:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Public Cloud und Datenschutz Datenschutz und Cloud-Speicherorte
Bei Cloud-Diensten gibt es oft Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Bei Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können allerdings meist klar in den Verträgen definiert. Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
In den ersten beiden Artikeln dieser Reihe zu „Cloud und Datenschutz“ ging es um das Pay-As-You-Go-Prinzip und die dazu nötigen technischen und organisatorischen Maßnahmen. Der Beitrag „Datenschutz in der Cloud: Sicherheit für personenbezogene Daten“ beleuchtete dabei vor allem die rechtlichen Hintergründe für Datenschutz im Rahmen von IT-Dienstleistungen thematisiert. Im Artikel „Auftragsdatenverarbeitung beim Cloud-Provider“ betrachteten wir dann einige Details und Besonderheiten des Cloud-Computing bezüglich IT-Sicherheitsaspekten. Im dritten und letzten Teil geht es jetzt das Thema Verortung: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?
:quality(80)/images.vogel.de/vogelonline/bdb/1299700/1299759/original.jpg "Das Recht an den eigenen Daten ist kein ausschließliches Thema der IT, sondern ein allgemeines, wenngleich die Wahrung der „digitalen“ Persönlichkeitsrechte des Einzelnen in der Diskussion heute dominierend ist. (Pixabay)")
Datenschutz in der Cloud
Sicherheit für personenbezogene Daten
:quality(80)/images.vogel.de/vogelonline/bdb/1376900/1376927/original.jpg "Die Erfüllung von Datenschutzvorgaben ist bei der Nutzung von Infrastruktur- (IaaS) oder Plattform-Services (PaaS) kein einfaches Projekt. (Pixabay)")
Public Cloud und Datenschutz
Auftragsdatenverarbeitung beim Cloud-Provider
Häufig gibt es Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Gerade bei Diensten, die sich an Endkunden richten, ist das häufig der Fall. Anders sieht es bei Cloud-Anbietern für den B2B-Einsatz aus. Bei Einsatzzwecken wie Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können, meist klar in den Verträgen definiert und Unternehmen können sich das auch durch eine Zertifizierungsstelle bestätigen lassen.
Um Redundanz zu schaffen, braucht der Cloud-Provider allerdings Möglichkeiten auf alternative Rechenzentren auszuweichen. Dazu sollten diese in geographisch scharf umrissenen Zonen, etwa einem Bundesland oder einer Region, gelegen sein. Sie sollten zum Geschäftskonzept und dessen Rahmenbedingungen passen.
Der Cloud-Provider sollte das komplette Spektrum der Datenverarbeitung innerhalb dieser Zone durchführen. Dazu gehören das Speichern, Transferieren und Suchen von Informationen innerhalb des Datenbestandes.
Die klare Verortung der Daten hat mehrere Vorteile. So profitiert der Nutzer von einer definierten Netzwerk-Latenz. Außerdem kann bei Nachfrage die geographisch abgegrenzte Region gezeigt werden.
Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz. Schließlich kommt es darauf an, von wo aus die eigentliche Nutzung erfolgt. Falls der Cloud-Anbieter die Daten in ein anderes Land transferiert, kann dann auf Grundlage eines Vertrages verlangt werden, das Sicherheitsniveau auf ein adäquates Niveau zu bringen.
Mittlerweile folgen die Cloud-Provider mit ihren inzwischen sehr gut ausgebauten und weltweit genutzten Dienstleistungen dem Follow-The-Sun-Prinzip: Betriebsmannschaften sind rund um die Uhr über die ganze Welt verteilt im Einsatz. So entstehen große wirtschaftliche Vorteile, etwa durch eine hohe Verfügbarkeit und eine schnelle Reaktion auf Störungen oder andere Ereignisse, die ein sofortiges Eingreifen erfordern. Auch diese Aspekte haben die Cloud so erfolgreich gemacht.
Dazu gehört aber auch ein Umdenken bei Betrieb und Standort der Cloud. Die Cloud-Dienstleistungen erreichen ihre Skalierbarkeit durch einen hohen Automatisierungsgrad und eine gewisse Uniformität der Konfigurationen. Konkret werden also automatisierte Standard-Prozesse des Cloud-Providers genutzt. Sie sind auf Herz und Nieren geprüft, haben sich im täglichen Einsatz bewährt und sind auf einem sehr hohen Sicherheitsniveau. Trotzdem ist es wichtig, dass sie internationalen Industriestandards genügen und von verschiedenen Prüfinstanzen hinsichtlich Integrität, Ausfallsicherheit und Vertraulichkeit unter die Lupe genommen wurden.
:quality(80)/images.vogel.de/vogelonline/bdb/1398900/1398917/original.jpg "Die Anforderungen der DSGVO müssen erfüllt werden, um Haftungs- und Bußgeldrisiken zu vermeiden und die Kundenbeziehung zu sichern. (© nmann77 - stock.adobe.com)")
Rechtspaket für IT-Dienstleister
Wie Auftragsverarbeiter der DSGVO gerecht werden
Die Datenschutz-Grundverordnung (DSGVO) führt im Vergleich mit dem Bundesdatenschutzgesetz zu mehreren deutlichen Änderungen. So findet sich die in §5 Absatz 11 BDSG klar umrissenen Klassifizierungen rund um Wartung und Betrieb von Anlagen zur Verarbeitung personenbezogener Daten nicht mehr in der DSGVO. Dort werden nun Risiken hinsichtlich des Zugriffs auf personenbezogene Daten durch einen Service- oder Wartungsmitarbeiter – auch im nicht EU-Ausland – angegangen. Auch mit Blick auf die DSGVO ist es wichtig, die mögliche Übertragung von Daten in das nicht EU/EWR-Ausland zu prüfen. Dagegen wird eine potentielle Wartung nicht automatisch einer Verarbeitung von personenbezogenen Daten gleichgestellt. Zudem gilt, dass der Cloud-Anbieter konform zu einem Standard, z. B. dem C5-Standard, arbeiten muss. Dies soll er durch Zertifizierungen nachweisen. Außerdem muss der Cloud-Kunde für ein angemessenes Sicherheitsniveau sorgen.
:quality(80)/images.vogel.de/vogelonline/bdb/1341200/1341258/original.jpg "An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz. (© scottchan - stock.adobe.com)")
Sicherheit in der Cloud
Cloud Zertifikate - Was sind C5 und TCDP?
In allen Fällen – nicht nur beim Datenschutz – muss der genutzte Cloud-Dienst genau betrachtet werden. Das gilt zum Beispiel für die Frage, ob Daten auf der Ebene der Bits und Bytes vom Cloud-Provider angesehen können und auf welche Daten genau zugegriffen wird. Virtuelle Maschinen, ohne eine Verwaltung des Betriebssystems, als auch Block- oder objektorientiere Speicherlösungen sowie Netzwerkinfrastrukturen sind dabei meist unkritisch. Sofern höherwertige Dienste wie verwaltete Datenbanken oder gar Verzeichnis- oder Suchdienste angeboten werden, ist eine zusätzliche Sicherung zu prüfen. Dabei ist der vertragliche Rahmen durch die EU-Contractual-Clauses abgesteckt.
Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.
(ID:45386416)
:quality(80)/p7i.vogel.de/wcms/80/35/80356503d4c434659b5561d42b999889/0107737091.jpeg "Mit dem neuen Datenschutzgesetz will die Schweiz primär sicherstellen, dass die EU sie weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau nach DSGVO anerkennt. (Bild: Sehenswerk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/e0/5ee0967ac20c1f77bf2384111ecd19fb/0109389331.jpeg "Die Relevanz eines durchdachten Datenschutzes hat sich weltweit herumgesprochen und der strenge europäische Datenschutz dient als Vorbild. (Bild: mixmagic - stock.adobe.com)")