:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit im Online-Umfeld Was der Digital Services Act für die Security bewirken kann
Das Gesetz über digitale Dienste (Digital Services Act der EU) enthält Vorschriften für vermittelnde Online-Dienste, die täglich von Millionen von Menschen in Europa genutzt werden. Es soll die Verantwortung und Sicherheit im Netz erhöhen. Dabei stellt sich die Frage, was der Digital Services Act im Bereich der Cybersicherheit bewirken soll. Wir geben einen Überblick.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Online-Plattformen bringen große Vorteile für die Verbraucher und für die Innovation, sie erleichtern den grenzüberschreitenden Handel innerhalb und außerhalb der Union und eröffnen vielfältige neue Geschäftsmöglichkeiten für europäische Unternehmen und Händler, so die EU-Kommission.
Gleichzeitig können sie aber auch als Mittel für die Verbreitung illegaler Inhalte, den Verkauf illegaler Waren oder die Erbringung illegaler Dienstleistungen über das Internet benutzt werden. Einige sehr große Dienste sind praktisch zu quasi-öffentlichen Räumen für den Informationsaustausch und den Online-Handel geworden.
:quality(80)/images.vogel.de/vogelonline/bdb/1915300/1915320/original.jpg "Das EU-Gesetz über digitale Dienste geht gesellschaftliche Probleme im Netz an, etwa die Frage, wie Digital-Riesen wie Google oder Facebook mit illegalen Inhalten oder Hassrede umgehen sollen. (gemeinfrei)")
EU-Gesetz für digitale Dienste
Ausschuss im EU-Parlament bei Gesetz für Sicherheit im Netz einig
Das geplante Gesetz über digitale Dienste (Digital Services Act der EU) sieht EU-weit verbindliche Pflichten für alle digitalen Dienste vor, die den Verbrauchern Waren, Dienstleistungen oder Inhalte vermitteln, es legt neue Verfahren für die schnellere Entfernung illegaler Inhalte fest und gewährleistet den umfassenden Schutz der Grundrechte der Nutzer im Internet.
Der Digital Services Act sieht eine verschärfte Aufsicht und Regulierung von Internetplattformen vor, um deren Missbrauch etwa durch das Verbreiten illegaler Inhalte entgegenzuwirken, wie der Bundesverband IT-Mittelstand e.V. (BITMi) erläutert. „Dass die Haftungsregelungen konkretisiert werden und den Anbietern mehr Rechtssicherheit geben, ist ein gutes Signal und Grundlage dafür, dass auch in Zukunft innovative Unternehmen und Angebote im EU-Binnenmarkt entstehen und wachsen“, erklärte der BITMi-Präsident Oliver Grün.
Ex-Außenminister Heiko Maas machte dazu deutlich: „Die Manipulation von Informationen (...) bedroht die Demokratie. Sie kann Gesellschaften polarisieren, Wahlen beeinträchtigen und falsche Ansichten zu globalen Herausforderungen wie Klimawandel und COVID-19 fördern. In der Pandemie sehen wir, wie Gerüchte und Lügen Impfkampagnen ausbremsen – mit tödlichen Folgen“. Mit Blick auf den Digital Services Act erklärte Maas: „In Deutschland sind wir hier mit einer umsichtigen Gesetzgebung zum Umgang mit Informationsmanipulation und Hassrede im Internet vorangegangen. Und in der Europäischen Union schaffen wir nun mit dem „Digital Services Act“ einen klaren rechtlichen Rahmen für soziale Netzwerke.“
Strengere Regelungen für Online-Plattformen
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton erklärte dazu: „Viele Online-Plattformen spielen heute eine zentrale Rolle im Leben unserer Bürger und Unternehmen und sogar unserer Gesellschaft und Demokratie insgesamt. Mit den Vorschlägen gestalten wir unseren digitalen Raum für die nächsten Jahrzehnte. Mit harmonisierten Vorschriften, Vorabverpflichtungen, besserer Beaufsichtigung, zügiger Durchsetzung und abschreckenden Sanktionen werden wir dafür sorgen, dass alle, die digitale Dienste in Europa anbieten und nutzen, von Sicherheit, Vertrauen, Innovation und Geschäftsmöglichkeiten profitieren.“
Das Gesetz über digitale Dienste (DSA) wird die inzwischen 20 Jahre alte E-Commerce-Richtlinie ergänzen und Teile von ihr aktualisieren, so die Bundesregierung. Es sieht einheitliche horizontale Regeln zu Sorgfaltspflichten und Haftungsausschlüssen für Vermittlungsdienste (wie etwa Online-Plattformen) vor und soll damit zu einem sicheren, vorhersehbaren und vertrauenswürdigen Online-Umfeld und einem reibungslosen Funktionieren des EU-Binnenmarkts für Vermittlungsdienste beitragen.
Dazu gehört auch, dass die Verfahren zur Meldung und unverzüglichen Entfernung illegaler Inhalte künftig europaweit einheitlich ausgestaltet werden. Hinzu kommen zusätzliche Sorgfaltspflichten für sehr große Online-Plattformen.
Online-Plattformen können systemrelevant sein
Das Gesetz über digitale Dienste gilt für Online-Vermittler, wozu unter anderem Internetdiensteanbieter, aber auch Betreiber von Cloud- und Messaging-Diensten, Marktplätzen oder sozialen Netzwerken gehören. Diese digitalen Dienste übertragen oder speichern Inhalte, die Dritten gehören. Besondere Sorgfaltspflichten gelten für Hosting-Dienste, insbesondere Online-Plattformen, die eine Unterkategorie der Hosting-Dienste darstellen. Zu den Online-Plattformen zählen soziale Netzwerke, Plattformen für das Teilen von Inhalten, App-Stores, Online-Marktplätze sowie Online-Reise- und Unterkunftsvermittlungsplattformen.
Ein Teil der Bestimmungen des geplanten Gesetzes über digitale Dienste betrifft vor allem sehr große Online-Plattformen: Plattformen, die mehr als 10 Prozent der EU-Bevölkerung (45 Mio. Nutzer) erreichen, gelten als systemrelevant und unterliegen nicht nur besonderen Verpflichtungen in Bezug auf das Management ihrer eigenen Risiken, sondern auch einer neuen Aufsichtsstruktur. Dieser neue Rechenschaftsrahmen wird aus einem Gremium nationaler Koordinatoren für digitale Dienste bestehen, wobei die Kommission besondere Befugnisse bei der Beaufsichtigung sehr großer Plattformen erhält, einschließlich der Möglichkeit, diese direkt zu sanktionieren.
Im Falle sehr großer Plattformen wird die EU-Kommission direkte Aufsichtsbefugnisse haben und in den schwerwiegendsten Fällen Geldbußen in Höhe von bis zu sechs Prozent des gesamten Jahresumsatzes eines Unternehmens verhängen können.
Der Durchsetzungsmechanismus besteht aber nicht nur aus Geldbußen. Der Koordinator für digitale Dienste und die Kommission werden befugt sein, Sofortmaßnahmen zu verlangen, soweit dies erforderlich ist, um sehr schwere Schäden zu beheben, und die Plattformen können verpflichtende Zusagen machen, wie Abhilfe schaffen werden.
Bei unseriösen Plattformen, die wesentlichen Verpflichtungen nicht nachkommen wollen und dadurch das Leben und die Sicherheit der Menschen gefährden, wird es als letztes Mittel möglich sein, nach Anhörung aller Betroffenen bei Gericht eine zeitweilige Aussetzung der Dienste zu beantragen.
Online-Plattformen müssen auch mehr für ihre Security tun
Das Regelwerk sieht insbesondere folgende Verpflichtungen vor:
- Maßnahmen zur Bekämpfung illegaler Online-Inhalte sowie Waren, Dienstleistungen mit einem Mechanismus, der Nutzern das Kennzeichnen solcher Inhalte erlaubt und Plattformen die Zusammenarbeit mit „vertrauenswürdigen Hinweisgebern“ ermöglicht
- neue Vorschriften für die Nachverfolgbarkeit gewerblicher Nutzer auf Online-Marktplätzen, um Verkäufer illegaler Waren leichter aufspüren zu können
- wirksame Schutzvorkehrungen für die Nutzer mit der Möglichkeit, Entscheidungen der Plattformen zur Moderation von Inhalten anzufechten
- Erhöhung der Transparenz von Online-Plattformen, diese Maßnahmen sind breit gefächert und beziehen sich auch auf die für Empfehlungen verwendeten Algorithmen
Mit Blick auf die Security sind Forderungen wie diese zu nennen:
- Verpflichtungen für sehr große Online-Plattformen, den Missbrauch ihrer Systeme zu verhindern, dazu müssen sie risikobasierte Maßnahmen ergreifen und sich einer Beaufsichtigung in Form unabhängiger Prüfungen ihrer Risikomanagementmaßnahmen unterwerfen
- Forscher erhalten Zugang zu Daten wichtiger Plattformen, um die Funktionsweise der Plattformen und die Entwicklung der Online-Risiken zu untersuchen
Eine Frage der Integrität
Auch wenn man nicht zu den sehr großen Online-Plattformen zählt, sollte man den SDA als klares Zeichen dafür sehen, dass gegen die Verbreitung falscher Informationen und illegaler Inhalte mehr getan werden muss.
Wenn (kriminelle) Dritte die eigenen Dienste eines Unternehmens missbrauchen, in dem darüber illegale oder falsche Inhalte verbreitet werden, wird die Sicherheit der Unternehmensdienste unterlaufen. Deshalb sollten alle Dienste, die Inhalte Dritter übertragen oder speichern, Maßnahmen und Verfahren vorsehen, um illegale Aktivitäten wie zum Beispiel bewusste Falschmeldungen zu verhindern.
Andernfalls ist die Integrität des Unternehmens als Diensteanbieter gefährdet und damit der Ruf bei den Kunden. Nicht zuletzt kann die ungewollte Verbreitung illegaler Inhalte dazu führen, dass der gesamte Dienst als negativ eingestuft wird, wie man es von der Spam-Filterung kennt, die auch legitime Nachrichten treffen kann, wenn sie über einen Dienst übertragen werden, der auch (ungewollt) Spam versendet.
Somit gilt es Maßnahmen einzuführen, die den Missbrauch der eigenen Dienste durch Dritte, durch gefälschte Kundenidentitäten aufspüren, manipulierte Inhalte erkennen und die weitere Verbreitung stoppen. Dabei müssen (datenschutzgerechte) Analysen stattfinden, um die Manipulationen feststellen zu können, durch Aufspüren von Anomalien und verdächtigem Verhalten, wie man es bei Schadsoftware kennt, nur eben mit Blick auf schädliche, illegale Inhalte.
(ID:47897788)
:quality(80)/p7i.vogel.de/wcms/a6/8a/a68a18a21200b9f468b5be4812d4d98e/0104311679.jpeg "Durch den Digital Services Act müssen soziale Netzwerke wie Facebook und andere Plattformen im Internet in der EU künftig einheitliche Regeln etwa beim Löschen von Hassrede und anderen illegalen Inhalten einhalten (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/50/25/5025ffdaa6ccd0c622017249f15a6bcc/0112498028.jpeg "Unternehmen sollten bei der digitalen Transformation unbedingt auch rechtliche Aspekte berücksichtigen. (Bild: Olivier Le Moal - stock.adobe.com)")