Herkömmliche Ansätze sind aufgrund ihrer zentralisierten Struktur anfällig

Von unserem Gastautor Dirk Schuma, Sales Manager Europe bei Opengear

[datensicherheit.de, 14.12.2020] Das Internet of Things (IoT) setzt niedrige Latenzzeiten und eine sichere Datenübertragung voraus. Herkömmliches Cloud-Computing ist aufgrund seiner zentralisierten Struktur allerdings anfällig. Opengear, Anbieter von Out-of-Band-Managementlösungen zum Schutz kritischer Infrastrukturen, erklärt welche Gefahren hier lauern können.

• Medizinische Geräte, Industrierobotik oder autonome Fahrzeuge: Die Zahl der mit dem Internet verbundenen Geräte wächst täglich und ein Ende ist nicht in Sicht. Neben den vielen Vorteilen, die diese zunehmende Vernetzung mit sich bringt, stellt IoT Unternehmen aber auch vor einige Herausforderungen. Gerade wenn sie wegen der Einfachheit und schnellen Skalierbarkeit einen Teil ihrer Daten in die Cloud verlagern. Denn bei herkömmlichen Cloud-Architekturen wird die Datenverarbeitung in riesigen Rechenzentren zentralisiert. Dadurch kommt es in drei Punkten zu erheblichen Nachteilen:
• Probleme mit der Geschwindigkeit: Je länger es dauert, bis Daten verarbeitet werden, desto weniger relevant sind sie. Autonome Fahrzeuge beispielsweise müssen Entscheidungen im Millisekunden- oder Hundertstelbereich treffen und benötigen die notwendigen Daten deshalb in Echtzeit. Wenn Daten allerdings erst sehr weite Strecken zu zentralen Cloud-Rechenzentren zurücklegen, von denen dann eine Antwort zurückkommt, vergeht unnötig viel Zeit. Vor allem dann, wenn es Verzögerungen in der Leitung gibt. Ein entscheidender Faktor für kurze Latenz und schnelle Reaktionen ist räumliche Nähe.
  Bedrohungen für die Datensicherheit. Durch die ständige Übertragung von Daten zwischen der Cloud und den IoT-Geräten und damit stärkere Belastung des Netzwerks steigt einerseits das Risiko von Cyber-Angriffen, andererseits erhöht sich die Wahrscheinlichkeit eines Ausfalls. Cloud-Computing ist aufgrund der zentralisierten Struktur zudem anfälliger für DDoS-Attacken.
• Hoher Bedarf an Bandbreite: Werden Daten nicht direkt am Ort ihres Entstehens gefiltert und verarbeitet, sondern in die zentrale Cloud-Architektur geschickt, treibt das den Bedarf an kostspieliger Bandbreite und damit die Betriebskosten nach oben. Jedes neu hinzugefügte IoT-Gerät verschlechtert die Bilanz.

Dirk Schuma, Sales Manager Europe bei Opengear, Bild: Opengear

„Bei Edge-Computing werden im Gegensatz zum Cloud-Computing die Daten dezentral am Rand des Netzwerks verarbeitet. Latenzzeiten werden damit minimiert, die Echtzeitverarbeitung riesiger Datenmengen ermöglicht und die Bandbreitennutzung reduziert. Wenn die Rechenlast aber von großen Rechenzentren an Edge-Standorte verlagert wird, müssen Unternehmen ihre Netzwerkstrategie an die neue Situation anpassen, um so eine ständige Verfügbarkeit und höchste Sicherheit zu gewährleisten“, erklärt Dirk Schuma, Sales Manager Europe bei Opengear. „Gerade Micro-Datenzentren in entlegenen Gegenden müssen zuverlässig arbeiten, sicher und robust sein. Dazu kommt, dass meist kein oder nur ungenügend ausgebildetes Personal vor Ort ist, das bei Pannen und Ausfällen eingreifen kann.“ 

Ein smartes Out-of-Band-Management (OOB) stellt sicher, dass die für Edge-Computing erforderliche Netzwerkstabilität und Ausfallsicherheit gewährleistet wird. OOB erlaubt Administratoren, kritische IT-Komponenten wie Switches und Router sowie Sicherheits-Appliances wie Firewalls und Encryption-Tools remote und unterbrechungsfrei zu verwalten. Fällt das primäre Netzwerk aus, bietet OOB über Mobilfunk (4G, LTE) oder andere Optionen eine Failover-Lösung, um die Business Continuity zu gewährleisten. Der sichere Zugriff auf die Protokolldateien der betroffenen Geräte hilft zudem, die Hauptursachen eines Ausfalls zu identifizieren und Recovery-Maßnahmen zeitnah einzuleiten. In den allermeisten Fällen erübrigt sich dadurch der Vor-Ort-Besuch eines Service-Technikers. Sollte er doch notwendig sein, weiß der Techniker im Voraus, welche Ersatzteile notwendig sind, um das Problem zu beheben.

Weitere Informationen zum Thema

datensicherheit.de, 20.05.2020
Umfrage: Netzwerkausfälle gefährden Geschäftsprozesse

Opengear
Secure Remote Access and IT Infrastructure Management

[datensicherheit.de, 22.04.2020] Das Kölner Cloud-Technologieunternehmen gridscale und die Wirtschaftskanzlei Wirtschaftskanzlei Heuking Kühn Lüer Wojtek veröffentlichen kostenfrei ein umfassendes Kompendium zu rechtlichen Fallstricken beim Cloud Computing. Der praxisnahe Ratgeber geht dabei über die gängigen Schlagworte zu Datenschutz und Datensicherheit weit hinaus und liefert Business- und IT-Entscheidern Hintergrundinformationen und konkrete Hilfestellungen bei der Auswahl des für sie passenden Cloudanbieters.

Viele Unternehmen in Deutschland erwägen den Einsatz der Dienste internationaler Cloudprovider. Neben den großen Playern aus den USA ist zu erwarten, dass sich asiatische Anbieter als ernsthafte Alternativen in diesem Umfeld etablieren. Doch aus rechtlicher Perspektive ist zu beachten, dass die vielfältigen Anforderungen an einen gesetzes- und regelkonformen IT-Betrieb in Deutschland meist deutlich unterschätzt werden und bei einem globalen Provider zudem ein „Clash of Cultures“ zu managen ist.

Anhaltende Verunsicherung im Mittelstand

„Seit Inkrafttreten der DSGVO werden wir vermehrt zu den unterschiedlichsten Aspekten der Rechts- und Datensicherheit in der Cloud befragt. Gerade im Mittelstand herrscht hier noch große Unsicherheit. Das fängt beim Datenschutz und der Verteilung von Verantwortlichkeiten an und hört bei der Mitbestimmung durch den Betriebsrat oder einer Anzeigepflicht beim Finanzamt noch lange nicht auf”, erläutert CEO Henrik Hasenkamp die Beweggründe für die Zusammenarbeit mit der erfahrenen Wirtschaftskanzlei. „Mit unserer gemeinsamen Veröffentlichung wollen wir zur weiteren Aufklärung beitragen und nicht nur unseren Kunden, sondern der ganzen Branche eine wertneutrale Handlungsanleitung bieten, die verständlich lesbar und zugleich juristisch sattelfest ist.”

Denn während das deutsche Recht auch im B2B-Bereich sehr streng ist und die Vertragsfreiheiten eingrenzt, bringen viele internationale Cloud-Verträge vor dem Hintergrund des „Common Law“ und der fremden Rechtskultur „Üblichkeiten“ mit, die man nach deutschem AGB-Recht so nicht an seine Kunden weitergeben kann. Hinzu kommt: Transparenzpflichten, Geschäftsgeheimnisschutz und Schadenshaftung werden international unterschiedlich interpretiert und definiert. Auch hier sollten Manager und IT-Experten zunächst sorgfältig bewerten, ob die geplante Transformation in die Cloud tatsächlich allen rechtlichen Vorschriften und eigenen Compliance-Vorgaben entspricht.

Checklistenartiger Überblick zu wichtigen Prüfungskriterien

„Für personenbezogene Daten und geschäftskritische Applikationen gilt eine solche Bewertung natürlich in ganz besonderer Weise. Andernfalls drohen hohe Bußgelder, eine aufwändige Rückabwicklung und im schlimmsten Fall die längere Unterbrechung des IT-Betriebs”, so Henrik Hasenkamp. „Das neue Kompendium lenkt den Blick auf das Wesentliche und gibt einen checklistenartigen Überblick zu allen wichtigen rechtlichen Prüfungskriterien bei der Zusammenarbeit mit internationalen Cloudanbietern.”

Weitere Informationen zum Thema:

gridscale
ePaper Rechtliche Risiken bei Nutzung internationaler Cloudanbieter

datensicherheit.de, 21.04.2020
File-Sharing-Security: Kontrolle über kritische Daten behalten

datensicherheit.de, 19.02.2020
SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit

datensicherheit.de, 23.09.2019
Cloud-Sicherheit: Geteilte Verantwortung

datensicherheit.de, 20.11.2013
Cloud Computing: Herausforderungen für Datenschutz und Datensicherheit

Vorfälle bei asiatischen Fluggesellschaften mahnen zur Vorsicht

Ein Kommentar von Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH

[datensicherheit.de, 23.09.2019] Wer übernimmt beim Cloud-Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt – und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz – und hier liegt oft das Missverständnis – hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

Foto: Check Point Software Technologies GmbH

Dirk Arendt, Leiter „Public Sector & Government Relations“ bei der Check Point Software Technologies GmbH

Viele Cloud-Projekte scheitern an der Idee der Shared Responsibility

Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen. Geschieht das nicht, oder zu wenig, kann das enorm schädliche Auswirkungen auf die Firma und ihre Kunden haben: Der IT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli für weltweite Schlagzeilen. Fachportale, Tageszeitungen und Nachrichtenmagazine berichteten über den erfolgreichen Angriff einer Hackerin, die sensible Daten von 100 Millionen Kunden in den USA und 6 Millionen Kunden in Kanada erbeutete und im Internet offenlegte. Capital One lagerte die Datensätze in der Amazon Web Services Cloud. Von dort wurden sie gestohlen und die Täterin arbeitete früher für den Cloud-Anbieter. Es ließe sich also leicht eine Verbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen das Gegenteil: Die Schutzmaßnahmen der AWS-Cloud waren völlig intakt. Stattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die Capital One zum Schutz der Daten in der Cloud betrieb.

Zwischenfall mit Passagierdaten bei Fluggesellschaften in Asien

In Asien erschüttert nun ein ähnlicher Fall die Branche: Die Fluggesellschaft Malindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht, der ihre und die Passagiere der Linie Thai Lion Air betrifft. Es wurden die Telefonnummern, Adressen und empfindlichen Details der Personalausweise von 30 Millionen Fluggästen gestohlen und in einem Online-Forum veröffentlicht, wie die South China Morning Post berichtet. Die Datensätze wurden zu diesem Zweck in einen frei zugänglichen AWS-Bucket geladen und zum Teil sogar im Dark Web feilgeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von den Servern gestohlen worden, die Malindo Air über AWS betrieb. Der Angriff erfolgte dabei über einen ungenannten Drittanbieter, nicht über die AWS-Cloud selbst.

Vorsicht beim Umgang mit Cloud-Umgebungen

Diese Vorfälle mahnen zur Vorsicht im Umgang mit Cloud-Umgebungen. Sie sind die Zukunft des digitalen Marktes, aber die dort geparkten Daten und Anwendungen müssen gut geschützt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration der sie umgebenden Sicherheitsmaßnahmen. Unternehmen können Hunderte, Tausende oder sogar Millionen von AWS-S3-Buckets einfach aktivieren – oder ähnliche Cloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so entstehenden Komplexität ist es für Unternehmen unerlässlich, Fehlkonfigurationen ihrer IT-Infrastruktur ständig zu überprüfen und zu korrigieren – besonders, da Cloud Services gelegentlich ihre Einstellungen ändern und eine Anpassung notwendig machen. Das ist von Hand durchgeführt allerdings ein sehr zeitraubender Prozess. Automatisierte Cyber-Sicherheitslösungen sind hier die bessere Wahl, zumal sie dazu beitragen, die üblichen menschlichen Leichtsinnsfehler bei der Konfiguration der Sicherheitsmechanismen zu vermeiden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2019
Richtige Vorbereitungen treffen: Der Aufstieg der hybriden Cloud stellt neue Sicherheitsherausforderungen dar

datensicherheit.de, 07.06.2019
EternalBlue – Schwachstelle als Waffe

Wie der Spagat zwischen Sicherheit und Innovation in der Cloud gelingt

Von unserem Gastautor Dhiraj Sehgal, Director Product and Solution Marketing bei Delphix

[datensicherheit.de, 24.07.2019] Daten befeuern Innovationen in Unternehmen: Informationen werden intelligent ausgewertet und in neues Wissen verwandelt, daraus entstehen Produkte, Lösungen und Dienste. Das funktioniert aber nur, wenn die migrierten Daten in hoher Qualität vorliegen und Betriebe sie schnell und bequem nutzen können. Weitere Voraussetzung: die Nutzung von Cloud-Diensten, denn nur sie ermöglichen die digitale Transformation. Nur mit ihrer Hilfe können Daten schnell verarbeitet und bereitgestellt werden. Ohne Cloud-Nutzung wird kaum ein Unternehmen fit für die digitale Zukunft sein. Das hat zusätzliche Vorteile: Prozesse werden effizienter und agiler, die Kosten sinken.

Wenn Unternehmen darauf verzichten, riskieren sie, ihr Geschäft auszubremsen und Marktanteile zu verlieren. Für viele deutsche Unternehmen ist das inzwischen selbstverständlich: 73 Prozent nutzen bereits Cloud-Computing, so der „Cloud-Monitor 2019“ von KPMG und Bitkom.

Die Gefahr von Datenlecks steigt

Andererseits steigt durch den Einsatz der Cloud die Gefahr von Datenlecks. Unternehmen wissen womöglich nicht immer im Detail, wo sich welche Informationen befinden, auf eigenen Systemen oder in der Cloud, und wo dort genau. Sensible Informationen können in falsche Hände geraten oder versehentlich öffentlich gemacht werden. Das ist ein großes Sicherheitsrisiko, erst recht, weil bis zu 90 Prozent aller Test- und Entwicklungsdaten immer noch nicht-anonymisiert auf Unternehmenssystemen gespeichert werden.

Bild: Delphix

Dhiraj Sehgal ist Director Product and Solution Marketing bei Delphix

Gleichzeitig wachsen die Anforderungen an die Datensicherheit: Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass sensible Informationen wie etwa personenbezogene Daten in Einklang mit Datenschutzregelungen und Compliance-Vorgaben verarbeitet werden müssen. Bei Verstößen drohen hohe Strafen, die Bußgelder können sich auf bis zu vier Prozent des jährlichen Gesamtumsatzes belaufen.

Umso alarmierender, dass 40 Prozent der Firmen, die auf die Cloud setzen, dafür keine Sicherheitsmaßnahmen definiert haben, wie der „Cloud-Monitor 2019“ feststellt.

Weder sie noch die Unternehmen, die ganz auf die Cloud verzichten, schaffen den Spagat zwischen einer einerseits sicheren und andererseits schnellen Bereitstellung von Produktivdaten.

Balance zwischen Tempo und Sicherheit

Das Dilemma könnten die Unternehmen lösen, wenn sie die Sicherheitsvorkehrungen erhöhen, ohne gleichzeitig den Datenfluss zu drosseln – wenn sie also eine Balance finden zwischen hohem Entwicklungstempo und Datensicherheit. Dazu ist ein automatisches Management der Informationen in der Cloud unabdingbar. Denn sonst können Unternehmen in der Flut ihrer gesammelten Daten untergehen, weil sie den Überblick verlieren.

Aber wie kann das funktionieren? Der Schlüssel ist eine effektive Datenstrategie, die die Reise in die und durch die Cloud begleitet – und sie gleichzeitig beschleunigt. Zentral ist dabei eine DataOps-Plattform wie die von Delphix. Sie bestimmt, wie Daten in der Cloud bereitgestellt, erreicht und kontrolliert werden:

• Die DataOps-Plattform erstellt eine virtuelle Kopie der Produktivdaten. Diese ist die Basis für die Bereitstellung der Daten in verschiedenen Entwicklungs- und Testumgebungen in der Cloud. Backups oder Wiederherstellungen von Daten sind unnötig.
• Unternehmen können mit den Daten arbeiten, wann, wo und wie sie wollen. Sie greifen auf sichere Kopien von Daten auch aus verschiedenen Quellen zu, die entweder in der Cloud oder lokal gespeichert sind.
• Mithilfe von Datenmaskierung werden sensible und personenbezogene Informationen so anonymisiert, dass Personen nicht identifiziert werden können. Gleichzeitig bleiben aber nützliche Korrelationen in den Daten für Entwicklung und Tests erhalten. Die sonst üblichen zeit- und kostenaufwändigen Prozesse zum Maskieren sensibler Informationen fallen weg. So wird auch die Einhaltung der DSGVO-Regelungen gewährleistet.

Eine DataOps-Plattform ermöglicht also das automatische, agile und sichere Verarbeiten von Daten. Sie beseitigt Datenengpässe, die in einer Cloud-Umgebung entstehen können. Unternehmen können sich darauf konzentrieren, Innovationen zu erschaffen, während die Daten in der Cloud schnell und sicher dorthin fließen, wo sie gerade gebraucht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2019
Bitglass: Cloud Security Report 2019 veröffentlicht

datensicherheit.de, 28.02.2019
Wie Datenschutzbeauftragte mit Data-Ops-Plattformen die Datensicherheit gewährleisten

Kommentar von Bruno Teuber, Senior Vice President EMEA Enterprise Sales bei New Relic

[datensicherheit.de, 23.03.2018] Datenschutz, Cyber Security, der Schutz von geistigem Eigentum aber auch freier Handel und ein flächendeckender Zugang zu schnellem Internet sind wichtige Voraussetzungen, damit ein Unternehmen erfolgreich in Cloud-Computing investieren kann. Die BSA Global Cloud Computing Scorecard vergleicht jedes Jahr, in welchem Land diese Voraussetzungen am besten erfüllt werden. Überraschendes Ergebnis des diesjährigen Reports: Deutschland ist Spitzenreiter. Besonders im Bereich der IT-Sicherheit und durch den gerade sehr aktuellen Aspekt der Unterstützung des freien Handels sichert sich Deutschland den ersten Rang vor Ländern wie Japan und den USA.

Bild: New Relic

Bruno Teuber gibt Einblicke in die hiesige Marktentwicklung beim Cloud Computing

So die Theorie. Doch spiegelt sich das Ergebnis des Reports auch im Alltag der Unternehmen wieder? Bruno Teuber, Senior Vice President EMEA Enterprise Sales bei New Relic, gibt Einblicke in die hiesige Marktentwicklung und welche Stärken und Herausforderungen er für deutsche Unternehmen, die in Cloud Computing investieren wollen, sieht:

Cloud – nicht mehr nur Sache der Digital First Adopters

Tatsächlich sehen wir in Deutschland ein steigendes Interesse, zu modernisieren und Cloud-Technologie einzusetzen. Anfangs waren es vor allem die Digital Early Adopters, die in die Cloud investiert haben. Das bedeutet, Unternehmen, die schon früh den Druck der Digitalisierung gespürt haben, haben ebenfalls früher auf Cloud Computing gesetzt – zum Beispiel Print Medien, die heute ein vielfältiges Online-Angebot über verschiedenste Kanäle anbieten.

Danach folgten die ersten Unternehmen aus dem Handel – sowohl für Lebensmittel als auch andere Waren. Seit etwa einem Jahr sehen wir einen starken Trend Richtung Cloud in der Finanz-, Automobil- und Pharma-Branche aber auch in vielen anderen Bereichen.

Es sind also die digitalen Pioniere, die auch bei Cloud-Plattformen eine Vorreiterrolle eingenommen haben. Doch heute befinden wir uns in einer Entwicklung, in der jedes Unternehmen, unabhängig von Branche und Größe, zu einem Software-Unternehmen wird. Stetige Innovationen sowie Neuerungen sind notwendig und die Nutzererfahrung auf digitalen Kanälen wird immer wichtiger, um die Unternehmensziele zu erreichen. Die Cloud bietet dabei verschiedenste Möglichkeiten, vielfältige Services schnell anbieten zu können und Neuerungen oder Updates sofort umzusetzen – ein klarer Vorteil im Wettbewerb um Kunden. Dieses Tempo ohne Cloud zu meistern, ist beinahe nicht mehr möglich.

Vom Startup zum multinationalen Konzern

Vom kleines Startup, das auf schnelle und agile Strukturen setzt, bis zum etablierten Großunternehmen – eines haben alle gemeinsam: Der Griff der Kunden zu mobilen Geräten und der Gebrauch von Apps ist sowohl im Geschäftsumfeld als auch bei Endverbrauchern zum Alltag geworden. Wer diese Entwicklung nicht mitgeht, läuft Gefahr, Kunden zu verlieren. Digitalisierung ist so letztendlich eine Frage des wirtschaftlichen Überlebens.

Deutsche Zögerlichkeit und konsequente Entscheidungen

Die größte Herausforderung für deutsche Unternehmen ist, dass sie vergleichsweise konservativ bei der Einführung neuer Technologien sind. Daher überrascht vermutlich auch das Ergebnis der BSA Global Cloud Computing Scorecard. Sie warten lieber ab, bis sich ein neues Konzept oder eine neue Technik bewährt hat. Das ist sozusagen in der DNA der deutschsprachigen Märkte verankert. Die gute Nachricht ist: Wenn sie einmal davon überzeugt sind, dass der Weg in die Cloud der Richtige ist, dann gehen Unternehmen hierzulande diesen konsequent. Und genau an diesem Punkt sehen wir Deutschland jetzt.

Deshalb sind wir bei New Relic davon überzeugt, dass wir in Deutschland im Bereich Cloud an einem sogenannten „Point of no Return“ stehen.

Cloud-Migration zum Erfolg führen

Bei der Migration in die Cloud müssen Unternehmen einige entscheidende Herausforderungen meistern: Habe ich die richtigen Daten? Bin ich in der Lage, diese zu nutzen und gegebenenfalls schnell Änderungen vorzunehmen? Sind meine Mitarbeiter in den Prozess gut eingebunden? Diese Fragen zu klären, ist unabdingbar für eine erfolgreiche Coud-Migration. Der Trend zur Cloud wird zweifelsohne anhalten – auch die guten Voraussetzungen in Deutschland fördern diese Entwicklungen. Deshalb müssen sich Unternehmen den damit einhergehenden Herausforderungen stellen.

Weitere Informationen zum Thema:

BSA The Software Alliance
2018 BSA Global Cloud Computing Scorecard

datensicherheit.de, 26.02.2018
DSGVO macht Cloud-Lösungen für den Mittelstand weniger attraktiv

datensicherheit.de, 11.07.2017
NIFIS: Cloud-Anbieter haften künftig für den Datenschutz ihrer Kunden

[datensicherheit.de, 02.05.2017] Nach Erkenntnissen der Stiftung Datenschutz speichern und bearbeiten mehr als zwei Drittel der Unternehmen ihre Daten nicht mehr ausschließlich lokal – insbesondere für kollaboratives Arbeiten sei eine Cloud-Lösung unerlässlich geworden. Doch stellt sich die Frage, ob Clouds immer sicher sind und welchem Siegel man vertrauen kann. Auf der neugestalteten Website „tcdp.de“ bietet die Stiftung Datenschutz nun Informationen zum sicheren Standard TCDP, der den hohen bundesdatenschutzrechtlichen Anforderungen entsprechen und Rechtssicherheit für Unternehmen sowie Anwender bieten soll.

Prüfstandard für Datenschutz-Zertifizierung von Cloud-Diensten

Das „Trusted Cloud Datenschutz“-Profil (TCDP) sei ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten. Das Zertifikat bescheinige dem Nutzer, dass die Daten sicher und datenschutzgerecht gespeichert werden.
Der Anbieter einer Cloud-Lösung könne seine Dienstleistungen durch TCDP nach einem rechtsverbindlichen Standard zertifizieren lassen und so Vertrauen bei den Nutzern und Geschäftspartnern schaffen. Dadurch würden Kosten eingespart und der Grad von Compliance und Transparenz erhöht. Federführend bei der Entwicklung dieses Standards sei das Bundesministerium für Wirtschaft und Energie gewesen.
Die Bundesregierung hat laut Stiftung Datenschutz zum Frühjahr 2017 die Verwaltung des „Trusted Cloud“-Datenschutzprofils der Bundesstiftung für den Datenschutz übertragen. Gleichzeitig werde der TCDP-Standard in den kommenden Monaten von einem Konsortium am die neuen europäischen Vorgaben angepasst.

TCDP: Bekanntheit entscheidend für Akzeptanz und Anwendung

Neben der technischen Umsetzung spiele die Bekanntheit des Standards eine wichtige Rolle für die Akzeptanz und Anwendung von TCDP. Um neuen Zielgruppen die Wichtigkeit von datenschutzkonformen Lösungen im „Cloud Computing“ näherzubringen, betreue die Stiftung Datenschutz mit Sitz in Leipzig nun die Website „tcdp.de“.
Dieses Portal soll sich zum einen an datenverarbeitende Unternehmen richten, die sich über Cloud-Lösungen informieren wollen. Zum anderen gebe das Portal Betreibern von Cloud-Diensten praktische Hinweise für den Zertifizierungsprozess. Auf der neugestalteten Website seien die Zertifizierungskriterien und alle begleitenden Dokumente kostenlos erhältlich.

Zentraler Herausforderung der Cloud-Nutzung begegnen

„TCDP hat das Potenzial, eine zentrale Herausforderung bei der Cloud-Nutzung zu beantworten“, so Stiftungsvorstand Frederick Richter. Denn „Cloud Computing“ werde in Deutschland datenschutzrechtlich als Auftragsdatenverarbeitung nach §11 BDSG klassifiziert. Das bedeute für den Cloud-Nutzer, dass er „die rechtskonforme Verarbeitung der Daten in der Cloud verantwortliche Stelle ist und bleibt“. Das die Cloud nutzende Unternehmen müsse sich somit von der ordnungsgemäßen Bearbeitung der Daten eigenständig überzeugen, betont Richter. In der Praxis sei das nahezu unmöglich, weil es große zeitliche und technische Ressourcen erfordern würde. Das TDCP-Zertifikat biete dafür Entlastung.
Über die Zertifizierungsstellen und den Ablauf des Verfahrens gebe das neue Angebot der Stiftung Datenschutz ebenso Auskunft wie zu technischen Hintergründen der Entwicklung und Darstellung.

Weitere Informationen zum Thema:

Trusted Cloud
Datenschutz-Profil für Cloud-Dienste

datensicherheit.de, 16.03.2017
BSI-Warnung: Tausende Clouds in Deutschland für Cyber-Attacken anfällig

[datensicherheit.de, 04.11.2016] Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen nach eigenen Angaben den Einsatz von „Cloud Computing“ und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die Anfang November 2016 beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Datenübermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf.

Grenzüberschreitende Übermittlungen personenbezogener Daten als Regelfall

In den letzten Jahren seien grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft eher die Regel als die Ausnahme gewesen. Zu den Ursachen dieser Entwicklung zählten die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des „Cloud Computing“.
Selbst viele kleinere und mittlere Unternehmen (KMU) in Deutschland verarbeiteten inzwischen zahlreiche personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union (EU). Dies sei vor allem bei Angeboten wie „Software as a Service“ der Fall. Ein klassisches Beispiel hierfür seien Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden könnten.

Dienste stammen oft von US-Unternehmen

Viele dieser Dienste stammten von US-Unternehmen und setzten deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus.
Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst seien, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfinde und entsprechende datenschutzrechtliche Konsequenzen daraus resultierten.

Daten auch nach Übermittlung angemessen schützen!

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der EU übermitteln, so müsse es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls müsse die Übermittlung unterbleiben. Entscheidend sei daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.
Finden solche Übermittlungen statt, so müsse sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

10 deutsche Datenschutzaufsichtsbehörden starten Prüfaktion

Vor diesem Hintergrund werden nun zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen
eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d.h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen.
Im Rahmen der Prüfung werden demnach rund 500 nach dem Zufallsprinzip ausgewählte Unternehmen angeschrieben. Die Aufsichtsbehörden haben dabei nach eigenen Angaben Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen. Ein wichtiges Ziel der Prüfung liege in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der EU. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, werde auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden seien.
Gefragt werde zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch „Customer Relationship Management“ oder Bewerbermanagement. Die Unternehmen würden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.
Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, seien die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden müsse beispielsweise, ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zähle auch „EU-U.S. Privacy Shield“), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.
Jedes Unternehmen müsse ein vollständiges Bild über seine internationalen Datentransfers haben, so Barbara Thiel, LfD Niedersachsen. „Die Sicherstellung der datenschutzrechtlichen Anforderungen sollte deshalb integraler Bestandteil der Compliance sein“, fordert Thiel.

[datensicherheit.de, 06.04.2016] Das Internet of Things (IoT) stellt den wichtigsten Treiber für aktuelle Veränderungen in der IT-Sicherheit dar. Dies legt der eco Sicherheitsreport 2016 nahe, für den eco – Verband der Internetwirtschaft e. V. rund 600 IT-Sicherheitsexperten befragt hat.Demnach stuft über die Hälfte (51 Prozent) der Firmen das Internet der Dinge als den wichtigsten Faktor für anstehende Veränderungen in IT-Sicherheitsfragen für 2016 ein. Ein Jahr zuvor hatte der Anteil der Befragten mit dieser Einschätzung noch bei unter 40 Prozent gelegen. In der aktuellen Umfrage an zweiter Stelle steht mit 45 Prozent der Aspekt der kritischen Infrastrukturen, der im letzten Jahr ebenfalls noch bei unter 40 Prozent gelegen hatte.

„IoT und kritische Infrastrukturen haben die Themen Cloud, Datenschutz und Mobile deutlich zurückgedrängt, was ihre Bedeutung für die IT-Sicherheit angeht“, erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit beim eco.

Geheimdienste sind aus dem Bewusstsein verschwunden

So wird Cloud Computing aktuell noch nicht einmal von einem Drittel (32 Prozent) der Befragten als Treiber für Veränderungen in Sachen IT-Sicherheit eingestuft (Vorjahr: 38 Prozent). Der Datenschutz ist in dieser Zeitspanne von 41 auf 29 Prozent gefallen, das Themengebiet Mobile von 43 auf 28 Prozent. Die Relevanz von Big Data ist von 25 auf 21 Prozent abgerutscht. Das Ausspähen durch Geheimdienste ist als Sicherheitsrisiko beinahe völlig aus dem Bewusstsein verschwunden: Lediglich 20 Prozent der Firmen stufen Spionage als Treiber für betriebliche Sicherheitsfragen ein. Nur ein Jahr zuvor hatten noch 38 Prozent genau diese Gefahr als treibende Kraft eingestuft.

Sicherheit in der Smart World

Die deutsche Wirtschaft steht dem Konzept des Smart Car mit zunehmenden Sicherheitsbedenken gegenüber. Hingegen nimmt das Bewusstsein für Sicherheitsfragen beim Smart Home immer mehr ab. Das ist ein weiteres Fazit des eco Sicherheitsreport 2016.

Deutlich mehr als ein Drittel (36 Prozent) der aktuell Befragten vertreten die Auffassung, dass das smart vernetzte Automobil ein Sicherheitsrisiko darstellt. Ein Jahr zuvor hatte diese Gruppe der Bedenken­träger noch bei unter einem Drittel (32 Prozent) gelegen. Nur noch neun Prozent sind der Meinung dass die „Smartisierung“ die Sicherheit im Auto erhöht (Vorjahr: 15 Prozent). Die Mehrheit (55 Prozent; Vorjahr: 53 Prozent) denkt pragmatisch: Die Vernetzung wird sowohl für mehr als auch für weniger Sicherheit sorgen. „Es fällt offenbar vielen Menschen sehr schwer abzuschätzen, welche Veränderungen die neue smarte Automobilwelt wirklich mit sich bringen wird und welche Sicherheitsvor- und –nachteile damit verbunden sein mögen“, sagt eco Kompetenzgruppenleiter Oliver Dehning.

Anders beim Smart Home: 99 Prozent (!) der aktuell Befragten mahnen mehr Sicherheitsbewusstsein bei der Vernetzung der eigenen vier Wände an. Ein Jahr zuvor hatte dieser Anteil bei 92 Prozent gelegen. „Das Bewusstsein für die Notwendigkeit von Sicherheit im Smart Home ist abnehmend gegen Null“, erklärt Oliver Dehning.

[datensicherheit.de, 19.02.2014] Cloud Computing hat sich zu einer wichtigen Technologie für die Entwicklung neuer Geschäftsmodelle entwickelt. Ermöglicht werden die Innovationen durch die flexible Nutzung von IT-Leistungen wie Speicherplatz, Rechenkapazität oder Software, die über das Internet oder innerhalb des Intranets einer Organisation bereitgestellt werden. Laut dem Cloud-Monitor 2014 von KPMG und Bitkom Research setzen bereits 40 Prozent der Unternehmen in Deutschland auf Cloud-Lösungen. „Cloud Computing macht Unternehmen nicht nur effizienter, sondern auch innovativer“, sagt BITKOM-Präsident Prof. Dieter Kempf. „Immer mehr Unternehmen entwickeln auf Basis von Cloud Computing neue Produkte und Dienste.“ Konkrete Beispiele dafür gibt der neue BITKOM-Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“. Mehr als 30 Anwendungsfälle zeigen den innovationsfördernden Einsatz der Technologie.

Cloud Computing unterstützt vor allem dort neue Geschäftsmodelle, wo große Datenmengen verarbeitet werden. In der Medizin nutzen Ärzte Cloud-Angebote, um rechenintensive dreidimensionale Bilder aus Kernspintomographen zu verarbeiten. Dabei wählen sie auf einem virtuellen Marktplatz diejenigen Cloud-Ressourcen und -Leistungen aus, die für die Analyse der Kernspin-Bilder am besten geeignet sind.

Auch in der Landwirtschaft kommen Cloud-Lösungen zum Einsatz. Die Landwirte rüsten ihre Erntefahrzeuge mit einem Tablet Computer und einer entsprechenden App aus, die per GPS ihre Position feststellt sowie über Mobilfunk mit einer elektronischen Plattform in der Cloud kommuniziert. Über die App kontrolliert der Landwirt den Ernteprozess wie auf einem Navigationssystem. Zusätzlich dokumentiert sie spezifische Daten, wie etwa die angefallene Erntemenge oder den Dieselverbrauch. Damit entfallen die bisher üblichen handschriftlichen Belege auf Papier. Die Cloud sammelt und verarbeitet dabei alle Daten. So werden Prozesse besser geplant und Ressourcen effizienter eingesetzt.

Weitere Informationen zum Thema:

BITKOM
Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“

[datensicherheit.de, 10.02.2014] Zum diesjährigen Safer Internet Day am 11. Februar 2014 veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Broschüre zum Thema Cloud Computing. Die Broschüre richtet sich an Bürgerinnen und Bürger und erklärt die Cloud in leicht verständlicher Weise. Zudem werden einfach anwendbare Tipps und Hinweise rund um das Cloud Computing für Privatanwender gegeben. Als zusätzliches Service-Angebot ist das BSI am 11. Februar 2014 in der Zeit von 09:00 bis 17:00 Uhr unter der Nummer 0228- 99 9582-5222 zu erreichen, um Fragen zum Thema Cloud Computing zu beantworten.

Cloud Computing: Was müssen Privatanwender wissen müssen

Neben Informationen zu Vorteilen wie Kostenersparnis, Flexibilität und Bedienfreundlichkeit klärt die Broschüre insbesondere über den nötigen Basisschutz auf, um Cloud Computing sicher nutzen zu können. Der Schutz beginnt bereits bei den verwendeten Endgeräten, wie PC, Tablet oder Smartphone, die adäquat gegen Schadsoftware abgesichert sein sollten. Ein starkes Passwort für den Cloud-Dienst und der Zugriff über ein gut geschütztes (WLAN-)Netz sind für die Sicherheit ebenso unerlässlich.

Etwas Zeit sollten sich Cloud-Nutzer auch für die ,“unbequemen“ Fragen nehmen: Datenschutzvereinbarungen, Nutzungsbedingungen und Haftungsfragen sollten bei der Auswahl des Anbieters eine Rolle spielen. Werden die Daten verschlüsselt oder unverschlüsselt zum Anbieter übertragen und wie werden sie gespeichert? Je nach Schutzbedarf muss der Nutzer hier selbst mit Verschlüsselungstechnologien aufrüsten. Die Broschüre des BSI erläutert die wichtigsten Fragen bis hin zur Datenlöschung. Sie steht ab dem 11. Februar 2014 zum Download unter http://www.bsi-fuer-buerger.de/SID2014 zur Verfügung und wird ab Anfang März 2014 auch als Printausgabe erhältlich sein.

Der Safer Internet Day: Veranstaltungen deutschlandweit

Zum Safer Internet Day bündelt eine Initiative der Europäischen Kommission jährlich weltweit Veranstaltungen und Aktionen rund um das Thema „Sicherheit im Netz“. Der Tag steht in diesem Jahr unter dem Motto „Gemeinsam für ein besseres Internet“. In Deutschland koordiniert die Initiative klicksafe erneut die nationalen Aktivitäten und bietet auf ihrer Webseite einen Überblick über alle regionalen Veranstaltungen.