:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO und neue Technologien Datenschutzbewertung von Quantencomputern
Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quanten-Computer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die drei größten Hürden beim Einsatz neuer Technologien sind nach Ansicht der Unternehmen Anforderungen an den Datenschutz (79 Prozent, 2019: 74 Prozent), die Anforderungen an die technische Sicherheit (63 Prozent, 2019: 57 Prozent) sowie fehlende Fachkräfte (55 Prozent, 2019: 48 Prozent), so eine Umfrage des Digitalverbands Bitkom im April 2020.
Gleichzeitig setzen viele Unternehmen auf neue Technologien, um den Datenschutz voranzubringen. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung der DSGVO (Datenschutz-Grundverordnung) spezielle Softwaretools genutzt.
Auch die Aufsichtsbehörden für den Datenschutz sehen Vorteile in neuen Technologien. Diese werden nicht nur als mögliches Risiko gesehen, auch wenn der Einsatz neuer Technologien ein wesentlicher Grund ist, eine Datenschutzfolgenabschätzung (DSFA, Artikel 35 DSGVO) vorzunehmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1725500/1725588/original.jpg "Zur Zukunft des Quantencomputing befragt, gibt sich Prof. Dr. Christoph Skornia mitunter wettfreudig. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 18
Quantencomputing und Sicherheit im Fokus
DSGVO fordert Stand der Technik
Neue Technologien, die sich als erfolgreich erweisen, werden in aller Regel zum Stand der Technik. Wie wichtig die Nutzung aktueller Technologien für den Datenschutz ist, zeigt deshalb auch die klare Forderung nach dem Stand der Technik, wenn es um die Sicherheit der Verarbeitung geht. An mehreren Stellen findet man den Bezug zum Einsatz aktueller Lösungen:
- Artikel 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Unter Berücksichtigung des Stands der Technik, (...) trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.
- Artikel 32 DSGVO: Sicherheit der Verarbeitung: Unter Berücksichtigung des Stands der Technik, (...) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Auch und gerade bei Verschlüsselung muss auf den Stand der Technik geachtet werden. Auch aus diesem Grund sind neue Technologien wie Quantum Computing ein Thema für den Datenschutz.
Bewertung von Quantencomputern
„Quantencomputer können aufgrund der neuen, schnellen Methode zur Durchführung von Berechnungen für wissenschaftliche Entwicklungen von großem Nutzen sein. Sobald sie verfügbar sind, können sie jedoch die derzeit verwendete Kryptografie beschädigen und den Schutz (persönlicher) Daten untergraben“, sagt der Europäische Datenschutzbeauftragte.
Es gibt demnach viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten. Ein Grund ist die Fähigkeit, Kryptographie zu brechen. Quantum Computing kann viele der heutigen klassischen Kryptografien beschädigen und als solche die IT-Sicherheit erheblich beeinträchtigen, so der Europäische Datenschutzbeauftragte. Das Risiko erstreckt sich auf die wichtigsten Internet-Sicherheitsprotokolle. Fast alle heutigen Systeme, die Sicherheit, Datenschutz oder Vertrauen erfordern, wären betroffen.
Aufsichtsbehörden für den Datenschutz befassen sich (natürlich) auch mit den notwendigen Reaktionen auf eine solche technologische Entwicklung: Postquantenkryptographie oder quantensichere Kryptographie. Die Post-Quanten-Kryptographie wird aus Sicht des EU-Datenschützers jedoch wahrscheinlich mit Leistungsnachteilen verbunden sein und größere Rechenressourcen erfordern.
Gleichzeitig warnt der Datenschützer: Die Post-Quanten-Kryptographie ist noch nicht standardisiert. Es muss ausreichend und überzeugendes Wissen vorhanden sein, um in einer sogenannten Kryptoanalyse zu dem Schluss zu kommen, dass eine solche Lösung sowohl für das Quanten- als auch für das binäre Rechnen sicher ist. Das Nationale Institut für Standards und Technologie der USA (NIST) arbeitet an einem Post-Quanten-Kryptographie-Standard und schätzt, dass 2022 oder 2024 ein Entwurf mit einem ersten Algorithmus veröffentlicht wird. Nach der Standardisierung müssen Algorithmen in Standard-Internetprotokolle wie HTTPS integriert werden.
Datenschutz bremst nicht, sondern begleitet neue Technologien
Offensichtlich sehen sich die Datenschützer die möglichen Folgen von Quantum Computing kritisch, aber praxisnah an, genau wie es das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch macht. Entsprechend hat der Europäische Datenschutzbeauftragte praktische Hinweise für Unternehmen:
- Unternehmen sollten überlegen, wie lange sie die absolute Vertraulichkeit der Daten und den Schutz vor nachträglicher Entschlüsselung gewährleisten müssen. Bislang besteht auf absehbare Zeit keine unmittelbare Bedrohung durch einen Quantencomputer. Für Daten, die sehr lange sicher bleiben müssen, stellt diese Unsicherheit ein Problem dar, das möglicherweise einen frühen Übergang zur Post-Quanten-Kryptographie erfordert.
- Aus diesem Grund könnten einige Organisationen daran interessiert sein, eine angemessene Risikobewertung sowie Notfall- und Migrationspläne zu erstellen. Solche Pläne sollten aber immer die Gewährleistung der Datensicherheit in Bezug auf die heutige Nicht-Quanten-Sicherheit priorisieren.
- Bei der Umstellung auf Post-Quanten-Systeme sollten Unternehmen bestehende Risiken und die üblichen Überlegungen bei der Migration von Daten berücksichtigen, die Datensicherheit (Zuverlässigkeit, Verfügbarkeit) sowie Vertraulichkeit gewährleisten (z. B. wenn die Daten mit Post-Quanten-Kryptographie neu verschlüsselt werden).
Diese Praxistipps des EU-Datenschützers zeigen, dass der Datenschutz neue Technologien nicht bremsen will, sondern die Entwicklung begleitet. Letztlich sorgt der Datenschutz auch dafür, dass neue Technologien sicher und unter Beachtung von Compliance-Vorgaben eingesetzt werden können.
(ID:46944337)
:quality(80)/p7i.vogel.de/wcms/50/02/500205f26ce6669b38bc13f9e811474f/0114780458.jpeg "IT-Führungskräfte sehen dringenden Bedarf nach Investitionen zur Planung quantensicherer Methoden — Mängel bei Zuständigkeiten sowie fehlende Budgets und Unterstützung durch die Geschäftsleitung sind die größten Hindernisse. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/9e/1f9efb0bf5e5fed2e1003a27d8bc48a7/0109124174.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung (Bild: gemeinfrei)")