:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO und Multi-Cloud-Umgebungen Mehr Sicherheit für Multi-Cloud-Anwendungen
DSGVO und jetzt auch noch der CLOUD Act in den USA: In Sachen Datenschutz herrscht bei den meisten Unternehmen derzeit große Verunsicherung – vor allem, wenn sie eine Multi-Cloud-Umgebung nutzen und befürchten, endgültig den Überblick zu verlieren. Doch gerade die DSGVO sorgt für Transparenz und eine bislang nicht vorhandene Rechtssicherheit – und legt damit einen wichtigen Grundstein für ein funktionierendes Multi-Cloud-Management.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Der im März in den USA unterzeichnete CLOUD Act (Clarifying Lawful Overseas Use of Data Act) soll es amerikanischen Behörden erlauben, auf die personenbezogenen Daten von US-Bürgern zuzugreifen – selbst, wenn diese im Ausland gespeichert sind. Umgekehrt sollen nicht-amerikanische Strafverfolgungsbehörden auch Zugriff auf die Daten ihrer Bürger erhalten, die in den USA liegen. Unternehmen, die Cloud-Lösungen unterschiedlicher Herkunftsländer verwenden, stehen damit vor neuen Unsicherheiten: Die neue Datenschutzgrundverordnung (DSGVO) und der CLOUD Act widersprechen sich nach aktuellem Stand in wichtigen Punkten. Ob und wie es zu bilateralen CLOUD Act-Abkommen zwischen den USA und europäischen Ländern kommt, steht noch nicht fest. Ebenso wenig, wie die konkrete europäische Rechtsprechung dann schlussendlich gestaltet sein wird.
Keine Angst vor Datenschutzgesetzen
Der Fall befeuert einmal mehr die Angst deutscher und europäischer Unternehmen, dass Gesetze und Regularien ihre Planungs- und Rechtssicherheit stets aufs Neue untergraben. In manchen Fällen schrecken diese Ängste Business- und IT-Entscheider so sehr ab, dass sie Investitionen in Cloud-Lösungen hinauszögern oder sogar ganz vermeiden. Allerdings sind solche Ängste zum größten Teil unbegründet – zumindest dann, wenn ein Unternehmen nicht bei jedem neuen Datenschutzgesetz wieder von vorne beginnt, sondern bestimmte Grundregeln und Vorgehensweisen einführt, die dem Datenschutz im Unternehmen eine belastbare Basis bieten.
Ein konkretes Beispiel: Hat ein Unternehmen seine Hauptniederlassung in der EU, kann es durch technische Maßnahmen ausschließen, dass direkt auf personenbezogene Daten zugegriffen wird. Wichtigstes und wirkungsvollstes Mittel ist eine konsequente Verschlüsselung. Eine Segmentierung der Daten sollte darüber hinaus ebenfalls auf der Prioritätenliste ganz oben stehen – etwa nach Nationalität. Denn wenn die auf US-Bürger bezogenen Daten in den USA bleiben und die von EU-Bürgern in der EU, sind viele potenzielle Konflikte bereits entschärft. Eine solche Datensegmentierung in einer Multi-Cloud-Umgebung zu bewerkstelligen ist relativ einfach, da die Cloud-Provider zahlreiche regionsbezogene Lösungen im Angebot haben.
Verschlüsselung muss in Unternehmen Standard sein
Auch die Aufwände für solche Maßnahmen sind in den letzten Jahren kontinuierlich gesunken. Beispiel Verschlüsselung: Waren dafür bis vor kurzem noch eigene Verschlüsselungsprogramme notwendig, ist dies heute eine Standardfunktion vieler Anwendungen. So kann jeder Anwender von Microsoft Office 365 seine Daten klassifizieren und verschlüsseln – ohne seine vertraute Office-Umgebung verlassen zu müssen.
Ein weiterer sehr wirksamer Faktor sind saubere Mechanismen der Authentifizierung. So sollten die beauftragten Cloud-Anbieter über keinen Generalschlüssel verfügen, mit dem sie personenbezogene und geschäftskritische Daten wieder in Klartext verwandeln können. Dies sollte nur bestimmten befugten Mitarbeitern des Unternehmens vorbehalten sein.
Natürlich schaffen solche Maßnahmen keine vollständige Rechtssicherheit. Deshalb sollten Unternehmen immer einen Fachanwalt zur Seite haben, der alle wichtigen Entscheidungen begleitet und mithilfe der DSGVO heute auch wesentlich verlässlicher beraten kann, als dies zuvor der Fall war, da die neue Verordnung viele Details eindeutig regelt.
Klare Regeln und Rechtssicherheit dank DSGVO
Denn: Die DSGVO bringt keineswegs grundsätzlich neue Datenschutzanforderungen mit sich: Sie konkretisiert, quantifiziert und erweitert diese Anforderungen vor allem. Dadurch bietet sie Unternehmen ein klares Regelwerk, an dem sie sich orientieren können. Nun ist zum Beispiel klar geregelt, was passieren muss, wenn ein Datenschutzverstoß bekannt wird. Und welche Fristen dabei einzuhalten sind. Durch diese Klarstellungen und die konkret definierten Strafen beschäftigen sich heute Business- und IT-Abteilungen intensiv mit jenen Datenschutzfragen, mit denen sie sich früher oder später ohnehin auseinandersetzen müssen.
Im Zuge dessen müssen viele Unternehmen neue Positionen schaffen: an erster Stelle die des IT-Sicherheits-Beauftragten, der direkt an die Geschäftsleitung berichtet. Er steuert die Governance in Sachen Sicherheit und Datenschutz. Zudem fungiert er als Mediator zwischen Controlling, Rechtsabteilung und Geschäftsleitung einerseits und Fachabteilungen sowie der IT andererseits. Auch Fachanwälte für IT-Sicherheit und Datenschutz sind gefragt, die in einem festen Turnus das Unternehmen beraten – etwa, wenn sich durch ein Gerichtsurteil die Rechtslage geändert hat.
Was verbirgt sich im Schatten der IT?
In Multi-Cloud-Umgebungen wird das Thema Datenschutz noch komplexer, weil personenbezogene Daten hier noch breiter verstreut sind. Zumal das Back-up und die Archivierung von Daten aus wirtschaftlichen Gründen zuletzt immer häufiger über Cloud-Lösungen erfolgt. Treiber sind hier in der Regel die Fachabteilungen, die gerade mit Blick auf die Archivierung der Daten einen Wust ungeordneter Schatten-IT entstehen ließen.
Um den Cloud-Dschungel zu lichten, steht Unternehmen mittlerweile eine Vielzahl smarter Lösungen zur Verfügung, die vor allem an Übergabepunkten im Datenverkehr wie zum Beispiel Firewalls ansetzen. Mithilfe entsprechender Appliances scannen Unternehmen die ein- und ausgehenden Datenströme und sind so innerhalb weniger Tage in der Lage, ein detailliertes Bild zu zeichnen: Welche Cloud-Dienste werden wie intensiv und von wem genutzt? Welche Daten werden wo verarbeitet? Auf Basis dieser Informationen und ihrer Governance-Vorgaben können Unternehmen nun gezielt entscheiden, welche Dienste sie erlauben und welche sie einschränken oder gar ganz einstellen. Angenehmer Nebeneffekt: Die Schatten-IT liegt nun in inventarisierter Form vor.
Bei der anschließenden Klassifizierung der Daten können erfahrungsgemäß die Fachabteilungen am besten unterstützen, denn sie wissen, mit welchen Daten sie täglich arbeiten und welchen Stellenwert sie besitzen. Sind Anwendungen und Daten dann entsprechend geordnet und strukturiert, lassen sich abschließend die notwendigen technischen Maßnahmen – wie zum Beispiel Verschlüsselungen – definieren.
Automatisierung der Dateninventur ist ein Muss
Dieser Prozess lässt sich mittlerweile leicht automatisieren, etwa mit Hilfe des klassischen Managements der Zugriffsrechte. Denn je strikter die Zugangsregeln ausfallen, umso kritischer sind auch die betroffenen Daten. Solche Informationen lassen sich nutzen, um die Daten automatisch mit entsprechenden Werkzeugen zu klassifizieren. Zumal eine solche Automatisierung im Multi-Cloud-Umfeld unerlässlich ist, denn mit manuellem Management verlieren IT-Verantwortliche im Multi-Cloud-Umfeld schnell den Überblick.
Die DSGVO stellt deshalb eine große Chance dar. Durch den Zwang der Verordnung üben Unternehmen Tugenden ein, die ihnen auch bei Fragen der IT-Infrastruktur helfen: von der Bestandsaufnahme und Klassifizierung der Daten und Anwendungen bis hin zur festen organisatorischen Verankerung von Governance-Themen. Insofern werden Unternehmen bei ihrem Multi-Cloud-Management mittel¬- und langfristig von der DSGVO profitieren.
Der Autor: Gerald Fehringer beschäftigt sich bereits sein gesamtes Berufsleben mit IT-Security. Nach diversen Stationen als IT-Sicherheitsexperte und Cloud-Architekt bei Systemhäusern und IT-Unternehmen berät Fehringer als Leiter Multi Cloud Consulting heute Mittelständler für die QSC AG, unter anderem in Sicherheitsfragen im komplexen Multi-Cloud-Umfeld.
Sicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie. Zum Special „Rechtssicheres Cloud Computing“
(ID:45394420)
:quality(80)/p7i.vogel.de/wcms/17/ae/17ae1ffb3a7a56ba5ef0a7ffcdd67932/0110251928.jpeg "Wir diskutieren unter anderem vielfältige Vorzüge virtueller CISOs. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1949400/1949435/original.jpg "Wir diskutieren, wie sich Russlands Angriff auf die Cyberwelt auswirkt und liefern Handlungsempfehlungen. (Vogel IT-Medien)")