:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutzkonferenz Souveräne Clouds: die Sicht der Datenschützer
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Mit ihrem aktuellen Positionspapier „Kriterien für Souveräne Clouds“ will die Datenschutzkonferenz ihre Expertise und Erfahrungen in die politische Diskussion mit einbringen.
Auf ihrer Tagung am 10. und 11. Mai dieses Jahres hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) neben weiteren Themen – wie der erneuten Forderung nach einem eigenen Beschäftigtendatenschutzgesetz – auch mit den Kriterien für souveräne Clouds beschäftigt. Mit der Veröffentlichung eines entsprechenden Positionspapiers will die DSK ihre Expertise und ihre Erfahrungen in die politische Diskussion einbringen.
Der Schritt zur souveränen Cloud
Die Datenschützer konstatieren ein fehlendes einheitliches Verständnis des Begriffs „souveräne Cloud“ und definieren aus ihrer Sicht:
- Eine souveräne Cloud muss in der Lage sein, alle datenschutzrechtlichen Vorgaben einzuhalten. Das genüge jedoch noch nicht,
- der Schritt von einer datenschutzkonformen Cloud zur souveränen Cloud erfordert die Erfüllung weiterer Kriterien, „die die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherstellen“.
Diese Kriterien werden in dem Positionspapier unter den Aspekten Nachvollziehbarkeit durch Transparenz, Datenhoheit und Kontrollierbarkeit, Offenheit, Vorhersehbarkeit und Verlässlichkeit sowie der regelmäßigen Prüfung näher beschrieben. Dabei wird jeweils nach Muss- und Soll-Kriterien unterschieden.
Nachvollziehbarkeit durch Transparenz
Um den Transparenzanforderungen nach Art. 5 DSGVO zu genügen, müssen Anbietende die eingesetzten externen Komponenten und Dienstleistungen sowie die dazu bestehenden vertraglichen Vereinbarungen dokumentieren. Die zwingende Dokumentation der Schnittstellen ist ebenfalls zwingend – für die Interoperabilität. Zudem ist nachzuweisen, dass ein dauerhafter und unabhängiger Betrieb des Angebots gewährleistet wird. Transparenz durch Open Source-Software und offene Standards werden hingegen als Soll-Kriterien eingestuft.
Datenhoheit und Kontrollierbarkeit
Neben den zwingenden Vorgaben zur Datenverarbeitung nur nach Weisung (der Anwender) und der Trennung nach Verarbeitungen geht es in diesem Abschnitt vor allem um Rechtssicherheit. Anbieter müssen Maßnahmen ergreifen, die „ausschließlich nach EU-, EWR- bzw. nationalem Recht zulässige Zugriffe auf personenbezogene Daten ermöglichen“. Rein vertragliche Maßnahmen genügten dafür in der Regel nicht. Rechtsdurchsetzbarkeit ist ebenfalls als ein Muss-Kriterium definiert. Für eine effektive Kontrollierbarkeit souveräner Cloud-Dienste müssen sich sowohl Unternehmenssitz des Anbieters als auch die Rechenzentren innerhalb des europäischen Wirtschaftsraumes befinden, das gilt auch für Unterauftragnehmer mit Zugriff auf personenbezogene Daten.
Offenheit
Offenheit wird im Sinn von Wahlmöglichkeit verstanden, Austauschbarkeit ist dabei ein Muss-Kriterium: Für alle betrieblich relevanten Daten müssen die Anbieter geeignete Exportmöglichkeiten bereitstellen; für weitere Objekte (z.B: virtuelle Rechner bei einem PaaS-Modell) sollten sie das tun. Die Lösungen sollten mit anderen Lösungen kombinierbar, modular verwendbar und auf Basis offener Standards nutzbar sein. Und: „Über die Unterstützung offener Standards hinaus sollten souveräne Clouds vollständig auf Open-Source-Software basieren.“
Vorhersehbarkeit und Verlässlichkeit
Souveränität wird als kontinuierlicher Prozess gesehen, an dem Anbietende wie Anwendende beteiligt sind. Die DSK nennt als Kriterien, die dafür gegeben sein müssen:
- Unterrichtung bei Souveränitätsgefährdung,
- Einfluss- und Wahlmöglichkeiten auf die Ausgestaltung des Angebots (z.B. Weíterentwicklungen modular und auch abwählbar)
- transparenter Produktlebenszyklus und
- prüffähige Qualität der Software.
Der letzte Punkt des Papiers schließlich bezieht sich auf die regelmäßige Prüfung der aufgestellten Kriterien.
Eine souveräne Cloud ist nur solange souverän, wie Softwarekomponenten auf Schwachstellen und Integrität geprüft werden.
Die Software-Prüfung sollte nicht nur möglich sein, sie muss auch durchgeführt werden – und Anbietende müssen dabei aktiv mitwirken.
(ID:49534849)
:quality(80)/p7i.vogel.de/wcms/c9/90/c990018056a30379f6b2fb803661c19d/0109123444.jpeg "C5 ist ein Kriterienkatalog des BSI mit Mindestanforderungen an sicheres Cloud-Computing. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ea/d6/ead64b690344d5ad20d205ce46580fc1/0110872185.jpeg "Die bloße Gefahr einer Datenübermittlung in ein Drittland stellt noch keine Drittlandsübermittlung im Sinne der DSGVO dar, meinen die Vertreter der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. (Bild: peterschreiber.media - stock.adobe.com)")