:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-Datenschutzgrundverordnung Cloud-Nutzung und DSGVO in Einklang bringen
Deutschlands Unternehmen legen immer mehr ihre Scheu vor der Cloud ab. Das hat der Cloud Monitor 2017 von KPMG und Bitkom eindrucksvoll bestätigt. Das ist zunächst auch ein positives Zeichen. Doch dürfen CEOs, COOs und andere Verantwortliche die kommende EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht aus den Augen verlieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Für die Sicherheit ihrer Daten bleiben Verantwortliche in Unternehmen trotz Cloud-Anbieter als Mittelsmann verantwortlich. Um die Vorteile der Datenwolke auch weiterhin zu nutzen und gleichzeitig DSGVO-konform zu sein, gibt es aber Lösungen.
Es ist kurz vor zwölf. Denn bis zum 25. Mai 2018, wenn die DSGVO endgültig in Kraft tritt, bleibt nicht mehr viel Zeit. Dann müssen Unternehmen weltweit ihre Compliance hinsichtlich personenbezogener Daten vollständig angepasst haben, sofern sie Daten von EU-Bürgern erheben, speichern oder bearbeiten. Um das zu erreichen, müssen Organisationen jeder Art einen genauen Überblick über alle in Frage kommenden Daten haben, klare Vorgaben machen, wie mit ihnen umzugehen ist, und sie müssen alle Daten jederzeit umfangreich schützen. Gehört die Arbeit mit personenbezogenen Daten zum Kerngeschäft einer Organisation, muss zwingend ein Datenschutzbeauftragter ernannt werden. Strafen von bis zu zehn Millionen Euro bei Nichtbefolgung sollten Warnung genug sein.
Ein besonderer Fall ist jedoch der Umgang mit Daten in der Cloud. Denn selbst wenn die gesamte IT-Infrastruktur aus ihr bezogen wird oder in großem Umfang virtuelle Maschinen (VMs) zum Einsatz kommen, kann die Verantwortung für die Daten nicht vollständig an einen Drittanbieter abgetreten werden. So unterscheidet die EU-Verordnung zwischen Datenverarbeiter (Cloud-Anbieter) und Datenverantwortlichem (Cloud-Nutzer) – beide müssen jedoch sichergehen, dass sie Maßnahmen implementiert haben, die den Vorgaben der DSGVO Rechnung tragen. Und das geht über die reine Datensicherheit hinaus.
Klare Regeln – klar dokumentiert
Ein Hauptaugenmerk der DSGVO gilt etwa den Dokumentations- und Informationspflichten. Für Unternehmen, die die Dienste von Cloud-Anbietern nutzen, heißt das, dass sie zunächst mit dem Dienstleister gemeinsame Compliance-Regeln abstimmen sollten. Der Cloud-Service-Provider ist beispielsweise dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Aus Sicht eines Unternehmens ist es demnach sinnvoll, solche Vorgaben vertraglich festzuschreiben und diese gegenseitigen Vereinbarungen auch in das eigene Compliance-Regelwerk miteinfließen zu lassen.
Dokumentationspflichtig sind unter anderem Informationen zum Zweck der Datenverarbeitung, Aufbewahrungsfristen sowie die unternehmensinternen Empfänger der Daten – beispielsweise wer, in welcher Abteilung Zugriff auf die vorgehaltenen personenbezogenen Daten hat. Zudem müssen Organisationen Ihre Kunden umfangreich über die Umstände aufklären, unter denen sie Daten erheben, speichern und verarbeiten. Zusätzlich dazu müssen Verfahren eingeführt werden, die das ausdrückliche Einverständnis der Betroffenen garantieren. Denkbar wäre hier etwa eine Zwei-Faktor-Authentifizierung statt einmalig einen Haken auf einem Onlineformular zu setzen. Alle neu eingeführten Vorgaben und aktualisierten Abläufe sind sowohl beim Cloud-Anbieter als auch beim Cloud-Nutzer in die Compliance aufzunehmen.
Alles unter Kontrolle – jederzeit
Ein Datenleck ist keine Frage des ob, sondern des wann. Das sollte spätestens durch die zuletzt bekannt gewordenen Fälle wie bei Uber (57 Millionen Datensätze), Equifax (127 Millionen Datensätze) und Yahoo (rund 3 Milliarden Accounts) mehr als klar sein. Ob es sich hierbei um das eigene Unternehmensnetzwerk oder um die Cloud handelt, ist unerheblich. Denn die einzige Maßnahme, die in letzter Instanz ausreichend Schutz bietet, ist die Verschlüsselung. Und das aus einem einfachen Grund: Wenn Daten nicht gelesen werden können, gelten sie nicht als verloren – einer der wenigen Fälle in denen die DSGVO wirklich konkret wird. Das gleiche Prinzip gilt auch für Daten in der Cloud. Anwender sollten sie daher besser noch vor der Migration in die Datenwolke verschlüsseln.
Zwar bieten alle größeren Cloud-Anbieter von Amazon bis Google eine eigene Verschlüsselung an, doch wäre in diesem Fall nur der Datenverarbeiter seiner Pflicht nachgekommen. Der Datenverantwortliche – das Unternehmen – würde den Kürzeren ziehen, sollte sich etwa bei einem Audit herausstellen, dass keine Sicherheitsmaßnahmen für die in einer Cloud gespeicherten Daten vorhanden sind. Denn es besteht eine zweifache Gefahr: Zum einen, dass unbefugte Personen von Seiten des Datenverarbeiters auf personenbezogene Daten zugreifen. Zum anderen verliert ein Unternehmen bei einem Datenleck des Cloud-Anbieters im Nachhinein jede Kontrollmöglichkeit – sofern keine eigenen Maßnahmen getroffen wurden. Verschlüsselt der Datenverantwortliche hingegen selbst und nutzt er ein intelligentes Key-Management, ist er auf der sicheren Seite: Der Cloud-Anbieter kann nicht auf Daten zugreifen und bei einem Leck kann der Cloud-Anwender die Verschlüsselungs-Keys löschen – der Zugang zu den Daten bleibt damit unwiderruflich verwehrt.
Defizite in der Wahrnehmung
Tatsächlich grassiert aber die Sorglosigkeit. Denn auch das brachte der Cloud Monitor zutage: Obwohl neun von zehn (91 Prozent) befragten Unternehmen spezielle Security-Services nutzen, überprüft fast ein Drittel von ihnen überhaupt nicht, ob etwa die verwendete Cloud-Lösung die Verschlüsselung von Daten durchführt. Angesichts der 60 Prozent, die den „unberechtigten Zugriff auf sensible Unternehmensdaten“ befürchten, und der 52 Prozent, die „rechtliche und regulatorische Bestimmungen“ als Hindernis zur Cloud-Nutzung sehen, ist das nur schwer nachvollziehbar. Zudem klafft auch beim Monitoring der Cloud-Anwendungen eine Lücke: Fast jedes dritte Unternehmen verzichtet gänzlich darauf, obwohl dies für die Einhaltung der DSGVO besonders wichtig ist.
Speicherorte im Blick behalten
Was das Cloud-Monitoring so unabdingbar macht, ist neben der Überprüfung der implementierten Sicherheitsmaßnahmen auch die Frage nach dem physischen Speicherort. Denn laut DSGVO dürfen personenbezogene Daten von EU-Bürgern nicht in einem Land aufbewahrt werden, dessen Rechtsstaat nicht den geltenden EU-Mindeststandards entspricht. Datenverantwortliche sind demnach verpflichtet, genau darauf zu achten, wo die von ihnen in die Cloud migrierten Daten gespeichert werden. Glücklicherweise geht das Monitoring heutzutage sehr leicht. Lösungen wie etwa SecureDoc CloudVM von WinMagic ermöglichen Nutzern, das Booten einer virtuellen Maschine (VM) für bestimmte Länder oder Regionen zu verhindern. Das gelingt mittels zuvor vom Administrator festgelegter Server-Richtlinie. Während der Pre-Boot-Authentifizierung der vorhandenen VMs findet ein Abgleich mit einem Remote-Server zur Schlüsselverwaltung statt. Nur wenn der Abgleich erfolgreich war, wird vollständig gebootet und Zugriff auf die Daten gewährt. Auf diese Weise lassen sich auch Anwendungen als Software-as-a-Service je nach Standort der Cloud ausschließen.
Endspurt zur Cloud-fähigen DSGVO-Compliance
Private und öffentliche Organisationen sollten die Datenschutz-Grundverordnung nicht als Strafe betrachten und ihre Einhaltung ist auch kein Hexenwerk. Wie bei allen großen gesetzlichen Reformen gibt es zwar auch hier einen nachvollziehbaren Unsicherheitsfaktor, da die Feinheiten sich vermutlich erst im Verlauf der praktischen Rechtsprechung herausbilden. Aber solange einige wesentliche Punkte beachtet und streng befolgt werden, können Verantwortliche beruhigt dem Mai 2018 entgegensehen.
Da die zu befolgenden Maßnahmen sowohl unternehmensintern als auch extern für die Cloud-Nutzung gelten, kann eine umfangreiche Anpassung an die DSGVO sogar mit einem plattformunabhängigen Ansatz gelingen. Vorausgesetzt, einige wesentliche Punkte werden beachtet:
- Klären Sie mit dem Cloud-Service-Provider die genauen Umstände, wie Daten gespeichert und bearbeitet werden und legen Sie ein schriftliches Regelwerk fest.
- Sorgen Sie dafür, dass sowohl die Dokumentations- als auch Informationspflichten nach innen und außen lückenlos erfolgen.
- Ernennen Sie einen fachkundigen Datenschutzbeauftragten, um auf Nummer sicher zu gehen.
- Passen Sie Ihre Datenschutzerklärung an die neuen Regelungen der DSGVO an.
- Vermeiden Sie durch Cyber-Security-Maßnahmen wie Virenscanner, Firewalls und VPN-Netzwerke Sicherheitslücken – auch bei der Verbindung zur Cloud.
- Verschlüsseln Sie Ihre Daten noch bevor Sie sie in die Cloud migrieren.
- Behalten Sie durch umfangreiches Monitoring den Überblick über den Speicherstandort und mittels intelligentem Key-Management stets die volle Kontrolle über alle Daten in der Cloud.
Der Autor: James LaPalme, VP Business Development & Cloud Solutions bei WinMagic
(ID:45103667)
:quality(80)/p7i.vogel.de/wcms/4b/67/4b673b566a04e24e8593a9ccbfd65c23/0110764137.jpeg "Durch die Verschlüsselung von Daten, bevor diese in der Cloud gespeichert werden, bewahren sich Unternehmen die vollständige Datenautonomie und gewährleisten so die Einhaltung der DSGVO, unabhängig vom verwendeten Cloud-Anbieter. (Bild: estherpoon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/54/ad542075237c58bf30e9a7c483e4a849/0108012711.jpeg "Confidential Computing schützt die Daten in einer Public Cloud auch während der Verarbeitung – für die Umsetzung gibt es verschiedene Lösungsansätze. (Bild: Ivan - stock.adobe.com)")