[datensicherheit.de, 06.07.2025] In ihrer Stellungnahme vom 4. Juli 2025 widmet sich Rechtsanwältin Dr. Kristina Schreiber, Mitglied im Ausschuss „Informationsrecht“ des Deutschen Anwaltvereins e.V. (DAV), der Umsetzung der NIS-2-Richtlinie – mit dieser soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union (EU) geschaffen werden. In einer Anhörung des Bundesministeriums des Innern (BMI) hat der DAV an diesem Tag mehrere Verbesserungsvorschläge zum deutschen Gesetzentwurf unterbreitet.

Bei NIS-2-Umsetzung auch sonstige IT-System-Anbieter, insbesondere solche von „Cloud“-Diensten, adressieren

Schreiber betont: „Wir begrüßen die gründliche Umsetzung der NIS-2-Richtlinie. Wenn die Hersteller von IT-Systemen in den Fokus genommen werden, dürfen aber auch die übrigen IT-System-Anbieter, insbesondere solche von ,Cloud’-Diensten, nicht vergessen werden!“

An diese Anbieter, aber auch Auslagerungsunternehmen, sollten ebenfalls hohe Standards angelegt werden. „Bisher werden die gesetzlichen Normen nicht zuverlässig per Vertrag von Auftraggebern an ihre Auslagerungsunternehmen weitergereicht“, kommentiert Schreiber.

Bewältigung des Schadensfalles sollte Priorität vor der NIS-2-Meldepflicht haben

Außerdem regt der DAV an, bei Sicherheitsvorfällen noch vor der Meldepflicht zunächst die Bewältigung des Vorfalls zu priorisieren. Zur Begründung: „Nach dem aktuellen Entwurf könnten während der Erfüllung der Meldepflicht personelle Ressourcen bei der Bewältigung fehlen.“

Der Entwurf in seiner aktuellen Form sei durch sich überschneidende Begriffsebenen und zahlreiche Querverweise aber nur schwer zu durchdringen. „Hier sollte der Gesetzgeber prüfen, ob redundante Regelungen gestrichen und der Text so vereinfacht werden kann – zum Beispiel durch engere Orientierung an der ursprünglichen Richtlinie“, gibt Schreiber abschließend zu bedenken.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Ausschuss Informa­ti­onsrecht

Loschelder Rechtsanwälte
Berater / Dr. Kristina Schreiber

OpenKRITIS
Meldepflichten

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 26.05.2025] Schwarz Digits baut seine souveräne Cloud STACKIT zum deutschen Hyperscaler aus. Im Rahmen der Technology Experience Convention Heilbronn (TECH) verkündete das Unternehmen neue Produkte, die diesen Anspruch untermauern.

Zwickmühle: Digital abgehängt vs. digital abhängig

Ein wichtiger Schritt der Digitalisierung ist das Verlegen von Daten und Prozessen in die Cloud. Das steigere nach Angaben des Unternehmens Flexibilität und Produktivität. In diesen Daten und Prozessen steckt umfangreiches Wissen über die jeweilige Organisation. Bisher standen für die Digitalisierung vorwiegend Cloud-Angebote von US-Konzernen zur Auswahl. Für ihre Digitalisierung setzen Unternehmen entweder auf außereuropäische Cloud-Lösungen oder sie transformieren ihre Prozesse und Daten nicht in die Cloud. Letzteres führt dazu, dass Europa bei der Digitalisierung den Anschluss verliert. Einseitige Abhängigkeiten von außereuropäischen Konzernen hingegen sind ein Problem, weil diese in anderem Rechtsrahmen agieren und trotzdem großen Einfluss auf unsere kritische Digitale Infrastruktur haben. Umso wichtiger ist es, europäische Kapazitäten aufzubauen.

Digitale Transformation mit SAP S4/HANA Private Cloud auf deutscher Infrastruktur

Schwarz Digits baut diese Kapazitäten mit Hochdruck auf. Ein Beispiel ist die Digitalisierung von Geschäftsprozessen in der Cloud. Hierfür stellt Schwarz Digits ab sofort ein neues Angebot auf STACKIT bereit. „Wollen Unternehmen und Organisationen zukunftsfähig aufgestellt sein, müssen sie zentrale Geschäftsprozesse in einer Cloud-Umgebung modernisieren und digitalisieren“, sagt Christian Müller, Co-CEO von Schwarz Digits. „Bisher standen dafür vorwiegend Cloud Anbieter aus nicht EU-Ländern zur Auswahl. Durch unsere Partnerschaft mit SAP bieten wir eine europäische Alternative und unterstützen europäische Organisationen bei der souveränen Transformation.“ SAP bietet jetzt RISE with SAP auf STACKIT als zusätzlichen europäischen Infrastruktur-Provider an.

TECH-Konferenz 2025: Schwarz Digits baut eigene souveräne Cloud STACKIT zum deutschen Hyperscaler aus, Bild: Schwarz Digits

„Für eine digitale Transformation, die wirklich einen produktiven Mehrwert bie und baut sie zum deutschen Hyperscaler austet, ist die Verlagerung von Prozessen in eine Cloud-Umgebung entscheidend“, sagt Rolf Schumann, Co-CEO von Schwarz Digits. „Auch für die Unternehmen der Schwarz Gruppe verlagern wir die ERP-Landschaft komplett in die STACKIT Cloud über RISE with SAP on S4/HANA cloud.“

„Unsere Partnerschaft mit Schwarz Digits und RISE with SAP on STACKIT unterstreicht unser Bestreben, unseren Kunden Wahlmöglichkeiten zu bieten“, sagt Thomas Saueressig, Mitglied des Vorstands der SAP SE Bereich Customer Services & Delivery. „Angesichts der sich ständig ändernden Marktdynamik und der globalen wirtschaftlichen Unsicherheit ist es entscheidend, dass Unternehmen die Flexibilität haben, den Infrastruktur-Provider ihrer Wahl zu nutzen. Mit STACKIT haben unsere Kunden nun eine Alternative, die speziell auf die Bedürfnisse des deutschsprachigen Raums zugeschnitten ist.“

Souveräne Cloud – Souveräne KI für spezialisierte Unternehmen mit Aleph Alphas PhariaAI auf STACKIT

Ein weiteres wichtiges Werkzeug für effiziente Digitalisierung ist Künstliche Intelligenz. Viele Unternehmen verfügen über großes Expertenwissen. Nutzen sie KI-Modelle außereuropäischer Konzerne, können sie nicht mit Sicherheit ausschließen, dass ihr Wissen über das Training der KI an Wettbewerber abfließt. Um dieses Abfließen auszuschließen und trotzdem die Vorteile künstlicher Intelligenz nutzbar zu machen, bietet Schwarz Digits souveräne, deutsche KI-Lösungen an. Eine davon ist die PhariaAI Suite von Aleph Alpha. Sie legt den Fokus auf die Spezialisierung von Modellen für spezialisierte Anwendungen in Unternehmen und Behörden. PhariaAI ermöglicht es, Modelle für individuelle Bedürfnisse zu trainieren und während des Trainings zu verbessern wobei technologische Souveränität durch transparentes und auditierbares Modellverhalten gewährleitet wird. Die Ergebnisse sind schließlich über eine benutzerfreundliche Oberfläche zugänglich.

Wire als sichere, souveräne Alternative zu WhatsApp und MS Teams

Eine Schwachstelle bei der Digitalisierung ist häufig die Kommunikation. Selbst DAX-Vorstände teilen sensible Nachrichten und Dateien häufig über unsichere Messenger. Der Kommunikationsdienst Wire hingegen ist der einzige Messenger mit einer Freigabeempfehlung für die Kommunikation von ‚Verschlusssachen – Nur für den Dienstgebrauch‘ durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das schafft das Unternehmen unter anderem durch Ende-zu-Ende-Verschlüsselung aller Daten direkt auf dem Endgerät und dem weltweit ersten offenen Protokoll für Ende-zu-Ende verschlüsselte Echtzeitkommunikation („Messaging Layer Security“).

Die Unternehmen der Schwarz Gruppe nutzen den Dienst daher für Vorstandskommunikation und rollen ihn zeitnah großflächig aus. Auch Organisationen der Öffentlichen Hand nutzen Wire. Schwarz Digits arbeitet daran, Wire zeitnah auch auf STACKIT anzubieten, um neue Maßstäbe bei Souveränität und Sicherheit zu setzen.

TECH stellt sich als Plattform für Politische Entscheider auf

Die Verkündungen fanden im Rahmen der Technology Experience Convention Heilbronn statt. Auf dem von Schwarz Digits gesponsorten Event des Handelsblatt sprachen Entscheider aus Politik, Wirtschaft, Wissenschaft und öffentlicher Hand über die Zukunft des Technologiestandorts Deutschland und Europa. Mit dabei waren unter anderem Bundestagspräsidentin Julia Klöckner, Bundesdigitalminister Karsten Wildberger, Bundeswirtschaftsministerin Katherina Reiche, Ministerpräsident von Baden-Württemberg Winfried Kretschmann.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
Digitale Souveränität: Europas Emanzipation voraus

datensicherheit.de, 03.04.2025
Digitale Souveränität Europas: IT-Sicherheit „Made in EU“ als Basis

datensicherheit.de, 21.05.2025
Hybrid-Cloud: KI zwingt deutsche Unternehmen Abstriche bei der Sicherheit zu machen

[datensicherheit.de, 21.05.2025] 63 Prozent der deutschen Sicherheits- und IT-Entscheider berichten, dass sie im Laufe der vergangenen zwölf Monate Opfer mindestens eines Cyber-Angriffs geworden sind – ein Anstieg von 6,7 Prozent im Vergleich zum Vorjahr. Dies ergab die diesjährige Hybrid-Cloud-Security-Studie 2025 von Gigamon. Zum dritten Mal in Folge hat der Deep-Observability-Experte weltweit mehr als 1.000 Sicherheits- und IT-Experten befragt. Demnach ist dieser Anstieg vor allem auf die weitverbreitete Nutzung von KI durch Cyberangreifer zurückzuführen. Zudem beeinflusst die Technologie Sicherheit und Management von hybriden Cloud-Infrastrukturen.

WEF schätzt die globalen Kosten von Cyberkriminalität auf drei Billionen US-Dollar

Das World Economic Forum beziffert die globalen Kosten von Cyberkriminalität mit schätzungsweise drei Billionen US-Dollar. Während Akteure dank KI immer agiler werden, haben Unternehmen mit ineffizienten Tools, fragmentierten Cloud-Umgebungen und einer eingeschränkten Datengrundlage zu kämpfen. Das hat zur Folge, dass Sicherheit- und IT-Teams allmählich an ihre Grenzen stoßen.

Die Umfrageergebnisse machen deutlich, welchen Einfluss KI auf Hybrid-Cloud-Security-Strategien hat:

• Netzwerkkomplexität und Bedrohungspotenziale nehmen zu: KI-basierte Bedrohungen gehören für 47 Prozent der deutschen Sicherheits- und IT-Entscheider zu den Top-Sicherheitsthemen. 28 Prozent berichten, dass sich das Netzwerkdatenvolumen in den vergangenen zwei Jahren mehr als verdoppelt hat. Der Grund: KI-Workloads. Gleichzeitig verzeichnet fast die Hälfte der Befragten (46 Prozent) einen Anstieg der Attacken, die es gezielt auf ihre Large-Language-Modelle abgesehen haben. 53 Prozent der deutschen Sicherheits- und IT-Entscheider sagen, dass Angreifer zunehmend durch KI unterstützte Ransomware nutzen – ein eindeutiger Hinweis darauf, dass KI häufiger dazu eingesetzt wird, um Abwehrmechanismen zu umgehen. Im Vergleich zum letzten Jahr ist dies ein Anstieg um knapp mehr als 10 Prozent (2024: 41 Prozent).
• Unternehmen gehen gefährliche Kompromisse ein: Eine beeindruckende Mehrheit von 95 Prozent der deutschen Sicherheits- und IT-Entscheider gibt zu, dass sie Abstriche hinsichtlich des Managements sowie der Absicherung ihrer hybriden Cloud-Infrastruktur machen muss. Dabei ist bei 53 Prozent ein Mangel an bereinigten, qualitativ hochwertigen Daten entstanden, die zum Schutz von KI-Workloads dienen sollten. 43 Prozent fehlt es an vollständiger Einsicht in all ihre Umgebungen – einschließlich des East -West-Traffics.
• Sicherheits- und IT-Entscheider hinterfragen den Einsatz der Public Cloud: Während und nach der Pandemie galt die Public Cloud als annehmbares Risiko, um den Betrieb aufrecht zu erhalten und zu skalieren. Allerdings hat sich das nun geändert. Viele Unternehmen überdenken nun ihre Cloud-Strategie. Für 62 Prozent der deutschen Sicherheits- und IT-Entscheider stellt die Public Cloud inzwischen ein größeres Risiko dar als jede andere Umgebung. Infolgedessen ziehen 61 Prozent von ihnen in Betracht, ihre Daten angesichts des Sicherheitsrisikos von der Public in die Private Cloud zu verlegen. 48 Prozent zögern sogar, KI in einer Public-Cloud-Umgebung zu nutzen, da sie sich um den Schutz ihres geistigen Eigentums sorgen.
• Sichtbarkeit ist ganz oben auf der Agenda: Je fortschrittlicher Cyberattacken werden, desto offensichtlicher heben sich die Unzulänglichkeiten von Sicherheitslösungen ab. Als Antwort darauf arbeiten Unternehmen zunehmend daran, vollständige Einsicht in ihre Umgebungen zu erlangen – eine Eigenschaft, die mittlerweile als Must-have gilt, um Bedrohungen effizient identifizieren und auf sie reagieren zu können. Mehr als die Hälfte der befragten deutschen Sicherheits- und IT-Entscheider (56 Prozent) glaubt, dass ihre aktuellen Lösungen nicht in der Lage sind, Sicherheitsvorfälle zuverlässig zu erkennen. Als Hauptgrund geben sie die eingeschränkte Sichtbarkeit an. Deshalb planen 61 Prozent von ihnen, in den kommenden zwölf Monaten vollständige Einsicht in wirklich alle Netzwerkdaten zu erhalten und auf diesem Wege eine Echtzeit-Bedrohungsüberwachung zu ermöglichen.

Mark Jow, Technical Evangelist EMEA bei Gigamon, Bild: Gigamon

„Sicherheitsteams fallen immer weiter zurück: Einerseits geht die Einführung von KI-Systemen viel zu schnell vonstatten, andererseits nehmen Komplexität und Schwachstellenrisiko in Public-Cloud-Umgebungen rasant zu“, sagt Mark Jow, Technical Evangelist EMEA bei Gigamon. „Deep Observability adressiert diese Herausforderung: Durch die Verbindung von MELT- und Netzwerktelemetriedaten steigt die Transparenz; Sichtbarkeitslücken werden geschlossen. Dadurch können Teams genau sehen, welche Risiken in ihrem Netzwerk existieren und diese proaktiv angehen. Auch die Mehrheit der Sicherheits- und IT-Entscheider (84 Prozent) ist sich einig: Deep Observability ist mittlerweile eine strategische Notwendigkeit – zum Beispiel, um auch KI-Implementierungen effizient abzusichern.“

Deep Observability wird zum neuen Standard

Da KI sowohl das Traffic-Volumen als auch das Risiko und die Komplexität in die Höhe treibt, wenden sich in Deutschland mehr Sicherheits- und IT-Entscheider Deep Observability zu. Für 88 Prozent leistet das Sichtbarkeitskonzept einen essenziellen Beitrag zu Management und Absicherung ihrer Hybrid-Cloud-Infrastruktur. Auch der Vorstand nimmt dieses Thema immer ernster: So steht Deep Observability in 77 Prozent der Unternehmen weit oben auf der Vorstandsagenda.

Methodik:

Die Hybrid-Cloud-Security-Studie wurde von Gigamon in Auftrag gegeben und vom 21. Februar bis 7. März 2025 durch Vitreous World durchgeführt. An der Online-Umfrage haben insgesamt 1.021 Personen aus Deutschland (150), Frankreich, Großbritannien, den Vereinigten Staaten, Singapur und Australien teilgenommen.

Weitere Informationen zum Thema:

Gigamon
Report | Risiko-Rekalibrierung im Zeitalter der KI

[datensicherheit.de, 24.03.2025] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. wurde – nachdem der Europäische Datenschutzausschuss (EDSA) und die Datenschutz-Aufsichtsbehörde LDI NRW bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt haben – jetzt der letzte Schritt zum Einsatz am Markt vollzogen: Die Deutsche Akkreditierungsstelle (DAkkS) hat demnach die datenschutz cert GmbH als erste Zertifizierungsstelle akkreditiert. Diese Akkreditierung soll bestätigen, dass die datenschutz cert GmbH die Anforderungen für die Konformitätsbewertung von „Cloud“-Diensten erfüllt und somit berechtigt ist, die Datenschutz-Zertifizierung „AUDITOR“ zu vergeben.

Andreas Weiss, eco, Foto: eco – Verband der Internetwirtschaft e.V.

Andreas Weiss sieht in „AUDITOR“ Stärkung der europäischen Datenhoheit und mehr Rechtssicherheit

„AUDITOR“-Zertifizierung im Rahmen eines BMWK-Projektes gefördert

Diese „AUDITOR“-Zertifizierung wurde laut eco im Rahmen eines vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes von einem Expertenkonsortium unter der Führung des Karlsruher Instituts für Technologie (KIT) und der Universität Kassel entwickelt und stellt die erste speziell auf „Cloud“-Dienste zugeschnittene Zertifizierung gemäß Art. 42 der Datenschutzgrundverordnung (DSGVO) dar.

Das Verfahren sei bereits in der Praxis anhand mehrerer „Use-Cases“ erprobt und validiert und von der DAkkS, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und dem Europäischen Datenschutzausschuss (EDSA) geprüft worden. „Cloud“-Dienst-Anbieter können jetzt das „AUDITOR“-Zertifikat nutzen, um die Einhaltung der Vorgaben der DSGVO am Markt nachzuweisen.

Zertifizierung „AUDITOR“ nach DSGVO-Maßgabe im Interesse aller Beteiligten

• „Cloud“-Anbieter können mit einer Zertifizierung Sicherheit und Transparenz bieten.
• „Cloud“-Kunden dürfen nur mit solchen „Cloud“-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können.
• Der Schutz personenbezogener Daten von Endverbrauchern steht im Mittelpunkt der „AUDITOR“-Zertifizierung von „Cloud“-Diensten.

Unabhängige Prüfungen und Zertifizierungen lassen „Cloud“-Kunden gezielt mit Anbietern nachweislich hoher Datenschutzstandards zusammenarbeiten

Unabhängige Prüfungen und Zertifizierungen hätten sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, „dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind“. Andreas Weiss, Geschäftsführer des eco – Verband der Internetwirtschaft e.V. kommentiert abschließend:

„Mit ,AUDITOR’ haben wir endlich eine speziell für ,Cloud’-Dienste entwickelte Zertifizierung nach DSGVO-Standards. Das stärkt die europäische Datenhoheit und bietet Anwendern, Unternehmen und öffentlichen Institutionen mehr Rechtssicherheit. ,Cloud’-Kunden können so gezielt mit Anbietern zusammenarbeiten, die nachweislich hohe Datenschutzstandards erfüllen.“

Weitere Informationen zum Thema:

Trusted Cloud
Die Datenschutzzertifizierung des Kompetenznetzwerks Trusted Cloud e.V.

DAkkS, 25.02.2025
datenschutz cert GmbH

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa

[datensicherheit.de, 21.03.2025] Laut einer aktuellen Stellungnahme der Eperi GmbH warnen Norwegen und Dänemark bereits vor „Cloud“-Service-Anbietern aus den USA. Dies werfe nun die Frage auf, ob auch Deutschland und weitere europäische Länder diesem Beispiel folgen werden, wann Regeln zum Datenschutz verschärft werden und wie Unternehmen diese Hürde meistern können.

Verarbeitung und Speicherung sensibler Daten in US-Clouds könnte gemäß europäischer Gesetzgebung unzulässig werden

Dass zunehmend mehr Unternehmen und Organisationen viele ihrer sensiblen Daten bei US-basierten „Cloud“-Anbietern speichern und verarbeiten, sei mangels europäischer Alternativen Fakt. Aktuelle politische Trends in den USA veranlassten jedoch europäische Sicherheitsbehörden zu deutlichen Warnungen, da die Daten auch dort nicht mehr sicher sein könnten.

„Im schlimmsten Fall könnte die Verarbeitung und Speicherung sensibler Daten in den US-Clouds sogar gemäß der europäischen Sicherheitsgesetzgebung unzulässig werden!“ Die proaktive Lösung des Problems könne eine funktionserhaltende Verschlüsselung sensibler Daten sein – egal für welche „Cloud“ und egal wo auf der Welt.

Strategie vorbereiten, falls Datentransfer in US-„Clouds“ plötzlich nicht mehr zulässig ist

Europäische Datenschutzexperten seien besorgt – und mit Norwegen und Dänemark schlagen demnach die ersten beiden Länder offiziell Alarm: Die norwegische Datenschutzbehörde habe die klare Empfehlung ausgesprochen, dass Unternehmen eine Strategie vorbereiten sollten, wie sie mit US-amerikanischen „Cloud“-Diensten umgehen, falls der Datentransfer in die USA plötzlich nicht mehr zulässig werde.

Eine ähnliche offizielle Empfehlung der dänischen Datenschutzbehörde nur einige Tage zuvor betone, dass sich Unternehmen nicht auf den aktuellen Angemessenheitsbeschluss verlassen dürften, da die rechtliche Lage viel zu unsicher sei.

Unternehmen sollten sich nicht auf anhaltende Rechtssicherheit für Nutzung von US-„Cloud“-Diensten verlassen

Dass deutsche Datenschutzbehörden mit einer vergleichbaren Warnung nachziehen, sei wahrscheinlich: „Die deutschen Aufsichtsbehörden standen in der Vergangenheit bei vielen Risikoeinschätzungen und Datenschutzinitiativen Seite an Seite mit den europäischen Partnerstaaten.“

Bereits jetzt ließen Aufsichtsbehörden keinen Zweifel daran, dass deutsche Unternehmen sich nicht auf langfristige Rechtssicherheit beim Einsatz von US-„Cloud“-Diensten verlassen sollten. Sie hätten in der Vergangenheit immer wieder betont, dass der Schutz personenbezogener Daten oberste Priorität habe – auch wenn dies für Unternehmen unbequem in der Umsetzung sei.

Gesamteuropäische „Cloud“-Problematik

Die jüngsten Warnungen der beiden nordeuropäischen Länder begründeten sich auf einem zentralen und für gesamt Europa existenten Risiko: „Sollten sich europäische Unternehmen zu stark an US-,Cloud’-Dienste binden, stehen diese bei einem plötzlichen Wegfall der Rechtsgrundlage vor einer Herausforderung, die sowohl die Sicherheit der Unternehmen, aber auch deren Handlungsfähigkeit elementar stören kann!“

Das Problem liege darin, dass für viele US-„Cloud“-Dienste keine europäischen Alternativen existierten. Beschlüsse oder regulatorische Entscheidungen, welche den Transfer sensibler Daten in die USA untersagten, würden die Nutzung vieler „Cloud“-Dienste, auf die Unternehmen im Tagesgeschäft angewiesen seien, abrupt unterbrechen. Mit einem Verbot der Datenflüsse würden Kritische Arbeitsprozesse unterbrochen, was in den meisten Fällen zu Betriebsunterbrechungen und in Folge zu Reputationsschäden führen könne.

Kurzfristige Konsequenzen von „Cloud“-Neuregulierungen wären gravierend

„Sollten offizielle Regelungen und Handlungsanweisungen in den europäischen Staaten oder aus Brüssel heraus konkretisiert und in einem neuen Regelwerk manifestiert werden, müssen viele Unternehmen sehr kurzfristig handeln – insbesondere dann, wenn geschäftskritische Prozesse ausschließlich mit ,Cloud’-Diensten von US-Unternehmen durchgeführt werden.“ Die kurzfristigen Konsequenzen derartiger Neuregulierungen seien gravierend. Dazu gehörten

• die sofortige Neubewertung bestehender Verträge mit US-„Cloud“-Anbietern
• die Risikobewertungen für alle Datenflüsse in die USA
• das Erstellen und Umsetzen von Plänen für die Gewährleistung der Datensicherheit
• ein enorm hoher Zeitdruck, da Datenschutzbehörden in solchen Fällen kurze Fristen setzten
• und die wesentlich strengere Prüfung bei künftigen „Cloud“-Projekten, ob diese den Datenschutzanforderungen entsprechen.

Vertrauen in „Cloud“- und IT-Partner in den USA steht auf der Kippe

Warten sei in der aktuellen Abhängigkeitssituation keine gute Option. Das weitreichende und zu einem Teil berechtigte Vertrauen in die „Cloud“- und IT-Partner in den USA stehe im Moment jedoch zunehmend auf der Kippe und die Wahrscheinlichkeit, dass sich die europäischen Datenschutzorgane zugunsten der Sicherheit der europäischen Wirtschaft aussprechen, sei groß.

Noch hätten die Unternehmen gute Chancen, die Weichen zu ihren Gunsten zu stellen. „In einem ersten Schritt sorgt eine Dateninventur für das valide Wissen darüber, welche Daten mit welchen Grad an Sensibilität wo verarbeitet und gespeichert werden.“ Darüber hinaus gelte es zu prüfen, welche Prozesse unausweichlich mit Anbietern aus den USA durchgeführt werden müssten und welche vielleicht anders organisiert oder mit europäischen Anbietern umgesetzt werden könnten.

Danach folgten möglichst rasch die Strategie und konkrete Pläne, wie sich Kritische Daten kurzfristig schützen ließen. Dabei stehe immer die maximale Datensouveränität im Vordergrund, bei der mit geeigneten Technologien und Diensten sichergestellt sei, dass der Schutz und der Zugriff auf Unternehmensdaten stets unter eigener Kontrolle blieben.

Verschlüsselung bei „Cloud“-Nutzung erfüllt Regulatorik und Compliance auch unter besonderen Umständen

„Da es in einigen Fällen an Alternativen und Optionen zu den US-basierten ,Cloud’-Anwendungen und -Diensten mangelt und keine kurzfristigen Ausweichmöglichkeiten bestehen, ist die gezielte Verschlüsselung ein probates und vor allem sicheres Mittel, um die Regulatorik und Compliance einzuhalten.“ Bei einer geeigneten Datenverschlüsselung werde sichergestellt, dass der Klartext ausschließlich im Unternehmen verbleibe – auch wenn die Speicherung und Datenverarbeitung weiterhin bei nicht europäischen Anbietern liege. „Wichtig dabei ist, dass die Unternehmensdaten bereits vor dem Upload in die ,Cloud’ verschlüsselt werden. Erst damit ist der Zugriff auf die Daten durch Dritte ausgeschlossen.“

Eine die Kriterien einer Regulatorik und der Compliance erfüllende Datenverschlüsselung sei allerdings nur dann hilfreich, wenn mit den Daten in der „Cloud“ und in den Applikationen trotz Verschlüsselung uneingeschränkt gearbeitet werden kann. Daher sorge ausschließlich eine funktionserhaltende Verschlüsselung für Abhilfe und Sicherheit zugleich.

Unternehmen sollten bei Auswahl einer „Cloud“-Verschlüsselungslösung auf besondere Merkmale achten

Verschlüsselung vor der „Cloud“
Daten verlassen das Unternehmen nur in verschlüsselter Form!

Schlüsselkontrolle
Nur das Unternehmen besitzt die Schlüssel – kein „Cloud“-Anbieter, keine Behörde, kein Partner!

Volle Funktionalität
Trotz Verschlüsselung bleiben Funktionen wie Suche, Sortierung und Kollaboration erhalten!

Flexible Anwendbarkeit
Kompatibel mit „Microsoft 365“, „Salesforce“ und fast jeder weiteren (auch hybriden) „Cloud“-Umgebung!

Die erfolgten Warnungen aus Norwegen und Dänemark seien ein deutliches Signal: „Es ist davon auszugehen, dass weitere europäische Länder dem Beispiel folgen oder auch konkrete Verbote und Regeln für das ungeschützte Übertragen sensibler Daten in die USA oder andere Regionen der Welt in Kraft treten werden.“ Die abschließenden Empfehlung: „Unternehmen, die sich jetzt unabhängig machen und eine echte Datensouveränität etablieren, brauchen keine Unterbrechung der Betriebsabläufe und Prozesse aufgrund strengeren Regeln zu fürchten.“

Weitere Informationen zum Thema:

EPERI, 12.03.2025
Norwegen und Dänemark warnen vor US-Clouds: Wann folgt Deutschland? / Europäische Datenschutzbehörden schlagen Alarm: Erfahren Sie, warum US-Clouds ein Risiko sind und wie Unternehmen ihre Daten schützen können

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

datensicherheit.de, 10.06.2024
Cloud-Sicherheit unter sich verändernden Rahmenbedingungen / Wie man einen „Vergnügungspark“ sichert

datensicherheit.de, 13.09.2023
Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu / Massives Datenwachstum, steigende Kosten für Cloud-Dienste und der Wunsch nach mehr Flexibilität geben dem Hosting von Daten und Workloads vor Ort neuen Auftrieb

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

Ein Beitrag von unserem Gastautor Mohamed Ibbich, Director Solutions Engineering, BeyondTrust

[datensicherheit.de, 13.02.2025] Mit Cloud-First-Initiativen beschleunigen Organisationen aktuell die Bereitstellung neuer Anwendungen. Für die Administration und Automatisierung von IT-Systemen werden dafür immer mehr menschliche und maschinelle Konten bereitgestellt. Das hat zu einem sprunghaften Anstieg digitaler Identitäten im gesamten Unternehmen geführt. In hybriden Unternehmensumgebungen gibt es deshalb Nachholbedarf bei deren Identifizierung, Integration, Absicherung und IT-Verwaltung.

Klassische Perimeter lösen sich auf

Der rasante Anstieg an Identitäten (Konten), die ein einzelner Benutzer in einem Unternehmen hat, steht in einem direkten Zusammenhang zur Anzahl der Technologien, die für den Betrieb von Organisationen erforderlich sind. Mitarbeiter benötigen Zugriff auf mehrere Konten, Geräte oder digitale Dienste — und mit jedem neuen Zugriffspunkt entsteht auch ein neuer Angriffsvektor. Der klassische Perimeter mit eng abgesteckten Netzwerkgrenzen löst sich dadurch auf und resultiert in mangelnder Transparenz über Umfang und Zugehörigkeit einmal zugewiesener Berechtigungen.

Mohamed Ibbich, Director Solutions Engineering, BeyondTrust, Bild: BeyondTrust

Es liegt auf der Hand, dass die Nachverfolgung von Cloud-Zugriffsberechtigungen schwierig ist. Viele Tools der Cloud-Anbieter sind undurchsichtig und bieten keine plattformübergreifende Transparenz, was die tatsächlichen Auswirkungen durch Kombination verschiedener Berechtigungen verschleiert. Angesichts dieser Komplexität hoffen viele Unternehmen auf korrekt konfigurierte Abläufe, viele Vorgänge lassen sich einfach nicht einsehen oder werden übersehen.

Unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen

Diese weitgehend unerkannte, aber wirkungsmächtige Bedrohungslage haben Sicherheitsanalysten mittlerweile deutlich erkannt. Gartner zufolge sind drei Viertel der Cloud-Sicherheitsausfälle auf eine unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen zurückzuführen. Maßnahmen zur Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogenen Bedrohungen fasst das Analystenhaus unter dem Begriff „Identity Threat Detection and Response (ITDR)“ zusammen.

Fünf Best-Practice-Empfehlungen für eine sicherheitskonforme Verwaltung digitaler Identitäten:

1. Transparente Sicht identitätsbezogener Daten
   Es ist wichtig, einen umfassenden Überblick über alle identitätsbasierten Informationen der IT-Umgebung zu haben, um Risiken im Rahmen einer Least-Privilege-Strategie proaktiv reduzieren zu können. So lassen sich benutzerspezifische Rollen, Richtlinien und Berechtigungen konfigurieren, um Risiken bewerten und minimieren zu können. Höhere Berechtigungen sollten sich auf diejenigen Anwender und Kontenbeschränken, die sie zur Erledigung ihrer Aufgaben und Funktionen auch tatsächlich benötigen.
2. Absicherung von privilegierten Anmeldedaten
   Nicht verwaltete Konten verursachen potenzielle Sicherheitslücken und fehlerhafte Konfigurationen in geschäftlichen IT-Umgebungen. Die Erkennung von Anomalien beim Einsatz von Benutzer- und Adminkonten zählt dabei zu den zentralen Abwehrmaßnahmen. Sicherheitsverantwortliche müssen privilegierte Konten überwachen und unbefugte Zugriffe durch Bedrohungsakteure rechtzeitig erkennen können, um Seitwärtsbewegungen im Netzwerk zu unterbinden.
3. IAM- und PAM-Analyse
   Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. ITDR-Lösungen konzentrieren sich also auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogener Bedrohungen. Allein die hohe Anzahl an Nutzerkonten stellt im stressigen Arbeitsalltag eine hohe Bedrohung dar. Wird der Lebenszyklusprozess von Service-Konten, lokalen Admin-Accounts oder privilegierte Konten zu wenig beachtet, fehlen fest definierte und praxiserprobte Abläufe, die eine kontinuierliche Sicherheit gewährleisten.
   Eine besonders große Gefahr geht von verwaisten Konten aus. Verlassen Mitarbeiter ein Unternehmen, bleiben ihre Konten trotzdem häufig weiter aktiv. Bei maschinellen Konten mangelt es oft an klaren Zuordnungen oder entsprechenden Passwortrichtlinien. Verwaiste Maschinenkonten, die für bestimmte Funktionen, Prozesse und Abläufe erstellt wurden, bleiben mit missbrauchsanfälligen Zugriffsberechtigungen auf IT-Ressourcen aktiv, obwohl sie nicht mehr benötigt werden.
   Hinzu kommt, dass digitale Identitäten ohnehin häufig mit übermäßigen Berechtigungen ausgestattet werden. Falsche Konfigurationen und mangelnde Transparenz bei Schatten-Benutzerkonten resultieren in weitreichenden Sicherheitsproblemen, wenn Bedrohungsakteure sich Zugang auf unbeaufsichtigte Accounts verschaffen können. Dieser Gefahrenlage lässt sich mit Least-Privilege-Strategien begegnen, die Anwendern ausschließlich Nutzerrechte zur Erledigung arbeitsrelevanter Aufgaben zuordnen.
4. Schwachstellenerkennung bei der Nutzerauthentifizierung
   Eine der wirksamsten Sicherheitsmaßnahmen zum Schutz von digitalen Identitäten ist Multi-Faktor-Authentifikation (MFA) — wenn Mitarbeiter die Vorgaben einhalten und schwache MFA-Verfahren gar nicht erst eingesetzt werden. Für IT-Sicherheitsabteilungen ist dabei wichtig, dass sie schnell über gescheiterte Anmeldeversuche informiert werden und darauf reagieren können. Automatische Warnhinweise, die auf Fehlkonfigurationen oder deaktivierte Multi-Faktor-Authentifizierung aufmerksam machen, leisten hier wertvolle Dienste.
5. Identifizierung von identitätsbezogenen Diskrepanzen
   Schatten-IT stellt eine weitere Herausforderung dar. Darunter fallen IT-Systeme, auf die Benutzer zugreifen und nicht unter der Kontrolle der Unternehmens-IT stehen. So erstellen manche Benutzer beispielsweise eigene SaaS-Konten und umgehen den Genehmigungsprozess der IT-Abteilung. Solche Benutzerkonten verfügen häufig über zu hohe Berechtigungen, die versehentlich oder gezielt zugewiesen wurden.
   Unerkannte Systeme, Prozesse und Organisationseinheiten,  nicht in das IT-Service-Management einer Organisation eingebunden sind, stellen eine permanente Gefahr für eine IT-Umgebung dar. Solche Diskrepanzen müssen identifiziert und untersucht werden, damit Sicherheitsteams schnell erkennen können, wenn ein Angreifer sich unbefugten Zugang zu einem Netzwerk verschaffen will.

Kombination von IAM, PAM und ITDR

Organisationen sind auf eine hohe „Cyber-Resilienz“ angewiesen. Bei der Abwehr von Risiken und Angriffen kommt es auf die richtlinienkonforme Zuweisung und Konfiguration von digitalen Identitäten an. Dafür ist ein zentraler Überblick über alle Konten, Berechtigungen und privilegierten Zugriffe einer IT-Umgebung erforderlich. Proaktive Risikominderung und frühzeitige Erkennung von Bedrohungen verhindern kompromittierte Identitäten und die Fehlnutzung von Zugangsprivilegien.

Die kontinuierlich wachsenden Herausforderungen für die Identitätssicherheit lassen sich nur mit Tools entschärfen, die für eine höhere Transparenz und Kontrolle von Identitäten und Berechtigungen sorgen, Risiken reduzieren und Bedrohungen frühzeitig erkennen. Neben der Überwachung spezifischer Identitätsangriffsvektoren generiert die BeyondTrust-Lösung Identity Security Insights beispielsweise Empfehlungen und gibt Einblick in die Techniken und Verfahren aktueller Hackerangriffe. ITDR-Systeme ermöglichen einen organisatorischen Wandel, der veränderte Sicherheitsanforderungen für digitale Identitäten und Zugriffe in den Blick nimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 20.06.2024
CyberArk-Studie dokumentiert hohe Zahl identitätsbezogener Angriffe

[datensicherheit.de, 24.01.2025] Sysdig, Anbieter von Echtzeit-Sicherheitslösungen für die Cloud, gab kürzlich die Veröffentlichung von Stratoshark bekannt, einem Open-Source-Tool, das die granulare Netzwerktransparenz von Wireshark auf die Cloud ausweitet und Anwendern einen standardisierten Ansatz für die Analyse von Cloud-Systemen bietet. Seit 27 Jahren hilft Wireshark Anwendern bei der Analyse des Netzwerkverkehrs und der Fehlerbehebung – mit mehr als 5 Millionen täglichen Nutzern und über 160 Millionen Downloads allein in den letzten zehn Jahren. Mit der Umstellung der Unternehmen auf die Cloud fehlte Ingenieuren und Analysten jedoch ein vergleichbares Open-Source-Tool. Stratoshark biete tiefe Einblicke in die Cloud und helfe bei der Analyse und Fehlerbehebung von Cloud-Systemaufrufen und -Protokollen mit einer Granularität und einem Workflow, der langjährigen Wireshark-Anwendern vertraut ist, so Sysdig.

Qualifizierte Cybersicherheitsexperten gesucht

Mit der zunehmenden Umstellung ist die Cloud-Sicherheit mit einer großen Qualifikationslücke konfrontiert. Als einer der am schnellsten wachsenden Bereiche der digitalen Transformation fehlen fast 5 Millionen qualifizierte Cybersicherheitsexperten [1], und fast 40 Prozent der Befragten des O’Reilly-Berichts „State of Security“ 2024 stellten fest, dass Cloud Computing ein Bereich ist, in dem mehr Fähigkeiten benötigt werden, die aber immer schwerer zu finden sind [2]. Durch die Kombination der Funktionalität von Wireshark mit dem tiefen Einblick in den Betrieb von Open Source Falco – dem Standard für Cloud-native Bedrohungserkennung mit über 130 Millionen Downloads – erschließt Stratoshark einen umfassenden Cloud-Kontext und hilft Netzwerkanalysten und -administratoren, ihre Erfahrungen direkt in die Cloud zu übertragen.

„Wireshark hat die Netzwerkanalyse revolutioniert, indem es die Paketerfassung demokratisiert hat. Dieses Konzept wurde von Sysdig auf Cloud-native Workloads übertragen und von Falco auf Cloud Runtime Security ausgeweitet“, erklärt Gerald Combs, Miterfinder von Stratoshark und Wireshark und Leiter der Open-Source-Projekte von Sysdig. „Wireshark-Benutzer leben nach dem Motto ‚pcap oder nichts passiert‘, aber bis jetzt war es nicht einfach oder sogar unmöglich, Cloud-Pakete zu erfassen. Stratoshark hilft dabei, dieses Niveau an Transparenz zu erreichen, indem es Netzwerkexperten ein vertrautes Tool an die Hand gibt, das Systemaufrufe und Log-Analysen für die Cloud so zugänglich und transformativ macht, wie es Wireshark für die Analyse von Netzwerkpaketen war.“

Das Erbe der Innovation weiterführen

Mit der Verlagerung von Unternehmen in die Cloud, wo Arbeitslasten verteilter, dynamischer und kurzlebiger sind als in traditionellen Umgebungen, ist die Sichtbarkeit von Aktivitäten auf Systemebene zunehmend fragmentiert. Stratoshark überbrückt nahtlos die Lücke zwischen der Analyse von Netzwerkpaketen und moderner Cloud-nativer Sicherheit und bietet eine Open-Source-Lösung mit umfassenden Beobachtungsmöglichkeiten, verbesserter Erweiterbarkeit und erhöhter Zugänglichkeit für Entwickler.

Wireshark wurde im Wesentlichen entwickelt, um die Überwachung und Sicherheit traditioneller lokaler Netzwerke zu unterstützen, und viele erfahrene Netzwerkexperten haben lange nach einer modernen Anwendung für ihr Fachwissen gesucht. Stratoshark nutzt die Falco-Bibliotheken, -Repositories und -Plugins und kombiniert tiefe Cloud-Transparenz mit der vertrauten Wireshark-Funktionalität. Stratoshark ist die nächste Generation in einer Reihe von Open-Source-Tools, die den Sicherheitsstandard gesetzt haben, indem sie komplexe Untersuchungen vereinfachen, die Reaktion auf Vorfälle beschleunigen und Netzwerkexperten in die Lage versetzen, ihre Fähigkeiten in die Cloud zu verlagern.

„Mit Stratoshark bringen wir die bewährten Prinzipien von Wireshark in die Komplexität moderner Umgebungen“, so Loris Degioanni, Gründer von Sysdig, CTO, Mitentwickler von Stratoshark und Wireshark sowie Entwickler von Falco. „Durch die Kombination der umfassenden Netzwerktransparenz von Wireshark mit der Cloud-nativen Echtzeitsicherheit von Falco können Stratoshark-Teams Cloud-Ereignisse, Protokolle und Systemaufrufe mit Open-Source-Zugriff besser verstehen“.

Weitere Informationen zum Thema:

[1] ISC2, „2024 ISC2 Cybersecurity Workforce Study„, September 2024.

[2] O’Reilly, „The State of Security in 2024”, Oktober 2024.

[datensicherheit.de, 07.01.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness-Webinar“ mit dem thematischen Schwerpunkt „IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“ ein:

Abbildung: it’s.BB e.V.

Einladung des it’s.BB e.V. zum 15. Januar 2025

Wichtigste Aspekte der IT-Sicherheit bei Implementierung „cloud“-basierter und hybrider Geschäftsprozesse

In diesem Web-Seminar sollen die wichtigsten Aspekte der IT-Sicherheit bei der Implementierung von „cloud“-basierten und hybriden Geschäftsprozessen beleuchtet werden.

Erörtert werden demnach bewährte Methoden zur Risikominderung, Datenschutzmaßnahmen und Strategien zur Gewährleistung der „Compliance“ unter Berücksichtigung von Regularien wie ISO 27001 und BSI C5.

Zudem sollen praktische Tipps zur erfolgreichen Integration und Verwaltung von „Cloud“- und Hybridlösungen vorgestellt werden.

„IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“

Web-Seminar am Mittwoch, dem 15. Januar 2025 von 16.00 bis 17.00 Uhr
in Kooperation mit der IHK Berlin
Teilnahme kostenlos – Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

• Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG
• Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Einführung
• „Grundlagen der IT-Sicherheit in Cloud- und hybriden Umgebungen“
• „Risikobewertung und Bedrohungsanalyse“
• „IT-Sicherheitskonzept: Verantwortlichkeiten, Sicherheitsstrategien und Maßnahmen“
• „Compliance und Regularien“
• „Datenschutz und Datensicherheit“
• „Praktische Tipps zur Integration und Verwaltung“
  Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen

[datensicherheit.de, 20.12.2024] Das „Unit 42“-Team von Palo Alto Networks hat nach eigenen Angaben eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt: „Die Kampagne zielte darauf ab, ,Microsoft Azure Cloud’-Zugangsdaten zu stehlen und die ,Cloud’-Infrastruktur der Opfer zu übernehmen.“ Sie habe der Untersuchung nach im Juni 2024 begonnen und betreffe mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.

Die wichtigsten Erkenntnisse der „UNIT 42“ zur HubPhish-Kampagne:

• Diese Phishing-Kampagne habe im Juni 2024 begonnen und sei im September 2024 noch aktiv gewesen.
• Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung stehen demnach im Fokus der Angriffe.
• „Die Phishing E-Mails enthielten entweder eine angehängte ,Docusign’-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten ,HubSpot Free Form Builder’-Links führte.“
• Die Angreifer hätten Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur eingesetzt, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden.
• „HubSpot“ sei bei dieser Phishing-Kampagne nicht angegriffen worden und die „Free Form Builder“-Links seien nicht über die „HubSpot“-Infrastruktur an die Betroffenen übermittelt worden.

Weitere Informationen zum Thema:

UNIT 42
Business Email Compromise / Effective Phishing Campaign Targeting European Companies and Institutions