:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Folgen des Cloud Acts für den Datenschutz Supreme Court stellt Microsoft-Verfahren ein
Cloud Act, zweiter Teil: Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist letzte Woche vom Obersten Gerichtshof der Vereinigten Staaten eingestellt worden. Was sich zunächst positiv anhört, könnte weitreichende Auswirkungen auf das internationale Cloud Business haben - Stichwort Datenschutz.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Am 23. März 2018 war von der US-amerikanischen Regierung mit dem Cloud Act ziemlich unerwartet und ohne große Beachtung in der Medienlandschaft ein neues Gesetz verabschiedet worden. Es soll den Zugriff auf Daten in anderen Ländern in Zukunft erleichtern. Dabei spielt es offenbar keine Rolle, ob hierdurch Datenschutzgesetze der betroffenen Länder eingehalten bzw. auch gebrochen werden. Das dürfte für US-amerikanische Cloud-Anbieter weitreichende Auswirkungen haben, denn Datenschutz und Datensicherheit genießen hierzulande eine hohe Priorität - und das mit Recht.
:quality(80)/images.vogel.de/vogelonline/bdb/1381700/1381774/original.jpg "Cloud Act: neues US-Gesetz höhlt Datenschutz aus. (Mario Piperni / Flickr / CC BY-ND 2.0)")
Die USA verschärfen Überwachung von Internet-Diensten
Der lange Arm der USA - Neues Cloud-Gesetz in Kraft
Pikante Randnotiz: Das Gesetz war als so genannter Afterthought im Rahmen einer Haushaltsdebatte entschieden worden und damit ohne ausführliche Debatte „durch die Hintertür“ in den Gesetzgebungsprozess der USA eingegangen.
Rechtssicherheit für die einen, Unsicherheit für die anderen
Der Cloud Act wurde wider Erwarten spontan von großen amerikanischen Herstellern wie Apple und Microsoft begrüßt. Das verwundert etwas. Hatten sie sich doch in den letzten Jahren und Monaten gegenüber den Forderungen der US-Regierung zur Herausgabe von Daten standhaft gezeigt und immer wieder betont, wie wichtig ihnen der Schutz von Kundendaten und Privatsphäre wäre. Die nun erfolgte Zustimmung ist nach Ansicht von Brainloop so zu bewerten, dass der Cloud Act den US-amerikanischen Anbietern nun mehr Rechtssicherheit gibt und sie nicht weiter zwischen den Stühlen europäischer und US-amerikanischer Gesetzgebung sitzen. Ob dadurch aber Klagen aus Europa abgewendet werden können bleibt erst einmal abzuwarten.
Die Folgen des Cloud Acts
Der Cloud Act sieht vor, dass Daten auf Basis von bilateralen Vereinbarungen ausgetauscht werden. Schon heute bestehen vergleichbare Vereinbarungen zwischen den USA und anderen Ländern wie beispielsweise der globale automatische Informationsaustausch. Im Zuge des Cloud Acts müssen US-Anbieter in Zukunft Daten auf Servern in anderen Ländern herausgeben - bislang galt hier primär immer die Gesetzgebung des Landes, in dem sich die Daten/Server/Rechenzentren befanden.
Doch das ist mit dem Cloud Act nun hinfällig, vielmehr drängt sich der Gedanke auf, die USA sehen das Internet - und damit auch Services aus der Public Cloud als ihr Eigentum an, getreu dem Motto „Wer hat´s erfunden?" Dieser Punkt war auch Stein des Anstoßes in dem nun beigelegten Microsoft-Fall, in dem es um die Herausgabe von Daten aus einem Rechenzentrum in Irland ging. So war die US-Justiz bereits im Jahre 2014 der Meinung, Daten, die im Internet kursieren, gehören den Amerikanern. Hierzu ein Kommentar von Fabasoft vom August 2014:
Brainloop sieht in dem aktuellen Fall nun ein weiteres Beispiel einer schrittweisen Aufweichung der regionalen Datensouveränität, basierend auf einem grundsätzlich anderen kulturellen Verständnis von IT-Sicherheit und Datenschutz. Angefangen vom Patriot Act, der Zugriff auf Daten in den USA auch ohne Gerichtsbeschluss ermöglicht, über breit angelegte Überwachungsprogramme wie Prism und den Druck, der auf US-Anbieter zur Herausgabe von Daten ausgeübt wird (Apple, Microsoft), bis hin zum Cloud Act. Individuelle Verfehlungen wie kürzlich von Facebook und Cambridge Analytica kommen erschwerend hinzu.
So überraschend der Cloud Act verabschiedet wurde, so sehr kann man gespannt sein, was als nächstes kommt. Der Gesetzentwurf von 2016 zur verpflichtenden Einrichtung von Backdoors durch US-Hersteller, um die Verschlüsselung zu umgehen, konnte nach öffentlichen Protesten bislang noch abgewendet werden.
Mögliche Folgen für europäische Unternehmen
Alle Daten, die mit US-amerikanischen Unternehmen und Personen ausgetauscht werden und die im Zugriff amerikanischer Anbieter sind, sind vom Cloud Act potenziell gefährdet. Dazu gehören nicht nur Dateien auf Fileservern sondern auch E-Mails. Was das für die Strafverfolgung von VW und Bosch beispielsweise bei der Dieselgate-Affäre bedeutet hätte, lässt sich nur schwer ermessen.
De facto ist jedoch eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Unternehmen zu erwarten. Auf lange Sicht kann sich das außerdem nach Ansicht von Thomas Deutschmann, CEO von Brainloop als problematisch für US-amerikanische Softwarehersteller herausstellen.
Datenschutzkonformer Einsatz von Office 365
Fakt ist außerdem, dass sich europäische Unternehmen spätestens ab 25. Mai 2018 strikt an die verschärfte Datenschutzgrundverordnung halten müssen. Inwieweit der nun von der U.S. Regierung legitimierte Datenabfluss mit europäischem und deutschem Recht vereinbar ist, wird wohl noch so manchen Datenschützer und auch Gerichte beschäftigen.
Zu klären ist damit auch, ob ein datenschutzkonformer Einsatz beispielsweise von Office 365 nach dem Cloud Act überhaupt noch gewährleistet werden kann, schließlich handelt es sich hierbei um eine Auftragsdatenverarbeitung, die im Art. 28 DSGVO klar geregelt ist. Inwieweit nun eine Herausgabe von Daten aus der Microsoft Cloud an US-Behörden datenschutzrechtliche Probleme mit sich bringen kann, darüber hat sich „Dr. Datenschutz" im Internet-Blog Datenschutzbeauftragter-info.de Gedanken gemacht. Das Resümee: der Cloud Act schafft lediglich auf US-Seite Klarheit, sorgt auf europäischer Seite jedoch erneut für Rechtsunsicherheit. Weiterer Ausgang ungewiss.
:quality(80)/images.vogel.de/vogelonline/bdb/1311400/1311438/original.jpg "Neue Rechtsunsicherheit für internationalen Datenaustausch: Europäischer Gerichtshof prüft demnächst Standardvertragsklauseln. (gemeinfrei (TBIT / pixabay))")
Privacy Shield und Standardvertragsklauseln
Neue Unsicherheit für den Datenaustausch in der Cloud
(ID:45264872)
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912336/original.jpg "Viele deutsche Unternehmen stehen bei US-amerikanischen Cloud-Diensten vor dem selben Datenschutzproblem: Können US-Firmen ein ähnliches Schutzniveau wie das der EU nachweisen? (©Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")