Florian Karlstetter

Zum Thema CLOUD Act gibt es unterschiedliche Ansichten und Auslegungen: die einen warnen eindringlich vor der möglichen Kollision mit regionalen Gesetzgebungen wie GDPR und DSGVO, die anderen winken ab und sagen, alles alter Hut: international übergreifende Kooperationen der Exekutive, teils auch der Legislative gibt es schon seit Jahrzehnten, wurden jetzt nur upgedatet, auf neue Technologien angepasst und somit auf den aktuellen Stand gebracht. Ja, was stimmt denn nun?

Google hat im Rahmen eines europäischen Pressetages in München offiziell das Google Safety Engineering Center (GSEC) eröffnet. Dort arbeiten Datenschutz-Experten kontinuierlich an der Weiterentwicklung von Tools rund um Sicherheit und Privatsphäre.

Cloud Act, zweiter Teil: Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist letzte Woche vom Obersten Gerichtshof der Vereinigten Staaten eingestellt worden. Was sich zunächst positiv anhört, könnte weitreichende Auswirkungen auf das internationale Cloud Business haben - Stichwort Datenschutz.

Ob Cloud-Infrastruktur-Services für die Verarbeitung personenbezogener Daten geeignet sind soll ein jetzt vorgestellter Code of Conduct von CISPE zeigen. Im Wesentlichen geht es um den Verzicht von Werbung und die ausschließliche Verarbeitung und Speicherung von Daten in EU-/EWR-Ländern.

Auch im Katastrophenfall ist es wichtig, dass die Geschäfte weiterlaufen. Ausfallzeiten bedeuten schnell Umsatzeinbußen, eine verringerte Mitarbeiterproduktivität und einen Vertrauensverlust in die Marke. Mit der richtigen Disaster-Recovery-Strategie kann man sich entsprechend absichern.

Was passiert eigentlich mit Firmendaten in der Cloud, wenn der Anbieter in Konkurs geht oder verkauft wird? Dieser Frage ist Uniscon anlässlich der Einstellung des Filehosting-Dienstes Wuala von LaCie aus der Schweiz nachgegangen.

Mit einer Klage gegen Facebook vor dem EuGH versucht ein Datenschutzaktivist, der Datensammelwut von US-Internetriesen, im konkreten Fall Facebook, Einhalt zu gebieten. In der Hauptsache geht es um den Datenschutz und undifferenzierten Zugriff der von Facebook gesammelten Nutzerdaten in den USA. Eine Verletzung der EU-Grundrechtecharta?

Bei vielen Cloud-Services sind zusätzliche Maßnahmen notwendig, um die Datenschutzanforderungen an Cloud-Logging und die Kontrolle des Cloud-Administrators zu erfüllen. Dies geht aus einer von der Experton Group veröffentlichten Studie im Auftrag von Balabit hervor.

Harter Schlag für US-amerikanische Cloud-Anbieter: US-Behörden haben weltweit Zugriff auf Kundendaten, so ein aktueller Richterspruch aus den Vereinigten Staaten von Amerika. Dies widerspricht europäischen und deutschen Datenschutzvorschriften. Als Konsequenz empfiehlt Rechtsanwalt und NIFIS-Vorsitzender Dr. Thomas Lapp, künftig US-Firmen als Dienstleister zu meiden.

Wer Ressourcen in Microsoft Azure nutzt, sollte auch die Sicherheit in der Cloud berücksichtigen. Wir geben Tipps für die sichere Verwendung von Microsoft Azure.

Wieder einmal ist der Datentransfer zwischen der EU und dem Rest der Welt, insbesondere den USA, Gegenstand einer gerichtlichen Auseinandersetzung – wie so oft in den vergangenen Jahren. Diesmal liegt es am obersten rechtsprechenden Organ der EU, dem Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, ob das „Privacy Shield“-Verfahren und die viel genutzten Standardvertragsklauseln weiterhin gültig sind – oder durch ein neues Verfahren ersetzt werden müssen.

Security-Appliances mit IP-basierenden Reputationsmechanismen sind ein Auslaufmodell, sagt Sicherheitsexperte Roaring Penguin Software und zitiert dabei eine eigene Studie. Nach dieser setzen Spam-Versender auf Freemail-Provider wie Yahoo, Hotmail und Google. Die Server der marktführender Suchmaschinen per Blacklist zu verbannen sei nicht praktikabel.

Seit dem 23 März gilt in den USA der „Cloud Act“. Das Gesetz verschärft die bisherige Überwachungspraxis im Cloud Computing. Betroffene Provider und Anwender haben weniger Rechte.

Malware muss nicht immer über ungesicherte Internetverbindungen ins Unternehmensnetz gelangen. Die Schädlinge lassen sich auch über mobile Datenträger und VPN-Tunnel einschleusen. Mit Network Protection stellt Norman Data Defense einen Malware-Scanner vor, der in Echtzeit vor diesen Gefahren schützen soll.

Google hat mit Secret Manager einen neuen Cloud Service zum Speichern von API-Schlüsseln, Kennwörtern, Zertifikaten und anderen vertraulichen Daten vorgestellt. Er bietet einen „zentralen Ort für Geheimnisse in der Google Cloud“.

Was passiert wenn ein komplettes Unternehmen „remote“ arbeitet? Das hat Matrix42 ausprobiert – und nach einem erfolgreichen Stresstest zum vorläufigen Alltag gemacht. Seine Erfahrungen gibt der Spezialist für Digital Workspace Management jetzt in Form von sechs Praxis-Tipps weiter.

Ping Identity hat seine Ping-Plattform Intelligent Identity überarbeitet. Sie bietet nun unter anderem einen verbesserten Support für DevOps, automatisierte Multi-Cloud-Integration sowie spezielle Szenarien für die sichere Benutzerauthentifizierung, die das Verwenden von Passwörtern überflüssig machen sollen.

DSGVO und jetzt auch noch der CLOUD Act in den USA: In Sachen Datenschutz herrscht bei den meisten Unternehmen derzeit große Verunsicherung – vor allem, wenn sie eine Multi-Cloud-Umgebung nutzen und befürchten, endgültig den Überblick zu verlieren. Doch gerade die DSGVO sorgt für Transparenz und eine bislang nicht vorhandene Rechtssicherheit – und legt damit einen wichtigen Grundstein für ein funktionierendes Multi-Cloud-Management.

Mit der Einführung der Cloud und der mobilen Organisation sind die Erwartungen und die Anforderungen von Endanwendern gestiegen – das Thema Sicherheit stellt in Zusammenhang mit Cloud-Technologien für viele IT-Verantwortliche einen Widerspruch in sich dar. Einerseits wollen Anwender von überall aus und mit jedem Gerät auf alles zugreifen - einschließlich ihrer eigenen persönlichen Geräte und BYOD. Andererseits gilt es, das Sicherheitsniveau in der Cloud umfassend anzuheben und Cloud-Infrastrukturen sicher zu betreiben.

Sicherheitsdienstleister Check Point hat eine Agenten-Lösung zum Schutz von Endgeräten vorgestellt, die von außen auf ein Unternehmensnetz zugreifen. Dafür vereint das Produkt unter anderem eine Firewall, Network Access Control (NAC), VPN-Zugang sowie Virenschutz und Programmkontrolle.

Programme zur Einhaltung von Vorschriften sind so konzipiert, dass sie sich mit den wahrgenommenen Bedrohungen oder Risiken für eine Branche oder Gemeinschaft befassen. Normalerweise legt eine Industriebehörde, z.B. Regierung oder Industriekonsortium Regulierungsstandards fest, um die Zielgruppe in dieser Branche zu schützen. Sie tut dies, indem sie regulatorische Anforderungen vorschreibt, die von jedem erfüllt werden müssen, der in dieser Branche Dienstleistungen für die erbringt.

Zum Thema CLOUD Act gibt es unterschiedliche Ansichten und Auslegungen: die einen warnen eindringlich vor der möglichen Kollision mit regionalen Gesetzgebungen wie GDPR und DSGVO, die anderen winken ab und sagen, alles alter Hut: international übergreifende Kooperationen der Exekutive, teils auch der Legislative gibt es schon seit Jahrzehnten, wurden jetzt nur upgedatet, auf neue Technologien angepasst und somit auf den aktuellen Stand gebracht. Ja, was stimmt denn nun?

Cloud Act, zweiter Teil: Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist letzte Woche vom Obersten Gerichtshof der Vereinigten Staaten eingestellt worden. Was sich zunächst positiv anhört, könnte weitreichende Auswirkungen auf das internationale Cloud Business haben - Stichwort Datenschutz.

Cloud Computing verspricht gesteigerte Effizienz und Produktivität sowie Kostenreduzierung. Eine hervorragende Grundlage für Unternehmen, sich für die digitale Transformation zu rüsten, um auch in Zukunft wettbewerbsfähig zu bleiben. Doch hinter den Chancen verbergen sich auch einschlägige Risiken, die Unternehmen nicht aus den Augen verlieren dürfen.

Mit der Verschlüsselungslösung Cryptdrive 7.0 führt Abylonsoft das Vier-Augen-System für vertrauliche Daten ein und erklärt Keyloggern den Kampf. Bildobjekte und ein so genannter Passwort-Scrampler sollen Spyware aushebeln. Für den Unternehmenseinsatz verspricht der Hersteller zudem eine verbesserte Administration des netzwerkfähigen Tools.

Die Anforderungen an ein sicheres Fahrzeug haben sich verändert. Die notwendigen Sicherheitsmaßnahmen betreffen nun auch Cloud-Dienste und Edge-Services. Gleichzeitig helfen Cloud-Services und Edge-Dienste bei der Absicherung der vernetzten Fahrzeuge (Connected Cars). Ebenso muss nicht nur der Datenschutz im Fahrzeug gewährleistet sein, sondern auch in der Cloud.

Harter Schlag für US-amerikanische Cloud-Anbieter: US-Behörden haben weltweit Zugriff auf Kundendaten, so ein aktueller Richterspruch aus den Vereinigten Staaten von Amerika. Dies widerspricht europäischen und deutschen Datenschutzvorschriften. Als Konsequenz empfiehlt Rechtsanwalt und NIFIS-Vorsitzender Dr. Thomas Lapp, künftig US-Firmen als Dienstleister zu meiden.

An dieser Stelle fragten wir bereits einmal: Ist die Deutsche Cloud am Ende? Nun wissen wir es: Ja. Zumindest wenn es um das Treuhandmodell geht. Aber es gibt Alternativen in Form von Cloud-Angeboten aus Deutschland, die weder in die Arme des amerikanischen Geheimdienstes spielen, noch einen Treuhänder benötigen.

Um das Internet der Dinge (IoT) sicherer zu machen, baut Microsoft auf Erfahrungen mit der Spielekonsole XBox und Partnerschaften mit Chipherstellern. Ergebnis ist eine integrierte Sicherheitslösung, die jetzt als Azure Sphere allgemein verfügbar ist.

Google hat im Rahmen eines europäischen Pressetages in München offiziell das Google Safety Engineering Center (GSEC) eröffnet. Dort arbeiten Datenschutz-Experten kontinuierlich an der Weiterentwicklung von Tools rund um Sicherheit und Privatsphäre.

Web- und E-Mail-Datenverkehr einer Domain lassen sich dank eines kostenlosen Webdienstes von Secure Computing analysieren, als Ergebnis wird eine entsprechende Risikoeinstufung geliefert. So lässt sich unter anderem schnell feststellen, ob die Domain frei von Malware ist oder als Spamschleuder missbraucht wird.

Deutschlands Unternehmen legen immer mehr ihre Scheu vor der Cloud ab. Das hat der Cloud Monitor 2017 von KPMG und Bitkom eindrucksvoll bestätigt. Das ist zunächst auch ein positives Zeichen. Doch dürfen CEOs, COOs und andere Verantwortliche die kommende EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht aus den Augen verlieren.

Die Frage, wie europäische Cloud Service Provider (CSPs) künftig auf gemeinsame Standards hinsichtlich Datensicherheit usw. verpflichtet und verglichen werden können, wird sukzessive beantwortet. Zwei Arbeitsgruppen haben entsprechende Codes of Conduct (CoC) verabschiedet und auf der „European Cyber Security and Cloud Computing Conference 2018“ in Wien vorgestellt.

Mit der Secure Access Gateway 3000 Series stellt Clavister erstmals eine Sicherheitslösung vor, die sichere Remote Access-Verbindungen via SSL und VPN ermöglicht. Die Security-Appliance ist in vier verschiedenen Versionen, abhängig von der zu berücksichtigenden Userzahl im Unternehmen erhältlich.

Das vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Projekt zur sicheren Inter-Netzwerk-Architektur wurde von Secunet Security Networks um eine neue Hochsicherheits-Komponente erweitert: Mit dem Sina Virtual Desktop lassen sich die Security-Funktionen nun auch für Windows nutzbar machen.

Unternehmen tauschen täglich Daten aus. Darunter auch sensible Daten, die häufig unverschlüsselt übermittelt werden. Das soll nun anders werden. Um den Datenaustausch sicherer zu machen, bietet Uniscon den Cloud-Dienst Web Privacy Service IDGARD an.

Die Cloud ist die Basis auf deren Grundlage die Unternehmen der neuen Wirtschaft ihre Dienstleistungen anbieten. Sie hat in den letzten Jahren zahlreiche bahnbrechende Innovationen ermöglicht. Allerdings ist die Cloud vor allem auch die unbekannte Kehrseite der digitalen Revolution, für die die breite Öffentlichkeit immer noch nur wenig Interesse zeigt.

Die Datenschutz-Grundverordnung (DSGVO) stellt nahezu alle Unternehmen vor Herausforderungen. Ganz egal, ob mittelständisches Unternehmen in Oberfranken oder Tech-Riese im Silicon Valley: Von den neuen Datenschutzbestimmungen wird kaum jemand verschont.

HP gibt im Rahmen seines ProActive Defense Security-Portfolios die Verfügbarkeit des ProCurve Network Access Controllers 800 bekannt. Das Gerät bietet Radius-basierte Authentifizierungs-Services und sorgt für Integrität sowohl im Netzwerk als auch an den Endpoints.

Byometric Systems will biometrische Zugangssysteme für kleine und mittlere Unternehmen interessant machen. Mit der Produktlinie ByoAccess bietet der Hersteller ein Iris-basierendes Zeiterfassungssystem, das sich per Plug-and-Play problemlos installieren lassen soll.

Vor dem Hintergrund der neuen EU-Datenschutz-Grundverordnung (GDPR) sollten Unternehmen dringend prüfen, wie mit personenbezogenen Daten umgegangen wird. Dies gilt insbesondere auch für den Datenaustausch mit Cloud-Anwendungen.

Ab sofort können Daten, die in OneDrive for Business als Teil des Office-365-Pakets in der Microsoft Cloud Deutschland abgelegt sind, mit Boxcryptor zusätzlich verschlüsselt werden.

Bei vielen Cloud-Services sind zusätzliche Maßnahmen notwendig, um die Datenschutzanforderungen an Cloud-Logging und die Kontrolle des Cloud-Administrators zu erfüllen. Dies geht aus einer von der Experton Group veröffentlichten Studie im Auftrag von Balabit hervor.

Die Cloud-Sicherheit wird beeinflusst von neuen Cloud-Trends, der dynamischen Bedrohungslage und innovativen Security-Technologien. Wir haben uns spannende Prognosen für 2020 angesehen und bewerten die Konsequenzen.

Was passiert eigentlich mit Firmendaten in der Cloud, wenn der Anbieter in Konkurs geht oder verkauft wird? Dieser Frage ist Uniscon anlässlich der Einstellung des Filehosting-Dienstes Wuala von LaCie aus der Schweiz nachgegangen.

Giesecke & Devrient präsentiert auf der RSA Conference 2008 am 7. April 2008 in San Francisco einen USB-Token mit MicroSD-Karte und Smart Card Plug-In zur sicheren Authentifizierung und Verschlüsselung. Mit der Lösung können auch Anwendungen direkt aus dem Token heraus gestartet werden, ohne Spuren auf dem Rechner zu hinterlassen.

Immer mehr Unternehmen setzen zumindest bei Teilen der IT-Infrastruktur auf die Cloud. Bei allen Vorteilen sollten Unternehmen aber auch dringend auf die Risiken achten und entsprechend vorplanen.

Die EU-Datenschutz-Grundverordnung ist beschlossen und erstmals drohen empfindliche Geldstrafen bei Nichtbeachtung. Mit den folgenden Empfehlungen bereiten sich Organisationen auf die Neuerungen 2018 vor.

Norman Data Defense hat den mobilen On-Demand-Scanner in Form eines USB-Sticks neu aufgelegt. NVC to Go heißt nun Norman Security 2 Go und basiert auf der Norman Security 7-Technologie des Herstellers. Der Virenscanner ist bereits auf dem USB-Medium vorinstalliert, aktuelle Virensignaturen werden bei bestehender Internetverbindung nachgeladen.

Kürzlich wurde der ISO Standard für “Information and communication technology disaster recovery services” veröffentlicht. Der Standard regelt die Anforderungen an interne und externe Service Provider für Disaster Recovery Services. Nach dem Standard ist eine Zertifizierung sowohl für DR-Service- als auch für DR-Facility-Provider möglich.

Konventionelle Cloud-Access-Security-Lösungen stoßen schnell an ihre Grenzen in Multi-Cloud-Umgebungen. Cloud Access Security Broker können Abhilfe schaffen.

Wie können Compliance- und regulatorischen Verpflichtungen wie die DSGVO auch bei der Nutzung der (Public-) Cloud eingehalten werden? Der Managed Service Partner Rackspace schlägt dafür u.a. ein „Cloud Management Office“ vor.

Wer cloudbasierte Dienste für Behörden und kritische Infrastrukturen in China anbieten oder Daten mit chinesischen Standorten austauschen will, muss spezielle Security-Vorgaben aus China beachten. Dabei reicht es nicht, sich auf eine Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR) der EU zu verlassen. GDPR-Compliance reicht für China nicht aus, es gibt andere Vorgaben und ein eigenes Cloud Security Assessment.

Sämtliche gespeicherten Inhalte eines Mobiltelefons können mit der Oxygen Forensic Suite auch ohne Zuhilfenahme der PIN-Nummer ausgelesen werden. Die so gewonnenen Daten können bei der Aufklärung von Verbrechen wie beispielsweise Kinderpornografie oder auch zur Terrorismusbekämpfung verwendet werden.

Cisco erweitert seine Secure Access Control Server (ACS) Produktfamilie um Cisco Secure ACS Express 5.0. Mit der Appliance-Lösung adressiert das Unternehmen mittelständische Betriebe mit weniger als 350 Anwendern. Die Lösung ermöglicht Außenstellen, sicher auf das Unternehmensnetzwerk zuzugreifen.

Windows Azure Active Directory ist die Cloud-Variante von Active Directory. Mit der Technologie können Unternehmen auch Produkte von Drittherstellern anbinden, die Authentifizierung von Office 365 verbessern und mehr. Auch die Verschlüsselung auf Basis der Rechteverwaltung lässt sich mit Office 365 und Azure Active Directory durchführen.

Unternehmen müssen wie selbstverständlich Daten von Kunden austauschen, auch von Ländern der EU in die USA. Durch einen neuen Gerichtsbeschluss sind die dafür aktuell gültigen rechtlichen Bestimmungen – Standardvertragsklauseln und/oder das sogenannte „Privacy Shield“-Verfahren - neuerlich unsicher.

Während vorbeugende IT-Security als Thema in aller Munde ist, wurden IT-forensischen Methoden im Kampf gegen die Cyberkriminalität bisher weniger Beachtung geschenkt. Das soll sich ändern, im polnischen Zamosc fand ein internationales Intensivtraining für Studenten statt und Microsoft hat auf einer Tagung Tools für Ermittlungsbehörden vorgestellt.

Ein US-Sicherheitsexperte hat ein Tool entwickelt, das auf Javascript basiert und Sicherheitslücken in Webseiten suchen soll. Die Software namens „Jikto“ sollte eigentlich das Internet sicherer machen, in falschen Händen kann sie allerdings auch für destruktive Zwecke eingesetzt werden.