:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz im öffentlichen Sektor Schutz vor Cloud-Schnüffelei
Datenschutz in der Cloud hängt nicht allein davon ab, wo sensible Informationen geographisch gespeichert wurden. Bei der Zusammenarbeit mit ausländischen Unternehmen, die durchaus lokale Rechenzentren betrieben, spielen noch ganz andere Faktoren eine Rolle.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Daten, die Behörden oder Polizei erheben, sind nicht umsonst so stark geschützt. Sie betreffen die persönlichsten Informationen eines jeden Bürgers, wie etwa Angaben über den finanziellen Status, über Gesetzesübertretungen aber auch über Wohnverhältnisse.
Jedoch was nutzt der beste Schutz, wenn unautorisierte Personen durch Nachlässigkeit Zugriff auf sensible Daten erhalten? Ein Risiko ist die Nutzung öffentlicher Cloud-Dienstleistungen – wenn Daten die Behörden eigenen Rechenzentren und damit deren Kontrollbereich verlassen.
Deutsche Behördendaten auf US-Servern
Genau solche Fälle ereignen sich immer wieder. So nutzt die deutsche Bundespolizei die durch Bodycams generierten Daten auf den AWS-Servern des US-Anbieters Amazon. Bei den Bodycams handelt es sich um Videokameras, die Polizeibeamte an sich tragen und die den Einsatz lückenlos dokumentieren. Diese Daten können bei etwaigen Rechtsstreitigkeiten als Beweis vor Gericht verwendet werden.
Zertifizierung allein reicht nicht
Notwendig wurde die Nutzung der Amazon-Cloud nach Angaben der Bundespolizei durch Engpässe in der eigenen IT-Infrastruktur. So soll das US-amerikanische Unternehmen das einzige sein, das eine entsprechende Cloud-Lösung zur Verfügung stellen könne und vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert wurde.
Jedoch stellt sich auch bei einer Zertifizierung die Frage, inwiefern sensible Behördendaten sicher bei einem externen ausländischen Dienstleister aufgehoben sind. Zu den gängigen europäischen und deutschen Gesetzen müssen US-Anbieter zusätzlich dem amerikanischen „CLOUD Act“ entsprechen.
Dieses Gesetz (Clarifying Lawful Oversease Use of Data Act) verpflichtet sie, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren. Demnach können europäisches und US-amerikanisches Recht kollidieren. Bei der Nutzung von Servern eines europäischen Cloud-Anbieters wäre dieser US-Zugriff nicht oder nur sehr schwer möglich.
Kritik aus dem Bundestag
Ein zusätzlicher Kritikpunkt ist die Zusammenarbeit von Amazon mit der US-Polizei. Diese liefert den US-Behörden ein System zur Gesichtserkennung, die Aufnahmen von Bodycams auswertet. Daher haben bereits einige deutsche Politiker, darunter der stellvertretende Grünen-Fraktionsvorsitzende Konstantin von Notz, Bedenken hinsichtlich des Datenschutzes geäußert.
Die Sorge um die von Behörden gespeicherten Daten ist durchaus berechtigt. Nicht nur die Bundespolizei, auch etwa 46 Dienststellen des Bundes nutzen externe Cloud-Dienste für ihre sensiblen Daten, wie Zahlen aus einer Sitzung des Innenausschusses des Bundestages offenbarten. Über den Umgang mit der Sicherheit der sensiblen Daten kann keine eindeutige Aussage getroffen werden.
Tatsächlich kann den externen Cloud-Anbietern keine mangelhaften Maßnahmen vorgeworfen werden. Doch allein die Tatsache, dass für die Anbieter andere rechtliche Datenschutzvorschriften gelten könnten, gibt Anlass zur Beunruhigung.
Speicherort nicht der wichtigste Faktor
Jedoch geht die Diskussion über den Standort der Cloud-Server am eigentlichen Problem vorbei. Das wesentliche Problem ist nicht das Nutzen eines externen Cloud-Dienstes selbst, sondern der Missstand, dass unklar ist, wie die sensiblen Daten abgesichert, sprich verschlüsselt sind. Liegt eine ausreichend starke ausschließlich vom Kunden kontrollierte Verschlüsselung vor, können ausländische Behörden die Daten schlichtweg nicht nutzen.
Ohne den entsprechenden Schlüssel können nicht-autorisierte Nutzer nur unlesbare Daten stehlen. Der für sie sichtbare „Datenmüll“ ist wertlos. Und auch die Cloud-Betreiber, die üblicherweise sämtliche Daten einsehen könnten, haben bei entsprechenden Schutzmaßnahmen keinen Zugriff auf die Daten.
Verschlüsselung ist nicht gleich Verschlüsselung
Doch was ist bei dem Schutz wichtig? Zunächst erfordert die Datenschutzgrundverordnung (DSGVO) eine Pseudonymisierung der Daten. Dies geschieht über Verschlüsselung bzw. Tokenisierung. Der sprachlichen Einfachheit halber sprechen wir im Folgenden von Verschlüsselung.
Hierbei muss die Verantwortung für die Verschlüsselung der Daten klar definiert sein. Ausschließlich der Kunde darf den gesamten Prozess kontrollieren und dem Cloud-Provider nicht die Verantwortung für die Verschlüsselung übertragen.
Die Gründe hierfür sind ebenso simpel, wie sie scheinbar oft ignoriert werden. Wenn der Cloud-Provider anbietet, die kritischen Kundendaten zu verschlüsseln, muss er zwangsläufig Zugriff auf die unverschlüsselten Daten haben. Die Dauer des Zugriffs ist dabei irrelevant, da auch ein einziges Mal genügen würde, um sensible Daten abzugreifen. Dies wird zu Recht von Datenschützern als kritisiert.
Problematisch wird es insbesondere, wenn für den Cloud-Anbieter aufgrund seiner geografischen und damit rechtlichen Lage andere Datenschutzrichtlinien gelten als für das Unternehmen, das die Daten stellt. Selbst wenn das Unternehmen nach der Cloud-Migration und Datenverschlüsselung im Besitz des einzigen kryptographischen Schlüssels zur Ver- und Entschlüsselung ist, bleibt der Umstand, dass der Cloud-Anbieter zunächst Zugriff auf die personenbezogenen Daten hat.
Ein weiteres rechtliches Problem kann sich für ein Unternehmen ergeben, wenn im Falle einer Verletzung des Schutzes von der in Cloud gespeicherten Daten, die Haftung geprüft wird. Diese übernimmt nämlich nicht der Cloud-Provider, da nicht er, sondern das Unternehmen die sensiblen Daten erhoben hat. Zwar können beide haftbar gemacht werden, doch Experten gehen davon aus, dass ein Gericht die Schuldfrage von IT-Dienstleistern und somit auch von Cloud-Providern großzügig interpretieren wird.
Anders ausgedrückt: Sollte es zu einem Datenleck kommen, kann ein Unternehmen sich nicht darauf berufen, dass der Cloud-Anbieter für die Datensicherheit verantwortlich ist. Das Management kann zur Rechenschaft gezogen werden, wenn es nicht nachweisen kann, dass es die entsprechenden Maßnahmen zum Schutz der Daten in der Cloud getroffen hat. Dabei haften die Verantwortlichen unter Umständen auch mit dem Privatvermögen. Dies stellt eine weitere, nicht zu ignorierende Notwendigkeit für Cloud-Nutzer dar, die Verantwortung für die Verschlüsselung vollständig selbst zu übernehmen.
Einbindung in bestehende Systeme notwendig
Da Behörden natürlich bereits über eine IT-Infrastruktur verfügen, muss diese in die Sicherheitslösung eingebunden werden können. So sollte eine Unterstützung für die gängigen Anwendungen wie etwa Outlook für Windows und Macs, Outlook Web Access (OWA), Apps für mobile Endgeräte, Office-Anwendungen sowie dem Windows Explorer nicht fehlen. Außerdem müssen bestehende Workflows ohne Änderung in das neue Konzept eingebunden werden können. Die Erfahrung zeigt, dass sich Änderungen hier besonders negativ auf die Effizienz der Arbeitsvorgänge auswirken.
Nicht zuletzt ist die enge Zusammenarbeit mit Bundesbehörden – wie etwa dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – wichtig. Hier geht es darum, die Kerntechnologie insoweit von vornherein so klar zu gestalten, dass etwaige Bedenken bezüglich Hintertüren oder Stabilität der Lösung ausgeräumt sind. Beispielsweise hat eperi seine Gateway-Technologie in Zusammenarbeit mit dem BSI entwickelt und den Quellcode unter einer Open-Source-Lizenz veröffentlicht.
Schutz vor ausländischen Behörden notwendig
Angesichts der Sensibilität der von der öffentlichen Hand verarbeiteten Daten kann eine Speicherung ohne oder mit nur unzureichender Verschlüsselung nicht im Sinne der Bürger sein. Denn ausländische Cloud-Dienstleister – selbst, wenn sie sich dem deutschen und europäischen Recht unterwerfen – sind immer noch den Behörden ihres Stammlandes verpflichtet.
Dies gilt insbesondere für US-Unternehmen. Denn auch wenn sich US-amerikanische Cloudanbieter gegen die Übergriffe der amerikanischen Behörden wehren, mit dem CLOUD Act sind ihnen die Hände gebunden. Mehr noch: Nach geltenden US-Gesetzen kann ihnen zusätzlich verboten sein, deutsche Behörden über etwaige Zugriffe der US-Dienste zu informieren. Dies birgt neben den Bedenken der Datensicherheit auch politische Sprengkraft. Da sind deutsche Behörden gut beraten, durch eine effektive und effiziente Verschlüsselung die Daten uninteressant für Dritte zu gestalten, denn schließlich ist Prävention der beste Schutz vor Datenmissbrauch.
* Der Autor: Elmar Eperiesi-Beck, CEO und Gründer von eperi
(ID:46284069)
:quality(80)/images.vogel.de/vogelonline/bdb/1896400/1896450/original.jpg "Unternehmen müssen das Risiko einkalkulieren, wenn sie wichtige Daten in einem Cloud-Dienst speichern. (Amgun - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896300/1896316/original.jpg "Skalierbare Verschlüsselungslösungen für Backups, IoT-Plattformen und öffentliche Clouds sind in Deutschland beliebt. (Feodora - stock.adobe.com)")