:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Videos gemäß EU-Datenschutzrecht managen Videos und die DSGVO
Videos enthalten in vielen Fällen personenbezogene Daten. Deshalb müssen Unternehmen auch Bewegtbilder im Rahmen der EU-DSGVO vor unautorisierten Zugriffen und unerlaubter Weiterverarbeitung schützen. Nutzen Unternehmen eine Enterprise-Video-Plattform, die dem Grundsatz des „Privacy by Design“ entspricht, können sie die Einhaltung der DSGVO leichter nachweisen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit. Spätestens dann führt für Unternehmen kein Weg mehr am umfassenden Schutz personenbezogener Daten vorbei – nicht zuletzt, weil das neue Regelwerk empfindliche Strafen für Verstöße androht. Daten, die dabei nicht vergessen werden dürfen, sind Videos. Immer mehr Unternehmen setzen Videos immer vielfältiger ein, von How-to-Anleitungen für den Kundenservice über Firmenporträts für Marketing-Zwecke bis hin zu Mitarbeitervideos für die interne Kommunikation; und in fast allen dieser Videos sind Personen zu sehen und zu hören. Das macht sie zu personenbezogenen Daten und deshalb müssen auch sie von den Unternehmen vor unautorisierten Zugriffen und unerlaubter Weiterverarbeitung geschützt werden. Es gilt sicherzustellen, dass solche Videos ausschließlich von den Personen genutzt werden können, für die sie bestimmt sind. So kann es sein, dass manche Videos von Mitarbeitern nur für die Kollegen in der eigenen Abteilung gemacht wurden; andere wiederum wurden ausschließlich für ausgewählte Kunden produziert; und wieder andere dürfen nur von exklusiven Partner gesehen werden. Aber auch Personen, die Zugriff auf diese Videos haben dürfen, können deshalb damit noch lange nicht tun, was sie möchten. Gehört ein Mitarbeiter etwa zu einer Gruppe, für die ein Video bestimmt ist, muss das nicht automatisch heißen, dass er das Video auch bearbeiten oder teilen darf.
Um diesen Anforderungen gerecht zu werden, haben Unternehmen natürlich grundsätzlich die Möglichkeit, ihren Videobestand nachträglich mit den nötigen Maßnahmen, Mechanismen und Technologien auszustatten. Das wäre aber nicht nur sehr aufwändig und teuer; es würde auch dem Grundsatz des „Privacy by Design“ widersprechen, der ausdrücklich in der EU-DSGVO verankert ist. Technik zur Datenverarbeitung, so der Grundsatz, sollte von vornherein gezielt auf Datenschutz ausgerichtet sein. Nutzen Unternehmen eine Lösung, die diesem Grundsatz entspricht, können sie die Einhaltung der DSGVO leichter nachweisen.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336565/original.jpg "Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (BillionPhotos.com - stock.adobe.com)")
Klarheit bei der Datenschutz-Grundverordnung
9 DSGVO-Mythen enttarnt!
Inhärente Sicherheitsarchitektur schützt die Videos
Die bessere Alternative ist es deshalb, den Videobestand auf eine professionelle Enterprise-Video-Plattform (EVP) zu migrieren die „Privacy by Design“ gewährleistet, indem sie Videos durch eine mehrschichtige inhärente Sicherheitsarchitektur von Haus aus umfassend schützt. Eine solche Architektur beginnt mit Absicherung des Zugangs zu den Videos durch Authentifizierung der Nutzer. Dabei sollte die EVP nicht nur eine klassische passwortbasierte Anmeldung mitbringen, sondern auch Single-Sign-On-Systeme und eine Multifaktor-Authentifizierung unterstützen. Dazu muss sie Authentifizierungsmethoden wie SAML, One-Time-Passwords (OTP), Smart-Cards oder biometrische Erkennung beherrschen.
Damit die angemeldeten Personen Videos nur in der für sie zulässigen Art und Weise nutzen können, sollte die EVP als weitere Sicherheitsschicht eine feingranulare Vergabe von Nutzungsrechten ermöglichen. Um den Administrationsaufwand für die Konfiguration von Rechten auf Einzelnutzerbasis zu reduzieren, lässt die EVP idealerweise eine Rechtemodellierung über Benutzergruppen und Rollen zu. Dann kann auch eine komplexe Rechtekonfiguration bei einer großen Anzahl von Benutzern einfach und nachvollziehbar durchgeführt werden. Für Video-Use-Cases mit tausenden Nutzern – etwa Town Hall Meetings per Live-Stream – sollte außerdem eine Integration in vorhandene Unternehmensverzeichnisse wie ActiveDirectory oder LDAP möglich sein. Dann können Benutzer-Accounts regelbasiert mit den richtigen Rollen- und Gruppenzuordnungen automatisiert angelegt, geändert oder gelöscht werden.
Bestimmten Branchen wie dem Finanzwesen macht die EU-DSGVO verschärfte Auflagen für die Nachvollziehbarkeit. Die betroffenen Unternehmen sind in der Pflicht, rechtssicher zu dokumentieren, wann beispielsweise welches Video wo und von wem veröffentlicht wurde. Dafür muss die EVP ein datenschutzkonformes, fälschungssicheres Logging zur Protokollierung mitbringen. Zusätzlich sind Videos auch nach dem Löschen zu archivieren. Zur Erfüllung der Nachweispflicht sollte die EVP dabei eine speicherplatzsparende Videoversion mit niedriger Qualität aufbewahren.
Eine weitere Sicherheitsschicht stellt die Kontrolle der Wiedergabe dar. Damit Videos nicht von unautorisierten Personen abgespielt werden können, bieten manche Enterprise-Video-Plattformen zusätzliche Funktionen wie IP-Adressfilter, Geo-Blocking, Token-Authentifizierung und SSL-verschlüsseltes Streaming, um die Videoauslieferung abzusichern. Idealerweise lassen sich in der EVP damit Standardkonfigurationen für einzelne Sicherheitsklassen wie „öffentlich“, „vertraulich“ oder „geheim“ definieren. Endnutzer müssen beim Upload eines neuen Videos dann nur noch die entsprechende Klasse auswählen und die dahinterstehenden Sicherheitsvorkehrungen werden automatisch für das Video angewandt. Ist das der Fall, erfüllt die EVP mit „Privacy by Default“, einen weiteren zentralen Grundsatz der EU-DSGVO. Er fordert, dass die Voreinstellungen einer Software Endnutzern den Datenschutz so einfach wie möglich machen, indem sie nicht gezwungen sind, aufwändige und komplizierte Konfigurationen selbst vorzunehmen.
Cloud-Betrieb stellt zusätzliche Anforderungen
Videos sind per se große Dateien und ihre wachsende Verbreitung in den Unternehmen führt zu einem stetig steigenden Speicherbedarf. Zudem erfordert das gleichzeitige Hochladen und Verarbeiten vieler Videos in Stoßzeiten große Rechenkapazitäten. Wegen dieser hohen Skalierungsanforderungen empfiehlt es sich für Unternehmen, eine EVP als Software-as-a-Service (SaaS) aus der Cloud zu nutzen. Dabei sind allerdings weitere Implikationen der EU-DSGVO zu beachten. So müssen Unternehmen jederzeit nachweisen können, dass ihre Videos entsprechend den europäischen Datenschutzregelungen vorgehalten werden. Der Anbieter der EVP sollte deshalb idealerweise selbst ein europäisches Unternehmen sein und seine EVP ausschließlich in europäischen Rechenzentren hosten. Die Verträge zur Auftragsdatenverarbeitung, die mit dem Anbieter geschlossen werden, sollten außerdem gewährleisten, dass die komplette Infrastruktur der EVP eine durchgängige Datenschutz-Compliance gewährleistet.
Dazu zählt auch ein angeschlossenes Content Delivery Network (CDN), das zur performanten globalen Auslieferung von Videos genutzt wird. Der europäische Gesetzgeber verlangt, personenbezogene Daten nicht in Drittländern zu speichern, in denen ein zu niedriges Datenschutzniveau herrscht. Bei der weltweiten Auslieferung von Videos kann es aber nötig werden, dass das CDN Videos in Ländern zwischenspeichert, wo das generelle Datenschutzniveau mutmaßlich zu niedrig ist. Deshalb muss der EVP-Betreiber sicherstellen, dass die Infrastruktur seines CDN-Partners auch außerhalb Europas den Datenschutzregularien der EU gerecht wird und dies in den Verträgen mit den Anwenderunternehmen garantieren.
Über den Autor: Rainer Möller ist Lead Solution Architect bei Movingimage in Berlin.
(ID:45282797)
:quality(80)/p7i.vogel.de/wcms/b6/0e/b60e3e9e6bcf0c58928a989cb2d5f944/0104691084.jpeg "Gerade in Deutschland wird beim Einsatz von Videotechnologie großer Wert auf den Schutz der Privatsphäre sowie der persönlichen Daten gelegt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")