:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Dienstleister und Kunden in der Pflicht Cloud Computing und Service Level Agreements
Aufgrund der völlig unterschiedlichen Cloud-Konzepte reicht das klassische Service Level Agreement (SLA) nicht mehr aus, um Haftungs- und Zuständigkeitsfragen in der Wolke verbindlich abzuklären. Fest steht: Es gibt viele „kleingedruckte“ Herausforderungen aus Sicht der Unternehmen zu lösen. Wie also kann ein individuell maßgeschneidertes Richtlinienwerk aussehen?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
Wo setzt ein Unternehmen beim rechtlichen Steuerungsinstrument der Service Level Agreements (SLAs) am besten den Hebel an, damit dies kein reiner Papiertiger bleibt? Auf diese komplizierte Fragestellung gibt Oliver M. Bühr, Fachanwalt für Informationsrecht bei der SKW Schwarz Rechtsanwälte in Frankfurt, eine eindeutige Antwort: „Die einzelnen Leistungskennzahlen [Key Performance Indicators, KPIs, Anm. d. Red.] müssen so genau wie möglich beschrieben werden, insbesondere die Cloud-spezifischen Charakteristika.“
Doch die Tücke steckt bekanntlich im Vertragsdetail: Die KPIs sind hernach, so der Rechtsexperte weiter, mit entsprechenden Strafen zu koppeln. Wo das nicht möglich sei, sollten kurze Kündigungsfristen vereinbart werden. „Im Gegensatz zum normalen Outsourcing sind Cloud-Leistungen Commodities [beliebig austauschbare Produkte, Anm. der Red.]. Ein kurzfristiger Anbieterwechsel ist deshalb eine tatsächliche Option“, gibt Bühr zu bedenken.
Doch wie lässt sich in der Wolke die Konformität zu den unzähligen Datenschutzgesetzen national wie international auf möglichst pragmatische Art und Weise herstellen? Konkret rät der Fachanwalt zunächst zu folgendem Vorgehen: Wo es möglich sei, sollen die Daten demnach anonymisiert oder verschlüsselt werden. „Eine Verschlüsselung dürfte allerdings in dem Moment ausscheiden, wo die Daten beim Cloud Provider weiter verarbeitet werden“, beschreibt der Experte einen denkbaren Konfliktherd.
Im Übrigen müsse der Cloud-Nutzer vor allem das Datenschutzrecht am jeweiligen Ort beachten, von dem er die personenbezogenen Daten an den Cloud-Anbieter weiter versende. Dieses Recht sei dem Cloud-Nutzer normalerweise bekannt, weil er die Daten auf dieser Grundlage bereits selbst erhoben und gespeichert habe. Jedoch lassen sich damit nicht alle Haftungs- und Zuständigkeitsfragen auf einen Blick erledigen.
Rechtliche Absicherung
Der Streit bzw. Schlichtungsfall ist gerade bei einem allzu eilfertigen Gang in die Wolke nicht selten programmiert. „Die Haftung des Cloud Providers ist eine der Sanktionen bei Schlechtleistung“, skizziert Bühr. Im Klartext: Die Leistungspflicht des Cloud-Providers wird überhaupt erst durch klare Sanktionsmechanismen untermauert. „Ansonsten hätte er kein Risiko, wenn er seinen Leistungspflichten nicht oder nicht ausreichend nachkommt“, fasst der Experte zusammen.
Selbst eine gute rechtliche Vorbereitung macht noch keinen Selbstläufer aus: Denn auch im laufenden Betrieb habe das Management des Cloud-Nutzers darauf zu achten, dass der „Cloud-Vertrag“ Haftungsregelungen enthalte, die das Unternehmen gegen Ansprüche Dritter, wie z.B. Kunden, bei einer mangelhaften Leistung des Cloud Providers absichere. „Der Cloud Nutzer haftet gegenüber seinen Kunden für Schlechtleistungen des von ihm beauftragten Cloud Providers, weil der Cloud Provider im Normalfall Erfüllungsgehilfe des Cloud Nutzers ist“, bilanziert der Experte die komplexe Gemengelage.
Seite 2: Rechtliche und technische Evaluierung eng verzahnen
(ID:2050930)
:quality(80)/p7i.vogel.de/wcms/19/29/1929d1ea2a91cd8ee667510599116921/0105544248.jpeg "Kleine und mittelständische Unternehmen haben häufig nicht die Kapazitäten eigenes Security-Know-how aufzubauen, weil die IT-Abteilung mit den Alltagsaufgaben bereits ausgelastet ist. Hier können externe Experten helfen. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d0/93d03298510d267dc560bab553630454/0111873914.jpeg "Ein ausgeklügeltes und vielschichtiges Sicherheitskonzept stellt gerade kleinere Firmen vor enorme Herausforderungen, auch wenn die Bedrohungslage für sie nicht geringer ist. (Bild: onephoto - stock.adobe.com)")