:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Computing und Datenschutz Datensicherheit und Datenschutz in der Cloud
Auch wenn sich die öffentliche Diskussion rund um Security, Compliance und Datenschutz in der Cloud inzwischen etwas gelegt hat, ist das Thema in deutschen Unternehmen immer noch ein Dauerbrenner. Die Gründe hierfür liegen nicht selten sowohl in einer generellen Unsicherheit bezüglich der Rechtslage als auch in dem fast schon „traditionellen“ Bedürfnis vieler deutscher Unternehmen nach einer lokalen Daten- und Informationsvorhaltung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Bei der Nutzung von Cloud Services beginnt die rechtliche Herausforderung häufig bereits bei der Übertragung der eigenen Daten auf den Server des Cloud Providers. Denn meist sind unter diesen Daten auch personenbezogene Daten (oder kurz „Personendaten“).
Auf diese Personendaten finden die geltenden Datenschutzgesetze Anwendung, wonach es für die Übertragung und externe Verarbeitung der Personendaten einer gesetzlichen Ermächtigungsgrundlage bedarf. Dies beispielsweise durch eine dauerhafte Anonymisierung oder Verschlüsselung der Personendaten zu umgehen, ist für die alltägliche Arbeit zumeist wenig praktikabel. In der Praxis hat sich für das Cloud Computing daher die so genannte Auftragsdatenverarbeitung (§11 Bundesdatenschutzgesetz, kurz „BDSG“) als geeignete Ermächtigungsgrundlage etabliert.
Anforderungen für eine rechtssichere (Auftrags-)Datenverarbeitung
Für eine rechtskonforme Datenverarbeitung im Wege der Auftragsdatenverarbeitung sollten Unternehmen darauf achten, dass ihr Cloud Provider die folgenden Anforderungen erfüllt:
- Es gibt für den Cloud Service ausführliche vertragliche Regelungen (auch) im Sinne des §11 BDSG, die bei Bedarf auch schriftlich (d. h. mit Unterschriften) abgeschlossen werden können;
- der Cloud Provider hat in seinen Rechenzentren angemessene technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit (im Sinne des §9 BDSG) getroffen (zum Beispiel Zutritts-/Zugangskontrollen) und gewährleistet deren Einhaltung auch in den vertraglichen Regelungen.
Für Cloud-Nutzer ausgesprochen hilfreich ist an dieser Stelle eine ISO-27001- Zertifizierung der Cloud-Rechenzentren. Denn hierdurch trägt der Cloud Provider auf eigene Kosten, regelmäßig geprüft durch das Audit eines unabhängigen Dritten, für die Aktuellhaltung der (auch) datenschutzrechtlichen Sicherheitsmaßnahmen Sorge und übernimmt damit auch gleich die gesetzlichen Prüfpflichten der Cloud-Nutzer. Ein Nachweis, der nach Kenntnis des Autors auch von den Aufsichtsbehörden akzeptiert wird.
Als Vorreiter in Sachen Datenschutz hat sich hier in den vergangenen Jahren das Cloud-Angebot von Microsoft positioniert. Schon früh ergriff der Soft- und Hardware-Hersteller mit großem Aufwand eine Reihe von Maßnahmen, um die in Deutschland und Europa zum Datenschutz geltenden gesetzlichen Anforderungen optimal zu erfüllen.
Rechenzentrum im Ausland – und nun?
Wie ist es denn, wenn die Rechenzentren Ihres bevorzugten Cloud Providers (auch) außerhalb Europas stehen? Schließlich ist es kein Geheimnis, dass viele Anbieter zur Datenverarbeitung auch mal auf das nichteuropäische Ausland wie zum Beispiel die USA zurückgreifen. Internationale Datenschutzabkommen wie der aktuelle „EU-US Privacy Shield“ werden von den hiesigen Aufsichtsbehörden weithin kritisch gesehen, das seit dem Jahr 2000 zwischen Europa und den USA bestehende „Safe-Harbor-Abkommen“ wurde 2015 vom Europäischen Gerichtshof sogar vollständig für ungültig erklärt.
:quality(80)/images.vogel.de/vogelonline/bdb/1311400/1311438/original.jpg "Neue Rechtsunsicherheit für internationalen Datenaustausch: Europäischer Gerichtshof prüft demnächst Standardvertragsklauseln. (gemeinfrei (TBIT / pixabay))")
Privacy Shield und Standardvertragsklauseln
Neue Unsicherheit für den Datenaustausch in der Cloud
Gut beraten sind Unternehmen aber, wenn ihr Cloud Provider Ihnen den vertraglichen Einbezug der EU-Standardvertragsklauseln ermöglicht oder, noch besser, diese Klauseln direkt zum Vertrag hinzunimmt. Denn die unveränderte Verwendung dieser von der EU-Kommission vor Jahren ausgearbeiteten Datenschutzklauseln führt aus Sicht der Aufsichtsbehörden zu einem angemessenen Datenschutzniveau – mit der Konsequenz, dass auch ein Cloud Service mit außereuropäischer Datenverarbeitung in Ordnung geht.
Microsoft und die Deutschland Cloud
Es geht sogar noch ein Quäntchen sicherer: Bereits Ende 2015 hat Microsoft gemeinsam mit T-Systems zwei Rechenzentren in Betrieb genommen, die in Frankfurt und Magdeburg beheimatet sind. In diesen Rechenzentren wurde die komplette Azure-Infrastruktur vollständig neu und autark von den restlichen globalen Microsoft-Rechenzentren unter der Bezeichnung Microsoft Azure Deutschland aufgebaut.
:quality(80)/images.vogel.de/vogelonline/bdb/1187400/1187473/original.jpg "Unternehmen, die Daten in die Cloud auslagern wollen, sollten prüfen ob deutscher Datenschutz in jedem Fall gewährleistet sein muss. Dann ist Microsoft Azure Deutschland eine interessante Alternative. (Microsoft, VIT)")
Microsoft Azure Deutschland
Die Cloud mit deutschem Datenschutz nutzen
Der besondere Clou: Mit T-Systems ist als so genannter Datentreuhänder eine Kontrollinstanz vorhanden, die dafür Sorge trägt, dass kein unkontrollierter Zugriff durch Microsoft auf die Kundendaten erfolgen kann. Damit sichert T-Systems als deutsches Unternehmen die Daten der Microsoft-Kunden nochmals eine Stufe weiter gegen etwaige Zugriffe aus dem Ausland ab. Dies ist für alle Unternehmen, die besonders strengen Compliance- oder vergleichbaren rechtlichen Anforderungen unterliegen, ebenso ein deutlicher Mehrwert wie für solche Unternehmen, die höchste Anforderung an die Sicherheit ihrer Datenverarbeitungen legen.
Welche Azure Cloud ist aber nun die Richtige? Wir meinen: Wenn der Zugriff auf die Cloud Services überwiegend aus Deutschland erfolgt und sehr hohe Datenschutzanforderungen und Sicherheitsbedürfnisse bestehen, dann sollte die Microsoft Azure Deutschland Cloud die erste Wahl sein. Arbeitet das Unternehmen hingegen weltweit mit Kollegen und Partnern in der Cloud zusammen, dann stößt die deutsche Azure Cloud gegebenenfalls an ihre Grenzen. Denn für alle Services aus Microsoft Azure Deutschland gilt aus Sicherheitsgründen eben, dass es keine Verknüpfungen zu den Rechenzentren aus der globalen Cloud gibt.
Darüber hinaus sind natürlich auch die Mehrkosten der deutschen Azure Cloud zu berücksichtigen: Im Vergleich zu der europäischen Azure Cloud gilt für die Microsoft Azure Deutschland Cloud in der Regel eine Preisdifferenz im Bereich von ungefähr 30 Prozent.
Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt, sondern lediglich die Kenntnisse und Erfahrungen der Autoren wiedergibt.
Über die Autoren: Christoph Züllighofen ist Senior Consultant beim IT-System- und Beratungshaus CONET. Jan Schneider ist Rechtsanwalt und Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte (Standort Düsseldorf).
(ID:45077982)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945954/original.jpg "Mit der Version 6 von „Backup for Microsoft 365“ will Veeam den Administrationsaufwand senken. (WSF)")
:quality(80)/images.vogel.de/vogelonline/bdb/1918600/1918649/original.jpg "Mit XDR und Cloud Optix deckt Sophos für Kunden potenzielle Risiken in Cloud-Umgebungen auf. (©issaronow - stock.adobe.com)")