontinenten besser ab.

Experten u.a. von Kaspersky bezweifeln, dass die Privatsphäre der Nutzer in der zentralen Cloud der Corona-Warn-App gewahrt bleiben kann. Das deutsche Gesundheitsministerium eiert entsprechend herum.

Die Videokonferenzlösung Zoom 5.0 soll Daten nicht nur sicherer verschlüsseln und Hosts erweiterte Steuerungsoptionen bereitstellen. Zudem will der Anbieter sein Produkt bei etlichen weiteren Details auf Sicherheit optimiert haben.

Die COVID-19-Krise hat auch die Cyber-Security-Landschaft dramatisch verändert und gezeigt, dass viele Organisationen unzureichend auf einen Wechsel zur Remote Work vorbereitet waren. Ein Großteil der Mitarbeiter arbeitet noch immer von zu Hause aus. Das macht Belegschaften anfälliger denn je für Cyber-Attacken.

Zcaler will die Cloud-Sicherheit von Unternehmen künftig dramatisch verbessern. Gelingen soll das durch die Übernahme von Cloudneeti, einen Anbieter für Cloud Security Posture Management. Eine entsprechende Absichtserklärung wurde nun bekanntgegeben.

Mit der aktualisierten Kaspersky Endpoint Security Cloud sollen Unternehmen auch außerhalb der eigenen Grenzen Sicherheitsrichtlinien durchsetzen und Daten schützen. Hierfür integriert der Anbieter nun eine Cloud-Erkennungsfunktion sowie die Features von Security für Microsoft Office 365.

Die Cloud findet im privaten wie auch im geschäftlichen Umfeld immer mehr Anwendung. Die Sicherheit der Cloud-Anbieter fällt jedoch unterschiedlich aus. Meist können Dritte zwar keine Einsicht in abgelegte Dokumente nehmen, der Anbieter könnte allerdings darauf zugreifen.

Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum etablierten und vielfach national wie international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen und neu aufgelegt.

Europa ist in der Cloud-Thematik angekommen: Die EU plant in ihrer Digitalstrategie eine „Initiative für eine europäische Cloud“ und will diese bald vorstellen. Unternehmen sind einen Schritt weiter und Nutzen die Angebote von Amazon, Microsoft, Google und Co. schon längst.

Die Coronavirus-Krise hat viele tausend Beschäftigte in kürzester Zeit ins Homeoffice gezwungen. Doch auch hier müssen Datenschutzgesetze und IT-Sicherheit gewahrt bleiben. Arbeitgeber müssen also sicherstellen, dass der Mitarbeiter von zu Hause aus Zugriff auf alle relevanten Daten hat, diese aber vor Diebstahl geschützt sind.

Das Thema Sicherheit bei der Cloud-Nutzung ist noch lange nicht vom Tisch, glaubt man den Ergebnissen einer neuen MacAfee-Studie. Demnach nutzen mehr als die Hälfte der Unternehmen Cloud-Services, die bereits Angriffen ausgesetzt waren. Und viele speichern sensible Daten in der Cloud und wissen gar nichts davon.

Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich. Sie abzusichern, ist auf Grund der unterschiedlichen Zugriffswege und Systemmerkmale schwierig. Doch beim Betrieb in einer Hybrid-Cloud-Umgebung ist die Absicherung insbesondere privilegierter Accounts – also Benutzern, die aufgrund ihrer Tätigkeit über erweiterte Berechtigungen verfügen müssen –unerlässlich.

Trotz aller Vorsichtsmaßnahmen auf allen Seiten: Eine reale Bedrohungslage für Public Clouds bleibt existent. Aber es ist möglich, die Datensicherheit auch in der Public Cloud hoch zu halten. Security-Spezialist Sophos gibt wertvolle Tipps.

Mit Cloud Computing, aber auch den neuen Hypes Big Data und Industrie 4.0, stellen nicht wenige Anwender den Anbietern die Gretchenfrage: Wie hältst du es mit Datenschutz und Datensicherheit?

Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.

Cloud-Sicherheit beginnt mit Sichtbarkeit. Die notwendige Transparenz betrifft die genauen Verantwortlichkeiten und genutzten Cloud-Dienste, aber auch die Fülle der vorhandenen Schwachstellen, die es abzusichern gilt. Ein neuer Blick auf Cloud-Schwachstellen ist deshalb entscheidend für den Erfolg der Cloud-Security und des Cloud Computing insgesamt.

Die Cloud ist noch immer nicht so sicher, wie erhofft. Die größten Gefahren für in der Cloud gespeicherte sensible Unternehmensdaten treten vor allem bei SaaS-Collaboration, IaaS- bzw. PaaS-Konfigurationsfehlern sowie Cloud-Bedrohungsvorfällen auf.

Der Skandal um Facebook und Cambridge Analytica hat schlagartig eine weltweite Diskussion zur Datenschutz- und Vertraulichkeitsproblematik ausgelöst, vor allem über die Frage, wie legitim es ist, dass Unternehmen derartig viele Informationen ihrer Nutzer sammeln dürfen.

Eine Rechnung im Portable Document Format (PDF), die man von einem Portal herunterlädt oder per E-Mail erhält und ausdruckt, muss man zwar bezahlen, aber sie stellt keine steuerlich abzugsfähige Rechnung dar. Darauf weist die TeamDrive Systems GmbH hin. Insbesonders Freiberufler, Selbstständige und Kleinbetriebe laufen Gefahr, in diese „PDF-Falle“ zu tappen.

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.

In Kooperation mit fünf großen Anbieter im Bereich Cloud und Security bietet PriceWaterhouseCoopers (PwC) unter dem Namen „all4cloud“ eine vorvalidierte Cloud-Lösung an. Diese umfasst die komplette Infrastruktur kombiniert mit speziellen Schutzkomponenten.

Eine kürzlich von Keysight Technologies veröffentlichte Umfrage zum Thema „The State of Cloud Monitoring“ zeigt deutliche Probleme bei Sicherheit und Überwachung von Public-Cloud-Umgebungen, mit denen sich IT-Mitarbeiter zunehmend konfrontiert sehen.

Auch für sogenannte Auftragsverarbeiter gelten die ab 25. Mai 2018 wirksam werdenden neuen, speziellen Regeln der europäischen Datenschutzgrundverordnung (DSGVO).

In diesem Jahr feiert die Open-Source-Software Docker bereits ihren sechsten Geburtstag. Mit Docker lassen sich Anwendungen in Containern isoliert betreiben, was die Bereitstellung von Anwendungen und den Datentransport erheblich vereinfacht. Oftmals vernachlässigt wird dabei allerdings die Container-Sicherheit. Viele Unternehmen behandeln diese viel zu oft getrennt von der Cloud.

Es ist noch gar nicht lange her, dass das deutsche Gesetz zur Vorratsdatenspeicherung vom Verwaltungsgericht Köln wegen Unvereinbarkeit mit EU-Recht abgelehnt wurde. Und auch das jüngste US-amerikanische Gesetz CLOUD Act („Clarifying Lawful Overseas Use of Data”), das den Umgang mit außerhalb der USA gespeicherten Daten regelt, wird in Europa vor allem als unverhältnismäßiger Eingriff in die Persönlichkeitsrechte und den Datenschutz durch ausländische Ermittlungsbehörden begriffen.

Die jüngst vorgestellte Unified-IT-Plattform „Ivanti Cloud“ vereinheitlicht den IT-Betrieb mit Sicherheitsdaten und -prozessen, damit Unternehmen schnell ihre Umgebung prüfen und Erkenntnisse daraus gewinnen können.

„Operational Security“ – das ist weit mehr als nur Betriebssicherheit. Der ursprünglich aus dem US-Militär stammende Begriff beschreibt Strategien, die potenzielle Angreifer daran hindern sollen, kritische Informationen aufzuspüren und sie in böswilliger Absicht zu nutzen.

Utimaco, Hersteller für Hardware-Sicherheitsmodul-(HSM)-Technologie, bietet ab sofort einen kostenlosen Simulator auch für die neue Version 4.10 des SecurityServer an, die für das Absichern von Cloud-Anwendungen optimiert ist.

Um die EU-weite Strafvereitelung und Strafverfolgung zu erleichtern, will die Europäische Kommission künftig den grenzüberschreitenden Zugriff auf sogenannte elektronische Beweismittel („e-evidence“) für internationale Rechtshilfegesuche und Fahndungen zulassen.

Microsoft gibt nicht auf und kämpft weiter darum, die Daten seiner Cloud-Kunden vor dem Zugriff durch staatliche Strafverfolgungsbehörden zu schützen. Das Unternehmen fordert, dass sowohl Cloud-Provider, als auch Cloud-Nutzer mehr Rechte haben sollen, staatliche Datenanforderungen anfechten zu können.

Microsoft hat den Compliance Manager für Azure, Dynamics 365 und Office 365 Business and Enterprise in Public Clouds, den Compliance Score für Office 365 sowie den Azure Information Protection Scanner generell verfügbar gemacht.

Seit Ende Mai ist die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Doch was eigentlich klar geregelt sein sollte, verunsichert viele Berufsgruppen in Deutschland. Fotografen sind unsicher, ob sie jetzt noch Menschenmengen ablichten dürfen. Freiberufler und Handwerker, selbst Privatpersonen müssen ihre Alltagshandlungen aufwändig dokumentieren.

Mit Cloud Pak for Security will IBM eine umfassende Sicherheitsplattform liefern, die in beliebigen Umgebungen läuft und sich mit unterschiedlichen Sicherheitstools, Clouds und lokalen Systemen verbindet.

Unternehmen können sich vor Hackerangriffen sowie Malware auch dadurch schützen, indem sie Unterlizenzierung verwendeter Software vermeiden und effektive Software-Asset-Management-Prozesse einführen und somit den reibungslosen Ablauf ihrer Geschäftsprozesse gewährleisten.

Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht.