:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CLOUD 2019 – Technology & Services Conference Der Nutzen der DSGVO rechtfertigt den Aufwand
Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Cloud Computing stellt aber auch eigene Bedingungen an den Datenschutz und den Geschäftsverkehr, die vornehmlich in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt sind, wie Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei Noerr LLP, im Vorfeld der CLOUD 2019 erläutert. Teilnehmer der Konferenz dürfen sich freuen auf eine spannende Keynote und einen Roundtable rund um das Thema Cloud-Compliance ein Jahr nach Inkrafttreten der DSGVO.
CloudComputing-Insider: Die DSGVO gilt jetzt schon mehr als ein Jahr. Und noch immer ist die technische Sicherstellung des Datenschutzes z.B. bei der Datenübertragung oder durch interne Schatten-IT, die ebenfalls datenschutzrechtliche Lücken verursachen kann, schwierig. Unternehmen klagen aber auch über den administrativen Aufwand. Wo liegen die größten Probleme auf rechtlicher Seite?
Prof. Dr. Peter Bräutigam: Größere Probleme haben die Unternehmen noch bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Pflicht ein Verarbeitungsverzeichnis zu führen (Art. 30 DSGVO). Die „Accountability“ des jeweiligen Unternehmens ist für die Datenschutzbehörden wichtig. Verantwortliche und Auftragsverarbeiter müssen nachweisen können, dass ihre gesamten Verarbeitungsprozesse der DSGVO entsprechen. Aus Art. 5 Abs. 2 DSGVO ergibt sich dabei – untechnisch gesprochen - eine „Beweislastumkehr“ für die Unternehmen gegenüber der zuständigen Datenschutzbehörde. Sie müssen für eine saubere und lückenlose Dokumentation sorgen, damit sie ihre Compliance gegenüber den Behörden nachweisen können. Als Unternehmen muss man etwa der genau darlegen, auf welche Rechtsgrundlage man die jeweilige Datenverarbeitung stützt. Gerade im Falle berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit f) DSGVO kann das einen größeren Argumentationsaufwand bedeuten.
Bezüglich des Verarbeitungsverzeichnisses, stellen oft ihre „Legacy-IT-Systeme“, also veraltete Systemlandschaften die Unternehmen vor große Herausforderungen. Wie soll man lückenlos seine Datenverarbeitungsprozesse dokumentieren, wenn man gar keinen Überblick hat, auf welchen Systemen im Unternehmen die Daten gespeichert sind?
Als weiteres Praxisproblem stellt die 72-Stunden-Meldepflicht bei Verletzungen des Datenschutzes die Unternehmen vor Probleme. Es fällt auf, dass viele Unternehmen keinen Notfallplan für den Ernstfall haben. Ich kann jedem Unternehmen nur empfehlen, das entsprechende Vorgehen für solche Fälle gut geplant und bestenfalls auch getestet zu haben, um für den Ernstfall gewappnet zu sein.
Ziel der DSGVO ist die Vereinheitlichung der länderübergreifenden datenschutzrechtlichen Regeln. Trügt der Schein, dass das tatsächlich gelungen ist, oder ist der mit der DSGVO verbundene Aufwand am Ende doch eher größer als der Nutzen?
Prof. Dr. Bräutigam: Die DSGVO verfolgt einen vollharmonisierenden Ansatz, so dass dadurch ein „Level Playing-Field“ geschaffen der gleiche Maßstab für alle gelten soll. Trotzdem muss man realistisch bleiben. In Bezug auf Auslegung und Rechtsdurchsetzung sind wir leider noch weit von einem einheitlichen Niveau der einzelnen Mitgliedsstaaten entfernt. Man denke nur an die unterschiedliche Höhe der Bußgelder, die von den einzelnen Datenschutzbehörden verhängt werden. Dennoch hat die DSGVO das Potenzial, den Standard anzugleichen. Die DSGVO hat es schon jetzt geschafft, die „Awareness“ aller Beteiligten in Bezug auf Datenverarbeitungsprozesse zu steigern. Sie zwingt die Unternehmen dazu, sich die eigenen Prozesse wirklich zu vergegenwärtigen. Deshalb würde ich schon sagen, dass der Nutzen den Aufwand wert ist.
Es sind zahlreiche, datenschutzrechtlich saubere Muster für den unternehmerischen Schriftverkehr, u.a. Vertragspapiere im Umlauf. Auch Verträge, die nach der DSGVO für Auftragsdatenverarbeiter und deren Kunden datenschutzkonform formuliert sein müssen. Inwieweit reichen diese Musterverträge eigentlich aus? Und wie problematisch ist es, das von der DSGVO geforderte Verfahrensverzeichnis zu führen?
Prof. Dr. Bräutigam: Das schon oben angesprochene Verarbeitungsverzeichnis gem. Art. 30 DSGVO stellt durchaus ein großes Problem für Unternehmen dar, da es sehr aufwändig ist immer auf dem aktuellen Stand zu bleiben. Die normierten Ausnahmetatbestände sind so formuliert, dass kaum je ein Unternehmen darunter zu fassen sein wird und am Ende die Dokumentationspflicht wohl jeden trifft.
Hinsichtlich der Musterverträge stellt Art. 28 DSGVO für die Vertragsgestaltung eine solide Grundlage dar, die aber von den Behörden auf jeden Fall auch so erwartet wird. Trotzdem bedürfen die Auftragsverarbeitungsverträge immer noch einer individuellen Anpassung. Das ist nicht anders möglich, da ein Auftragsverarbeitungsvertrag die Bandbreite an technischen und operativen Details der Datenverarbeitung im jeweiligen Unternehmen abbilden muss. In der Praxis liegt damit der Fokus auf der individuellen Vertragsanpassung, eine „One-Size-fits-All-Lösung“ gibt es nicht.
Interessant wird in Zukunft die Gestaltung von Verträgen bei gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO. Anders als Art. 28 DSGVO beinhaltet Art. 26 DSGVO nämlich keinerlei Musterformulierungen, weshalb der Bedarf an derartigen Formulierungen sehr groß ist. Hier besteht noch eine erhebliche Rechtsunsicherheit, gleichzeitig ergeben sich dadurch aber auch große Gestaltungsmöglichkeiten.
(ID:46085804)
:quality(80)/p7i.vogel.de/wcms/fc/6b/fc6beb24b22261c5aab4b6bb8d5ef40a/0111194808.jpeg "IT-Security on Tour – Die ISX 2023 kommt nach Hamburg, Mainz und München! Security-Anbieter und -Experten teilen ihr Know-how in Keynotes, Praxisberichten und Technology Insights und stehen zum persönlichen Austausch bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")