:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Europäische Hyperscaler Gibt es einen sicheren Weg zur datenschutzkonformen Cloudnutzung?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Daten mit gutem Gewissen in einer Public Cloud speichern und verarbeiten? Auch wenn es sich um sensible Informationen oder personenbezogene Daten handelt? Europäische Hyperscaler bieten dafür eine rechtssichere und datenschutzkonforme Lösung.
Rund 65 Prozent der weltweiten Marktanteile für Cloud-Services liegen bei Amazon, Microsoft und Google. Auch deutsche Unternehmen setzen verstärkt auf US-Hyperscaler. Immer mehr Daten wandern über den Atlantik. Handelt es sich um personenbezogene Daten kann das problematisch sein: Selbst wenn die Daten auf den Servern verschlüsselt vorliegen, bewegen sich Unternehmen damit auf dünnem Eis. Da das Privacy Shield im Juli 2020 vom EuGH gekippt wurde, gibt es momentan keine rechtsverbindliche Grundlage hinsichtlich der Datenübermittlung in die USA, wie das Centrum für Europäische Politik ermittelte. Auslöser für das EuGH-Urteil war die wiederholte Klage des Österreichers Max Schrems gegen Facebook – bekannt als Rechtssache Schrems II.
:quality(80)/images.vogel.de/vogelonline/bdb/1726600/1726647/original.jpg "Der EuGH hat das Datenabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. (gemeinfrei)")
EU-US-Privacy Shield ungültig
Fragen zur EuGH-Entscheidung im Fall „Facebook vs. Schrems“
Mittelstand hat es besonders schwer
Das EuGH-Urteil unterstreicht einmal mehr, dass Unternehmen, die Public-Cloud-Services bereits nutzen oder es planen, die rechtliche Situation nicht aus den Augen verlieren dürfen. Der Umgang mit personenbezogenen Daten und die Einhaltung der Datenschutzgrundverordnung (DSGVO) sollte stets auf ihrer Agenda stehen. Dabei prüfen neben den Datenschutzbeauftragten insbesondere in größeren Unternehmen die Rechtsabteilungen – und damit zumeist Volljuristen –, mit welcher Cloud-Lösung sich sensible und personenbezogene Informationen rechtssicher verarbeiten lassen.
Anders hingegen sieht es bei Mittelständlern aus: Sie besitzen häufig keine eigenen Rechtsabteilungen. Zwar sind diese i.d.R laut DSGVO dazu verpflichtet einen Datenschutzbeauftragten zu stellen, dieser deckt das benötigte Know-How aber nicht immer ab. Jurisitsche Expertise in puncto Datenschutz müsste somit teuer eingekauft werden. Die Folge: Gerade mittelständischen Entscheidern fällt es schwer herauszufinden, wie sich die Vorteile der Public Cloud – sprich flexibel skalierbare Services – datenschutzkonform und rechtssicher nutzen lassen.
Volle Datensouveränität behalten
Möchten Unternehmen grundsätzlich vermeiden, dass personenbezogene Daten in Drittländer gelangen, lohnt sich die Nutzung europäischer Public-Cloud-Lösungen. Diese sind naturgemäß Schrems-II-konform und bleiben unbeeinflusst von der künftigen Nachfolgeregelung des Privacy Shield. Unternehmen müssen daher weder Zeit noch Geld aufwenden, um sich mit den rechtlichen Fallstricken zu beschäftigen, die eine Datenverarbeitung in Staaten außerhalb der EU mit sich bringen würde.
Ein Pluspunkt auch für die europäische Cloud-Umgebung GAIA-X, die dank sicherer und vertrauenswürdiger Infrastruktur volle Datensouveränität ermöglicht. GAIA-X definiert die Regeln und Standards, nach denen Daten ausgetauscht und verarbeitet werden können – auf der Grundlage europäischen Rechts. Auf diese Weise lässt sich sicherstellen, dass die Besitzer von Daten die Hoheit über diese behalten und jederzeit entscheiden können, wer darauf zugreifen darf – und wer nicht.
Alles Argumente, die besonders für Branchen von Bedeutung sind, deren Geschäftsmodelle größtenteils auf sensiblen Daten basieren. Nach den Erfahrungen von T-Systems evaluieren derzeit vor allem Banken und Versicherungen, aber auch Institutionen aus dem Public-Bereich, wie sich Cloud-Ressourcen für ihre Zwecke nutzen lassen. Häufig dafür betrachtet werden europäische Angebote, wie beispielsweise die Open Telekom Cloud.
Wichtige Auswahlkriterien für die Public Cloud
Unabhängig von Branche und Betriebsgröße gilt: Um beim Datenschutz auf der sicheren Seite zu sein, sollten die Verantwortlichen bei der Auswahl ihrer Public-Cloud-Services einige Punkte beachten. Hier bieten Zertifizierungen eine gute Orientierung, da diese von Experten aus objektiver Perspektive ausgestellt werden. Außerdem ist es von Vorteil, wenn die Infrastruktur auf offenen Architekturen und Standards basiert, sodass sich ein Vendor Lock-in vermeiden lässt. Die Kunden sind weder in proprietären Ökosystemen von Cloud-Providern gefangen, noch müssen sie beim Wechsel zu einem anderen Anbieter große Hürden überwinden und mehrere Monate für die Migration Ihrer Cloud-Landschaft einplanen. Darüber hinaus entwickelt eine breite Community – bestehend aus IT-Anbietern, Kunden und Entwicklern – die Open-Source-Lösungen kontinuierlich weiter. Da quelloffene Software per se für jeden einsehbar ist, lässt sich nachvollziehen, wie sich der Code verändert. Wichtiges Anliegen aller Beteiligten: die Lösungen stets rechtssicher zu gestalten.
Ein weiterer Knackpunkt betrifft den Speicherort der Daten. So befinden sich bei der Open Telekom Cloud alle Kundendaten in hochsicheren Twin-Core-Rechenzentren in Deutschland oder den Niederlanden – und verbleiben damit im europäischen Rechtsraum. Das Twin-Core-Prinzip bedeutet, dass die Rechenzentren exakt gleich aufgebaut sind. Fällt ein Standort aus, sichert der andere den reibungslosen Betrieb. In diesem Zusammenhang sollten Unternehmen auf eine hochverfügbare Architektur Ihrer Cloud-Infrastruktur achten und sich bei Bedarf diesbezüglich beraten lassen.
Um Ausfälle zu vermeiden spielt auch die Cyber- und physische Sicherheit eine große Rolle. Ist das Rechenzentrum ausreichend vor Naturgewalten wie Hochwasser oder Sturm geschützt? Ebenfalls wichtig sind eine kontinuierliche Stromversorgung sowie professioneller Brandschutz. Bei letzterem sorgen Brandfrüherkennung mit Ansaugrauchmeldern, ausgefeilte Raumkonzepte mit autarken Brandschutzzellen und moderne Löschanlagen für einen sicheren Betrieb und die ständige Verfügbarkeit der Daten.
Unternehmen, die ihr Digitalisierungsvorhaben zusätzlich nachhaltig gestalten möchten, können einen Blick auf den Energieverbrauch der Rechenzentren und die Nutzung erneuerbarer Energien werfen. So kann beiläufig auch die Umwelt profitieren.
Über den Autor: Andreas Falkner besitzt langjährige Erfahrung in der Leitung großer internationaler Telco- und IT-Projekte. Seit 2016 verantwortet er den Bereich Open Telekom Cloud in der T-Systems International GmbH (TSI). In der Zeit davor war er bei der TSI unter anderem als Vice President im Konzerngeschäftsfeld Energie tätig.
(ID:47716116)
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912336/original.jpg "Viele deutsche Unternehmen stehen bei US-amerikanischen Cloud-Diensten vor dem selben Datenschutzproblem: Können US-Firmen ein ähnliches Schutzniveau wie das der EU nachweisen? (©Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")