:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar: Bodycam-Daten Es wird Zeit für „Europe first“ beim Datenschutz
Die Bundespolizei hat Datenschutzbedenken systematisch ignoriert und sensible Bodycam-Daten bei einem US-Anbieter gespeichert. Ein Vorgehen, das auch der Bundesdatenschutzbeauftragte zuletzt scharf kritisierte. Der jüngste Vorfall demonstriert wieder einmal, welche Sorglosigkeit in Bezug auf dieses Thema vorherrscht. Dabei sind gerade in Zeiten eines wiederauflebenden Protektionismus unter dem Deckmantel der „nationalen Sicherheit“ Anstrengungen nötig, die über die bloße Einhaltung der DSGVO hinausgehen. Eine Einschätzung von Holger Dyroff.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Es gibt Momente im Leben, in denen es sich lohnt, einfach mal innezuhalten und nur die Fakten eines Sachverhalts zu betrachten, um die Absurdität dahinter zu erkennen. Die massenhafte Speicherung von Bodycam-Daten der Bundespolizei auf AWS-Servern ist ein Paradebeispiel dafür.
Worum es geht? Aufnahmen von Personen, meist Staatsbürger und Einwohner der Bundesrepublik Deutschland, wurden auf Servern eines US-amerikanischen Anbieters gespeichert, der US-Gesetzen unterliegt, die amerikanischen Ermittlungsbehörden Zugriff auf eben diese Server verschaffen.
:quality(80)/images.vogel.de/vogelonline/bdb/1591700/1591728/original.jpg "Faktencheck CLOUD Act – überhebliches Allmachtsdenken oder notwendiges Instrumentarium für den länderübergreifenden Datenaustausch in Sachen internationaler Strafverfolgung? Eine Einschätzung, ohne Rechtsbeistand. (gemeinfrei (kareni / pixabay))")
Grundsatz der Verhältnismäßigkeit
Faktencheck zum CLOUD Act
Schlimm genug. Doch das Ganze lässt sich auch folgendermaßen lesen:
- Nicht irgendwelche Daten wurden gespeichert, sondern Aufnahmen von Staatsbürgern mit verfassungsmäßig garantierten Persönlichkeitsrechten.
- Nicht irgendeine Behörde vollzieht die Speicherung, sondern die öffentliche Institution, die die Rechte dieser Bürger schützen soll.
- Nicht irgendein Anbieter verwaltet die Daten, sondern ein Konzern aus einem Staat, dessen Präsident gerade offensiv den Handelskrieg forciert und sein Vorgehen mit der „nationalen Sicherheit” begründet.
Insgesamt offenbart dieser weitere Vorfall ein gigantisches Maß an Sorglosigkeit der Öffentlichen Hand, wenn es um den Umgang mit persönlichen Daten geht. Schließlich wurden die Bundespolizei und das Bundesinnenministerium bereits 2018 vom Bundesdatenschutzbeauftragten darüber informiert, dass dieser dieses Vorgehen als rechtswidrig ansieht und dringend den Wechsel zu einem deutschen Anbieter nahelegt. Passiert ist seitdem jedoch nichts, was neben der Sorglosigkeit auch eine gewisse Respektlosigkeit gegenüber deutschen Staatsbürgern darstellt – insbesondere mit Blick auf die Rolle des Datenschutzes in der öffentlichen Debatte.
Denn es ist ja nicht so, dass in den vergangenen Jahren auf europäischer Ebene nicht intensiv über Datenschutz diskutiert wurde. Konzerne, Mittelständler, Start-ups, Industrieunternehmen, Vereine, Arztpraxen und überhaupt jeder, der in diesem Land, auf diesem Kontinent, personenbezogene Daten verarbeitet, musste sich in den letzten zwölf Monaten mit der Frage auseinandersetzen, wie er diese Daten effektiv schützen kann, um absolute Konformität mit der DSGVO zu erreichen.
Flickenteppich statt starkem Bekenntnis
Dass Vertreter der Öffentlichen Hand hier mit gutem Beispiel vorangehen müssten, ist eigentlich eine Selbstverständlichkeit. Nicht weniger als das Maximum an Schutzmaßnahmen jenseits der Mindestanforderungen der DSGVO wäre hier angemessen, zumal der Aufbau eigener Infrastrukturen in Zusammenarbeit mit europäischen Anbietern auch ein starkes Bekenntnis zum Digitalstandort Deutschland demonstrieren würde. Stattdessen finden wir noch immer einen Flickenteppich vor: Regierungsinstitutionen, Behörden, öffentliche Verwaltungen, egal ob auf Bundes- oder Landesebene, lassen keine konsistente Strategie zum Schutz der von ihnen verarbeiteten personenbezogenen Daten erkennen.
:quality(80)/images.vogel.de/vogelonline/bdb/1485000/1485024/original.jpg "Wie viele Aspekte der Datenübermittlung zwischen USA und EU, ist auch die Übertragung von Daten bei Anfragen von US-Behörden derzeit kompliziert und ungeklärt. (Pixabay)")
Rechtslage zwischen EU- und US-Recht
Lösungsansätze zu CLOUD Act und DSGVO
Lichtblicke auf Bundes- und Landesebene
Zwar gibt es mittlerweile vereinzelte Lichtblicke auf Bundes- und Landesebene, wie die jüngst gestartete „BayernBox”, mit der die bisher größte öffentliche Datenaustauschplattform auf privaten Servern mit deutscher Open-Source-Software realisiert werden konnte. Auch international gibt es immer wieder vielversprechende Ansätze, wie das Beispiel der Stadt Barcelona, die vor einem Jahr ankündigte, künftig großflächig auf Open Source zu setzen.
Derartige Projekte haben allerdings noch immer Leuchtturmcharakter: Die meisten Landes-, Bundes- oder kommunalen Verwaltungen setzen nach wie vor auf den Einsatz proprietärer Software oder vollziehen – wie im medial vielbeachteten Fall der Stadt München – sogar die Kehrtwende weg von Open Source und hin zu proprietärer und aus Datenschutz-Sicht problematischer Software aus den USA.
Daten und Handelspolitik
Das Vertrauen in die Unbedenklichkeit des Einsatzes proprietärer Software oder die Nutzung US-amerikanischer Server mag noch in einer Ära der Alternativlosigkeit verwurzelt sein, als Lösungen von Microsoft und Co. die einzigen waren, die einen einfachen und produktiven Betrieb in der Cloud ermöglichten und die transatlantischen Beziehungen sich – vorsichtig gesagt – „stabiler” gestalteten. Doch diese Rahmenbedingungen haben sich geändert.
Zum einen bieten der Digitalstandort Deutschland und insbesondere die Open-Source-Wirtschaft vielfältige Alternativen, mit denen sich die Anforderungen von Unternehmen und Behörden genauso abbilden lassen wie mit Software großer US-Konzerne – inklusive vollständigem Zugriff auf den Quellcode und uneingeschränkter Freiheit bei der Wahl des Speicherortes.
Darüber hinaus, und dieses Argument wiegt schwerer, stellt die Handelspolitik Donald Trumps ein ganz konkretes Risiko dar: Nachdem der Datenaustausch zwischen der EU und den USA schon länger auf wackligen Beinen stand, sorgt der im vergangenen Jahr in Kraft getretene „US CLOUD Act“ für zusätzliche Unsicherheit. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten im Falle einer richterlichen Anordnung, selbst wenn lokale Gesetze dies am Ort des physischen Datenspeichers verbieten.
Der CLOUD Act bildet damit die Grundlage für bilaterale Abkommen wie „Privacy Shield” zwischen der EU und den USA: Die Nutzung von US-Diensten gilt unter dem Schirm des Privacy Shield zwar als DSGVO-konform, da dieser eine Angleichung des Datenschutzniveaus der beiden Rechtsräume vorsieht.
EU-Daten dürfen demnach an US-Unternehmen, die dem Shield beigetreten sind, übermittelt werden. Das bedeutet aber keineswegs, dass diese Daten dann auch sicher sind: Das Abkommen sieht nämlich vor allem dann Ausnahmen vor, wenn die nationale Sicherheit der USA bedroht sein könnte. Wie schnell so ein Fall vor dem Hintergrund der Trump’schen Handelspolitik eintreten kann, zeigte sich im Februar diesen Jahres mit der überraschenden Absichtserklärung des US-Handelsministeriums, Autoimporte aus Europa als eine ebensolche Bedrohung für die nationale Sicherheit der Vereinigten Staaten einzustufen.
Eine Einstufung, die ein seit seiner Einführung 1962 selten angewandter Paragraph aus dem US-Handelsrecht ermöglicht, soll zwar in erster Linie die Einführung von Strafzöllen legitimieren, würde aber in der Folge auch den Datenschutz für einzelne Branchen betreffen. Die Sicherheitsbehörden könnten in der Folge US-Unternehmen zur Herausgabe der Daten von zum Beispiel Autoherstellern auffordern, die auf ihren Servern liegen – mit allen verheerenden Konsequenzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1592100/1592178/original.jpg "Absolute Sicherheit bieten weder Verschlüsselung noch Tokenisierung. Die Kombination beider Technologien bietet dagegen schon ein akzeptables Schutzniveau. (gemeinfrei)")
CLOUD Act vs. DSGVO
Verschlüsselung und Tokenisierung reichen nicht!
Weniger Server-Sorglosigkeit
Auch wenn ein solches Szenario bislang noch nicht eingetreten ist, muss vor dem Hintergrund dieser zunehmenden Unsicherheit eines gelten: Es reicht nicht, die eigene IT mit dem Siegel der DSGVO-Konformität zu versehen, um einen umfassenden Schutz der eigenen Daten zu erreichen. Angesichts der Fülle an Unwägbarkeiten und rechtlicher Schlupflöcher in der internationalen Zusammenarbeit, besonders aber vor dem Hintergrund eine zunehmend aggressiveren Handelspolitik der USA, deren Präsident beinahe täglich signalisiert, zu allen ihm verfügbaren Mitteln zu greifen, sollten europäische Behörden und natürlich auch Unternehmen keine Kompromisse bei der Souveränität über die eigenen Daten eingehen.
Souveränität
Es braucht vielmehr ein aktives Bewusstsein für Datenschutz, Datensicherheit und Datenkontrolle und den Mut, vorhandene Technologien, die dies bereits heute ermöglichen, auch zu nutzen. Die Dringlichkeit eines Umdenkens lässt sich auch an dem jüngst vorgestellten Forderungskatalog der „Plattform Innovative Digitalisierung der Wirtschaft” ablesen. Demnach lässt sich die digitale Souveränität der EU nur mit Systemen erhalten, bei denen der Quellcode zumindest geprüft und individuell angepasst werden kann.
Der europäische öffentliche Sektor sollte bei diesem Thema vorangehen, anstatt die Öffentlichkeit mit gravierenden Verletzungen wie im Falle des Bodycam-Skandals zu irritieren. Es wäre auch ein starkes Signal an die eigene Wirtschaft: Auf diese Weise würde Europa den Pioniergeist vieler lokaler Softwareanbieter unterstützen und dazu beitragen, den Abstand zu den großen, internationalen Tech-Konzernen zu verringern. Denn schließlich gibt es deutsche und europäische Anbieter, deren leistungsstarke Cloud-Lösungen – sowohl für den Einsatz im eigenen Rechenzentrum als auch in Form von SaaS-Lösungen – den gewünschten Komfort mit notwendigen Datenschutz- und Sicherheitsstandards verbindet. Die Voraussetzungen sind also längst vorhanden, sie müssen „nur“ genutzt werden.
Europa braucht insbesondere bei der Speicherung und Verarbeitung sensibler Daten Mut und Verantwortungsbewusstsein statt allgemeiner Sorglosigkeit. Nur so kann es gelingen, den „Europe First”-Gedanken beim Aufbau von Dateninfrastrukturen in den Köpfen zu verankern und unsere Daten wirklich effektiv zu schützen.
*Der Autor: Holger Dyroff ist als Chief Operating Officer (COO) bei ownCloud verantwortlich für die strategische Produktentwicklung. Als Dyroff 2012 als Mitbegründer zu ownCloud wechselte, konnte er auf über 19 Jahre Erfahrung beim deutschen Open-Source-Pionierprojekt SUSE zurückblicken, wo er in wechselnden leitenden Funktionen in Deutschland und den USA tätig war. Holger Dyroff ist außerdem Mitglied des erweiterten Vorstands der Open Source Business Alliance, der größten Open-Source-Interessensvertretung in Zentraleuropa.
(ID:46043354)
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896000/1896093/original.jpg "Für die Bundesregierung hat die digitale Souveränität auch für die Cyber- und Informationssicherheit eine wesentliche Bedeutung. (©studio v-zwoelf - stock.adobe.com)")