:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenstrategie und Datensicherheit Wie die Datenstrategie der EU die Security beeinflusst
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Europäische Datenstrategie will die EU an die Spitze einer datengesteuerten Gesellschaft bringen. Ein Binnenmarkt für Daten soll dazu eine EU-weite und branchenübergreifende Datenweitergabe möglich machen. Ohne die richtige Security wird dies aber nicht gelingen. Deshalb sollten Security-Verantwortliche die Datenstrategie der EU genau in den Blick nehmen.
Wie eng Security-Konzepte und rechtliche Vorgaben zusammenhängen, zeigt sich beispielhaft an der Datenschutz-Grundverordnung (DSGVO) der EU. Viele Unternehmen in Deutschland haben ihre IT-Sicherheitsstrategie überprüft und ergänzt, um den Anforderungen der DSGVO gerecht zu werden.
So ist es nicht verwunderlich, wenn nicht nur die Datenschutzbeauftragten in den Unternehmen die DSGVO auf ihrer Agenda haben, sondern auch die Security-Verantwortlichen. Allerdings ist es für die Security-Abteilung zu wenig, den Datenschutz als rechtliche Vorgabe zu berücksichtigen.
Bekanntlich geht es bei Datensicherheit nicht nur um die Sicherheit personenbezogener Daten, sondern um alle zu schützenden Daten. Auch für Daten ohne jeden Personenbezug müssen die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sein.
Entsprechend sollten Security-Verantwortliche neben der DSGVO auch die gesamte Datenstrategie der EU berücksichtigen, um daraus mögliche Anforderungen an die Datensicherheit abzuleiten. Hier sind insbesondere der Data Governance Act und der Data Act zu nennen.
Der European Data Governance Act
Die EU-Kommission möchte mit Vorschriften für Daten-Governance dafür sorgen, dass in einem vertrauenswürdigen europäischen Rahmen das Potenzial der ständig wachsenden Datenbestände besser ausgeschöpft werden kann. Der Data Governance Act soll den unionsweiten Datenaustausch erleichtern und so den gesellschaftlichen Wohlstand mehren, sowohl den Bürgerinnen und Bürgern als auch den Unternehmen mehr Kontrolle über ihre Daten geben und deren Vertrauen stärken und als Alternative zur Praxis der großen Technologieplattformen ein alternatives europäisches Modell für den Umgang mit Daten bieten, wie die EU-Kommission erklärt.
Dazu die Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter, Margrethe Vestager: „Sie müssen nicht alle Daten teilen. Aber wenn Sie Daten teilen und diese sensibel sind, sollten Sie die Möglichkeit haben, dies in einer Weise zu tun, in der die Vertrauenswürdigkeit und der Schutz der Daten gewährleistet werden. Wir wollen Unternehmen, aber auch Bürgerinnen und Bürgern die Instrumente an die Hand geben, mit denen sie die Kontrolle über ihre Daten behalten. Auch wollen wir das Vertrauen schaffen, dass Daten im Einklang mit den europäischen Werten und Grundrechten behandelt werden.“
Wie in der Datenstrategie angekündigt, soll die Verordnung die Grundlage für eine neue europäische Art der Daten-Governance schaffen, die mit den Werten und Grundsätzen der EU, wie dem Schutz personenbezogener Daten (DSGVO), dem Verbraucherschutz und den Wettbewerbsvorschriften, im Einklang steht. Sie bietet eine Alternative zur Datenpraxis der großen Technologieplattformen, die sich mit ihren Geschäftsmodellen, die sich auf die Kontrolle großer Datenmengen stützen, eine große Marktmacht aneignen können.
Für Security-Verantwortliche ist es wichtig zu wissen, dass die Verordnung unter anderem vorsieht: eine Reihe von Maßnahmen zur Stärkung des Vertrauens in die gemeinsame Nutzung von Daten, da fehlendes Vertrauen derzeit ein großes Hindernis darstellt und hohe Kosten verursacht, die neuartige Funktion von Datenmittlern als vertrauenswürdige Organisatoren der gemeinsamen Datennutzung, sowie Mittel und Wege, mit denen Europäerinnen und Europäer die Kontrolle über die Nutzung der von ihnen erzeugten Daten erlangen können.
Offensichtlich kann ohne Security kein Vertrauen gestärkt werden, es kann keine vertrauenswürdigen Datenmittler geben und auch keine zuverlässige Kontrolle über die selbst erzeugten Daten.
Mit dem Daten-Governance-Gesetz werden deshalb Schutzvorkehrungen für Daten des öffentlichen Sektors und Datenvermittlungsdienste getroffen, um die unrechtmäßige internationale Übertragung nicht personenbezogener Daten oder den unrechtmäßigen internationalen Zugang von Regierungsorganisationen dazu zu vermeiden. Für personenbezogene Daten gibt es in der EU bereits ähnliche Schutzvorkehrungen im Rahmen der DSGVO.
Insbesondere kann die EU-Kommission auch hier Angemessenheitsbeschlüsse erlassen, mit denen erklärt wird, dass bestimmte Drittländer angemessene Sicherheitsvorkehrungen für die Nutzung von aus der EU übertragenen nicht personenbezogenen Daten bieten. Diese Beschlüsse würden den Angemessenheitsbeschlüssen für personenbezogene Daten im Rahmen der DSGVO ähneln.
Der European Data Act
Das Datengesetz (Data Act) ist ein weiterer Pfeiler der europäischen Datenstrategie. Die neuen Maßnahmen sollen die im November 2020 vorgeschlagene Verordnung über die Data Governance ergänzen. Während die Data Governance-Verordnung die Prozesse und Strukturen schafft, stellt das Datengesetz klar, wer aus den Daten und unter welchen Bedingungen Mehrwerte schaffen kann. Das Datengesetz soll Fairness gewährleisten, indem Regeln für die Nutzung von Daten festgelegt werden, die von Internet of Things (IoT)-Geräten generiert werden.
Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin der EU-Kommission, erklärte dazu: „Wir wollen Verbrauchern und Unternehmen noch mehr Mitspracherecht darüber einräumen, was mit ihren Daten geschehen darf, indem klargestellt wird, wer zu welchen Bedingungen Zugang zu den Daten hat. Dies ist ein zentraler Digitalgrundsatz, der zur Schaffung einer robusten und fairen datengesteuerten Wirtschaft beitragen und Leitsatz für den digitalen Wandel bis 2030 sein wird.“
Security-Verantwortliche sollten wissen: Das Datengesetz beinhaltet insbesondere Mittel für Behörden für den Zugang zu und die Nutzung von Daten im Besitz des Privatsektors, die unter besonderen Umständen und vor allem bei öffentlichen Notständen wie Überschwemmungen und Waldbränden benötigt werden oder aber zur Wahrnehmung eines rechtlichen Mandats, sofern Daten nicht anderweitig verfügbar sind, ebenso neue Vorschriften, damit Kunden effektiv wechseln können zwischen Anbietern von Cloud-Diensten, zudem führt der Data Act Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen ein.
Auch hier sind Security-Maßnahmen gefragt, um die Ziele des Data Acts auch erreichen zu können. Es zeigt sich: Die rechtlichen Vorgaben, die sich aus der Datenstrategie der EU ergeben, wie der Data Governance Act und der Data Act, sind genau wie die DSGVO ein Auftrag an die Security, denn nur mit den Maßnahmen der Datensicherheit kann man gewährleisten, dass Dritte nicht das verhindern, was man eigentlich in der EU erreichen will, eine selbstbestimmte Datenkontrolle und eine faire Datennutzung.
(ID:48579352)
:quality(80)/p7i.vogel.de/wcms/42/1a/421a9d48f358c73323a02597766fb7de/0106524606.jpeg "Die Forderungen der DSGVO sollten auch bei geschlossenen Datenräumen immer vollständig im Blick sein. Insbesondere, wenn es um Gesundheitsdaten geht. (Bild: enzozo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/86/6a86a1966a7a322d7c6be980237552c1/0109467381.jpeg "Behindert die DSGVO Unternehmen in ihrer Arbeit oder ist vielleicht sogar das Gegenteil der Fall? Fast fünf Jahre nach Inkrafttreten der DSGVO läuft diese Debatte noch immer. (Bild: vegefox.com - stock.adobe.com)")