:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Dienstleister und Kunden in der Pflicht Cloud Computing und Service Level Agreements
Aufgrund der völlig unterschiedlichen Cloud-Konzepte reicht das klassische Service Level Agreement (SLA) nicht mehr aus, um Haftungs- und Zuständigkeitsfragen in der Wolke verbindlich abzuklären. Fest steht: Es gibt viele „kleingedruckte“ Herausforderungen aus Sicht der Unternehmen zu lösen. Wie also kann ein individuell maßgeschneidertes Richtlinienwerk aussehen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Wo setzt ein Unternehmen beim rechtlichen Steuerungsinstrument der Service Level Agreements (SLAs) am besten den Hebel an, damit dies kein reiner Papiertiger bleibt? Auf diese komplizierte Fragestellung gibt Oliver M. Bühr, Fachanwalt für Informationsrecht bei der SKW Schwarz Rechtsanwälte in Frankfurt, eine eindeutige Antwort: „Die einzelnen Leistungskennzahlen [Key Performance Indicators, KPIs, Anm. d. Red.] müssen so genau wie möglich beschrieben werden, insbesondere die Cloud-spezifischen Charakteristika.“
Doch die Tücke steckt bekanntlich im Vertragsdetail: Die KPIs sind hernach, so der Rechtsexperte weiter, mit entsprechenden Strafen zu koppeln. Wo das nicht möglich sei, sollten kurze Kündigungsfristen vereinbart werden. „Im Gegensatz zum normalen Outsourcing sind Cloud-Leistungen Commodities [beliebig austauschbare Produkte, Anm. der Red.]. Ein kurzfristiger Anbieterwechsel ist deshalb eine tatsächliche Option“, gibt Bühr zu bedenken.
Doch wie lässt sich in der Wolke die Konformität zu den unzähligen Datenschutzgesetzen national wie international auf möglichst pragmatische Art und Weise herstellen? Konkret rät der Fachanwalt zunächst zu folgendem Vorgehen: Wo es möglich sei, sollen die Daten demnach anonymisiert oder verschlüsselt werden. „Eine Verschlüsselung dürfte allerdings in dem Moment ausscheiden, wo die Daten beim Cloud Provider weiter verarbeitet werden“, beschreibt der Experte einen denkbaren Konfliktherd.
Im Übrigen müsse der Cloud-Nutzer vor allem das Datenschutzrecht am jeweiligen Ort beachten, von dem er die personenbezogenen Daten an den Cloud-Anbieter weiter versende. Dieses Recht sei dem Cloud-Nutzer normalerweise bekannt, weil er die Daten auf dieser Grundlage bereits selbst erhoben und gespeichert habe. Jedoch lassen sich damit nicht alle Haftungs- und Zuständigkeitsfragen auf einen Blick erledigen.
Rechtliche Absicherung
Der Streit bzw. Schlichtungsfall ist gerade bei einem allzu eilfertigen Gang in die Wolke nicht selten programmiert. „Die Haftung des Cloud Providers ist eine der Sanktionen bei Schlechtleistung“, skizziert Bühr. Im Klartext: Die Leistungspflicht des Cloud-Providers wird überhaupt erst durch klare Sanktionsmechanismen untermauert. „Ansonsten hätte er kein Risiko, wenn er seinen Leistungspflichten nicht oder nicht ausreichend nachkommt“, fasst der Experte zusammen.
Selbst eine gute rechtliche Vorbereitung macht noch keinen Selbstläufer aus: Denn auch im laufenden Betrieb habe das Management des Cloud-Nutzers darauf zu achten, dass der „Cloud-Vertrag“ Haftungsregelungen enthalte, die das Unternehmen gegen Ansprüche Dritter, wie z.B. Kunden, bei einer mangelhaften Leistung des Cloud Providers absichere. „Der Cloud Nutzer haftet gegenüber seinen Kunden für Schlechtleistungen des von ihm beauftragten Cloud Providers, weil der Cloud Provider im Normalfall Erfüllungsgehilfe des Cloud Nutzers ist“, bilanziert der Experte die komplexe Gemengelage.
Seite 2: Rechtliche und technische Evaluierung eng verzahnen
Rechtliche und technische Evaluierung eng verzahnen
Neben der rechtlichen Sichtweise rückt die nächste Hürde in Verbindung mit der Ausgestaltung von SLA spätestens bei der technischen Evaluierung in Sichtweite. Kurzum: IT Governance oder auch „Cloud Governance” sind wichtige Bausteine auf dem Weg zu professionell gemanagten Cloud-Umgebungen.
„Aber nur wenn die Dienstleister ihre SLA transparent gestalten und auch einhalten sowie die interne IT sich mit den notwendigen Technologien und Schnittstellen auch selbst auskennt, lassen sich hybride Clouds erfolgreich und sicher betreiben“, betont Carlo Velten, Senior Advisor bei den Marktforschern der Experton Group.
Dies bedeutet für Unternehmen, sowohl kulturell als auf Prozessebene sich für das neue Sourcing-Modell zu wappnen. Kurzum, Unternehmen sollten die Herausforderung ganzheitlich angehen. Die Cloud Governance solle sich an den Kriterien Transparenz, Machbarkeit und Messbarkeit orientieren, um im Rahmen einer breiter angelegten IT Governance dauerhaft Bestand zu haben, präzisiert Velten. „Nur wenn Strategien, Roadmaps, Projekte, Architekturen und Sourcingprozesse klar und verständlich beschrieben und in der Praxis umsetzbar sind, wird das Modell im Unternehmen Erfolg haben.“
Kein Generalschlüssel für maßgeschneiderte SLA
Man dürfe die Cloud-Problematik ohnehin nicht losgelöst betrachten von anderen IT-Megatrends, etwa von der Mobilität und der rasant anwachsenden Endgerätevielfalt, ergänzt Viktor Hagen, Experte Data Center Architecture & Virtualisation bei Cisco. Der Ansatzpunkt für eine tragfähige Governance-Strategie könne deshalb nur das Netzwerk selbst sein: „Denn Netzwerke sind die Plattform sowohl für jede Art von Cloud-Service als auch für den mobilen Remote-Zugriff auf Unternehmensressourcen.“
Für eine ganzheitliche Sichtweise offeriert der Netzwerkspezialist diverse Lösungsansätze, etwa auf Basis der High-Level Policy Language von Cisco SecureX. Ein optimaler und zugleich pragmatischer Lösungsansatz ergebe sich durch Kombination aus übergreifendem Policy Enforcement, kontextsensitiven Scanning-Modulen und globaler Thread-Defense-Intelligenz, empfiehlt Viktor Hagen.
„Bei der Planung von virtuellen Umgebungen muss die Governance von Anfang an mit eingebaut werden“, betont demgegenüber Mark Masterson, Innovation Lead Cloud Computing, beim IT-Dienstleister CSC. Üblicherweise werde jede Form der Steuerung (Governance) jedoch von den Virtualisierungsspezialisten eher als störend empfunden und nicht als Business Enabler. Die Governance-Verantwortlichen dagegen verstünden oftmals nicht die technischen Zusammenhänge. Hier sei deshalb gegenseitige Aufklärungsarbeit zu leisten, „und es sollten heterogene Projektteams gebildet werden“, so der Experte weiter.
Fazit: Die Preisfrage, ob sich überhaupt eine Blaupause zur Lösung der SLA-Problematik in der Wolke aufstellen lässt, oder ob allzu generalisierte Richtlinien nicht ans Ziel führen, bleibt in der technischen Umsetzung eine Gratwanderung. „Sobald Organisationen Services aus einer Public Cloud beziehen, sollten sie als Maßstab für SLAs zumindest die Forderungen anlegen, die sie sich auch beim Eigenbetrieb auferlegen würden“, fasst deshalb Mark Masterson zusammen.
Und der Experte von CSC verkündet schließlich auch eine gute Nachricht, die die Umsetzung durchaus als realistisch erscheinen lässt. In der Regel lieferten die Cloud-Anbieter deutlich bessere SLA’s, als dies die Organisationen selbst mit vernünftigem Aufwand bewerkstelligen könnten, bilanziert der Experte vom IT-Dienstleister CSC.
(ID:2050930)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937676/original.jpg "Ransomware entwickelt sich immer weiter. Der zunehmende Einsatz von Datenexfiltration in Kombination mit Ransomware erfordert von Unternehmen einen erweiterten Sicherheitsansatz. (ipopba - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")