[datensicherheit.de, 14.11.2025] Künstliche Intelligenz (KI) führt offensichtlich auch zu einer Veränderung der Spielregeln in der Softwarewirtschaft. Hersteller reagierten darauf mit neuen Monetarisierungsstrategien, um den steigenden Kosten und dem wachsenden Wettbewerbsdruck zu begegnen. Revenera führt in einer aktuellen Stellungnahme aus, dass beim Bemühen der Branche zur Realisierung stabiler Umsätze durch ein altbekanntes Problem der Erfolg geradezu ausbremst wird – die illegale bzw. unlizenzierte Software-Nutzung.

Abbildung: Revenera

Revenera-Untersuchung zur unlizenzierten Softwarenutzung: Ursachen für Umsatzverluste

Für fast ein Drittel der Softwareanbieter ist -piraterie ein massives Problem

Laut dem aktuellen Revenera-Report „Monetization Monitor: Software Piracy and License Compliance 2026 Outlook“ bleiben „Compliance“-Verstöße ein „Umsatzkiller für die Branche“.

• Für rund ein Drittel (31%) sei Softwarepiraterie – also das illegale Vervielfältigen, Verbreiten und Nutzen von Software – ein massives Problem. 25 Prozent kämpften darüber hinaus mit bewussten Lizenzverstößen, „etwa wenn Anwender gezielt Schutzmechanismen umgehen oder Lizenzen manipulieren“ (z.B. Klonen von virtuellen Maschinen).

Selbst legitim erworbene Software sorge für Umsatzeinbußen, „nämlich dann, wenn Kunden die Anwendung weit über die vertraglich vereinbarten Richtlinien hinaus nutzen (23%)“.

Verstöße bei Engineering-Simulationen und CAD-Software in Deutschland

Auf Basis von „Compliance Intelligence“-Daten seiner Kunden habe Revenera zudem die zwanzig Länder mit der höchsten Zahl an Lizenzverstößen und Softwarepiraterie ermittelt. Für eine Überraschung auf der Länderliste sorgt demnach in diesem Jahr Deutschland: „Hier ist die Zahl der Fälle von Missbrauch und Piraterie deutlich gestiegen.“

• Im aktuellen weltweiten Ranking belege Deutschland nun Platz 6, nachdem es im vergangenen Jahr, 2024, noch auf Rang 11 gelegen habe. Dieser Anstieg lasse sich insbesondere auf Verstöße bei Lösungen im Bereich Engineering-Simulationen und CAD-Software zurückführen, welche offenbar nicht oder nicht vollständig lizenziert in deutschen Unternehmen zum Einsatz kämen.

Auch im internationalen Vergleich zeigten sich deutliche Verschiebungen: China und Russland führten das Ranking zwar weiterhin an, doch Indien habe die USA in Sachen Softwarepiraterie inzwischen überholt und belege nun Platz 3.

Mehr als ein Viertel der Softwareanbieter plant Automatisierung der Kontroll- und Durchsetzungsmechanismen

Unabhängig von der Art des Verstoßes – ob Piraterie, Missbrauch oder Übernutzung – seien die Folgen für Softwarehersteller erheblich: „Nach Angaben der Studie sehen 21 Prozent der befragten Unternehmen unlizenzierte Nutzung als eines der größten Hindernisse für ein wachsendes, wiederkehrendes Umsatzvolumen (ARR).“

• Insgesamt beziffert Revenera das entgangene Umsatzpotenzial in Ländern mit starken IP-Gesetzen und funktionierenden „Compliance“-Programmen auf 17,1 Milliarden US-Dollar.

Mehr als ein Viertel der Softwareanbieter (27%) plane daher, seine Kontroll- und Durchsetzungsmechanismen zu automatisieren oder zu verbessern, um diesen Umsatzverlust einzudämmen.

Nur 31% der Softwareanbieter nutzen bisher Telemetriedaten

„Parallel gewinnen Initiativen zur Lizenz-,Compliance’ an Bedeutung, mit denen sich entgangene Erlöse teilweise zurückholen lassen.“ Eine Schlüsselrolle spielten dabei Nutzungsdaten.

• Diese zeigten nicht nur, wo Übernutzung bereits stattfindet, sondern auch, wo sinkende Nutzung oder eine drohende Abwanderung zu erwarten sei.

Derzeit erfassten jedoch nur rund 31 Prozent der Anbieter entsprechende Telemetriedaten, und weniger als ein Drittel (30%) nutze diese gezielt für weiterführende Analysen.

Aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“

„Das mangelnde Bewusstsein bleibt ein Problem – selbst im Zeitalter von KI und Datenanalysen“, betont Nicole Segerer, „General Manager“ bei Revenera. Sie führt aus: „In Unternehmen, die keine Lösungen für ,Entitlement Management’ einsetzen, arbeitet rund die Hälfte im Blindflug: Sie wissen weder, wo noch in welchem Umfang sie Umsätze durch unlizenzierte Nutzung und Piraterie verlieren.“

• Hersteller müssten anfangen, das Problem nicht nur als „Compliance“-Thema zu sehen. Tatsächlich seien solche Verstöße ein Signal für Produktwert und ungenutzte Nachfrage. „Wer diese Nutzer strategisch anspricht, kann sie zumindest langfristig in loyale, zahlende Kunden verwandeln“, empfiehlt Segerer.

Der Vorliegende Report zum „Revenera Monetization Monitor: 2026 Outlook“ basiert laut Revenera auf einer von April bis Juni 2025 unter Softwareherstellern weltweit durchgeführten Umfrage. Ziel sei es gewesen, aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“ zu beleuchten. Insgesamt hätten 501 Fach- und Führungskräfte aus Unternehmen verschiedener Größen und Branchen teilgenommen.

Weitere Informationen zum Thema:

revenera
About Revenera: Become a Digital Leader / Software and technology companies want to make the most out of their products. Their goal is to accelerate time to market and innovate as quickly as possible, build products that customers like, understand how they are being used and monetize what matters. Revenera provides the enabling technology and the experts to do just that.

revenera
Leadership: Our Leadership Team / Want to know about the future of the software industry? Ask one of the members of our executive team. They’re not only leading our company, they’re leading the industry.

revenera
eBook: Revenera Monetization Monitor: Software Piracy and License Compliance 2026 Outlook / Tracking unlicensed use is essential for capturing revenue opportunities.

datensicherheit.de, 28.01.2021
Revenera Statusreport 2021 zu Open Source Lizenzierung und Compliance / Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht

[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands

[datensicherheit.de, 26.03.2025] Mit den neuen EU-Regularien NIS-2, DORA und dem Cyber Resilience Act (CRA) setzt Europa neue Maßstäbe für den Schutz digitaler Infrastrukturen. Unternehmen, die die Anforderungen an die Cybersecurity unterschätzen, riskieren nicht nur hohe Strafen, sondern auch ihre Wettbewerbsfähigkeit.

Strengere EU-Regularien für mehr Cybersicherheit

2025 markiert einen Wendepunkt für IT-Sicherheit in Europa. Die EU führt mit drei zentralen Regulierungen schärfere Sicherheitsanforderungen für Unternehmen ein:

• Mit NIS-2 (Network and Information Security Directive) werden die Regeln für IT-Sicherheit drastisch verschärft und auf eine breitere Unternehmenslandschaft ausgeweitet. Während sich die Vorgängerrichtlinie primär auf kritische Infrastrukturen konzentrierte, betrifft die neue Version nun auch zahlreiche mittelständische Unternehmen – darunter Hersteller, IT-Dienstleister, Pharmaunternehmen und Logistikbetriebe. Die betroffenen Organisationen müssen Angriffe innerhalb von 24 Stunden melden, geeignete Sicherheitsmaßnahmen etablieren und sich auf strengere Kontrollen einstellen. Verstöße können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach sich ziehen.
• Für den Finanzsektor bringt der Digital Operational Resilience Act (DORA) umfassende neue Pflichten mit sich. Banken, Versicherungen und Fintechs müssen ihre gesamte IT-Lieferkette absichern und sich regelmäßigen Cyber-Resilienz-Tests unterziehen. Besonders betroffen sind auch externe IT-Dienstleister, die mit Finanzunternehmen zusammenarbeiten – sie müssen nun strenge Sicherheitsstandards nachweisen, um weiterhin als Geschäftspartner zugelassen zu werden.
• Der Cyber Resilience Act (CRA) zielt auf die Hersteller von Hard- und Software ab. Digitale Produkte müssen künftig Sicherheitsstandards von Beginn an („Security-by-Design“) erfüllen und über ihren gesamten Lebenszyklus hinweg mit Sicherheitsupdates versorgt werden. Wer Cybersecurity-Lücken zu spät schließt oder nicht konsequent nachbessert, riskiert hohe Strafen und Marktbarrieren.

Was das für Unternehmen bedeutet

Mit den neuen Regularien geht Europa über reine Schutzmaßnahmen hinaus – sie sind Teil einer langfristigen Strategie zur Stärkung der digitalen Souveränität. Unternehmen stehen nicht nur vor höheren Sicherheitsanforderungen, sondern auch vor einem veränderten Marktumfeld. Kunden und Geschäftspartner müssen verstärkt auf nachweisbare Sicherheitsstandards achten, und gleichzeitig nimmt die regulatorische Kontrolle zu.

Ari Albertini, CEO von FTAPI, Bild: FTAPI

„Die Zeiten, in denen Cybersicherheit eine rein technische Entscheidung war, sind vorbei. Jetzt geht es um wirtschaftliche Resilienz, digitale Souveränität und letztlich auch um persönliche Haftung“, sagt Ari Albertini, CEO von FTAPI. „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken – wer nicht handelt, wird abgehängt.“

Besonders für Geschäftsführer und IT-Verantwortliche haben die neuen Regeln weitreichende Konsequenzen. Neben Bußgeldern droht in einigen Fällen eine persönliche Haftung. Cybersicherheit wird zur Management-Aufgabe: Wer IT-Risiken nicht strategisch bewertet und absichert, riskiert nicht nur finanzielle Folgen, sondern auch den Verlust von Vertrauen und Marktanteilen.

Fünf konkrete Maßnahmen, die Unternehmen jetzt ergreifen sollten

1. Security-Standards überprüfen: Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen mit den neuen gesetzlichen Anforderungen abgleichen und identifizieren, wo es Nachholbedarf gibt. Besonders wichtig sind Risikoanalysen, Audits und Notfallpläne.
2. Meldeprozesse und Compliance-Strukturen etablieren: Klare Abläufe für die Meldung von Sicherheitsvorfällen und die Erfüllung von Dokumentationspflichten sind essenziell, um regulatorische Anforderungen zu erfüllen.
3. Cybersecurity als Unternehmensstrategie verankern: IT-Sicherheit ist keine reine IT-Aufgabe mehr, sondern eine strategische Verantwortung, die aktiv von der Geschäftsführung gesteuert werden muss.
4. Auf europäische Anbieter setzen: Mit den neuen Regularien rückt digitale Souveränität stärker in den Fokus. Unternehmen, die frühzeitig auf europäische IT- und Security-Dienstleister setzen, profitieren von besserer Compliance und langfristiger Stabilität.
5. Frühzeitig investieren und Wettbewerbsvorteile nutzen: Unternehmen, die ihre Sicherheitsstandards bereits jetzt verbessern, sind nicht nur regulatorisch auf der sicheren Seite, sondern gewinnen auch Vertrauen bei Kunden und Geschäftspartnern.

Cybersecurity als Wettbewerbsvorteil

Mit den neuen EU-Regularien wird Cybersicherheit zur Chefsache. Unternehmen müssen sich jetzt intensiv mit ihren Sicherheitsstrategien auseinandersetzen, um gesetzeskonform zu bleiben und sich gegen zunehmende Cyberangriffe zu wappnen.

„Cybersicherheit ist kein notwendiges Übel, sondern ein Wettbewerbsvorteil. Wer frühzeitig in IT-Sicherheit investiert, gewinnt nicht nur regulatorische Sicherheit, sondern stärkt auch das Vertrauen von Kunden und Partnern“, so Ari Albertini.

[datensicherheit.de, 04.02.2024] „Um auf die stetige und schnelle Weiterentwicklung der Bedrohungslandschaft erfolgreich reagieren zu können, werden Unternehmen weitgehend autonome Funktionen in ihre IT-Sicherheitsstrategie implementieren müssen, die Cyber-Sicherheitssysteme in Echtzeit unterstützen können“, so Zac Warren, „Chief Security Advisor EMEA“ bei Tanium, in seiner aktuellen Stellungnahme. Angesichts der laufenden Entwicklungen im Bereich der Künstlichen Intelligenz (KI), welche Hackern schnelle und präzise Angriffe ermögliche, müssten Unternehmen ähnliche Technologien einsetzen – dann könnten sie Angreifern immer einen Schritt voraus sein.

Foto: Tanium

Zac Warren rät, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren

Komplizierte neue Cyber-Bedrohungen frühzeitig erkennen und entschärfen!

„Während sich die Compliance-Landschaft weiterentwickelt, müssen Unternehmen erkennen, dass ein Mangel an Bereitschaft eine ernsthafte Bedrohung für den eigenen Erfolg darstellen könnte“, unterstreicht Warren. Die Integration eines autonomen Systems werde Unternehmen dazu befähigen, komplizierte neue Cyber-Bedrohungen frühzeitig zu erkennen und zu entschärfen. Nur so werde es Unternehmen möglich sein, ihre Verteidigungsmechanismen an die aktuelle Bedrohungslage anzupassen.

Warren prognostiziert: „Angriffe werden auch zukünftig an Geschwindigkeit und Präzision gewinnen, wodurch sich Echtzeit-Sicherheitslösungen als unerlässlich erweisen werden.“ Unternehmen, denen es an Automatisierung und damit Reaktionsschnelligkeit fehlt, würden dadurch angreifbar sein. Die Verbesserung der grundlegenden „IT-Hygiene“ und der Automatisierung seien deshalb wichtige erste Schritte, um das eigene Unternehmen abzusichern. Dieser strategische Ansatz erleichtere nicht nur den Übergang zu Echtzeitdaten, sondern ebne auch den Weg für eine autonome Bedrohungsjagd.

Anpassungsunwilligen Unternehmen droht massive Beeinträchtigung ihres Cyber-Schutzes

Die sogenannte Blockchain-Technologie sei entscheidend, um die Einhaltung der bevorstehenden Netzwerk- und Informationssystem-Richtlinie (NIS2) und des „Digital Operational Resilience Act“ (DORA) sicherzustellen. Warren erläutert: „Durch die Nutzung der ,Blockchain’ können Unternehmen compliance-bezogene Aktivitäten sicher aufzeichnen und verifizieren, um Regulierungsbehörden transparente und fälschungssichere Informationen zu liefern.“ Beide Verordnungen verlangten einen hohen Standard an betrieblicher Widerstandsfähigkeit und Sicherheitsmaßnahmen. „Um diese zu erfüllen, ist die Aufrechterhaltung der ,IT-Hygiene’ von zentraler Bedeutung!“

Auf die ständige Anpassung ihrer Sicherheitssysteme an die technischen Standards zu verzichten, bedeute für Unternehmen eine massive Beeinträchtigung ihres Schutzes vor Cyber-Angriffen. Warrens Empfehlung zum Abschluss: „Es ist deshalb unerlässlich, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren!“

[datensicherheit.de, 27.03.2023] In den Unternehmen unserer Tage berührt das Thema Cyber-Sicherheit offensichtlich auf die eine oder andere Weise praktisch jeden Bereich – von den kundenorientierten Anwendungen bis zu den Datenbankservern. „Trotz aller Vorteile, die die Technologie mit sich bringt, stellt sie in den Augen von Cyber-Kriminellen auch eine Chance dar, und jeder Teil der digitalen Infrastruktur kann ein Ziel sein“, warnt daher Absolute Software in einer aktuellen Stellungnahme.

Angriffsfläche, mit der Unternehmen konfrontiert sind, immer komplexer

„Diese Tatsache macht Cyber-Sicherheit und Risikominderung zu einem wichtigen Schwerpunkt, da die Bedrohungslandschaft und die Angriffsfläche, mit der Unternehmen konfrontiert sind, immer komplexer werden.“

Selbst die größten Unternehmen seien nicht immun: Allein ein Ransomware-Angriff habe z.B. dem globalen Giganten FedEx bereits 2017 300 Millionen US-Dollar Schaden verursacht.

Um sich gegen Angriffe zu wappnen, orientierten sich viele Unternehmen an Industriestandards wie dem „Cybersecurity Framework“ (CSF) des National Institute of Standards and Technology (NIST) und der International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC) „27001:2022“, um ihren Sicherheitsansatz zu verbessern.

Wegleitung für Unternehmen, um Kontrollen der Cyber-Sicherheit zu systematisieren

„Das NIST CSF bietet freiwillige Leitlinien auf der Grundlage bestehender Standards und bewährter Verfahren mit dem Ziel, Unternehmen bei der Verwaltung von Cyber-Sicherheitsrisiken zu unterstützen.“ Ursprünglich sei es für Unternehmen mit Kritischen Infrastrukturen (Kritis) entwickelt worden, doch heute nutzten es verschiedene Arten von Unternehmen auf der ganzen Welt.

Für viele Unternehmen erfülle die „ISO/IEC 27001:2022“ eine ähnliche Funktion: „Die ,ISO/IEC 27001‘, die in Zusammenarbeit zwischen der ISO und der IEC entwickelt wurde, ist Teil einer speziellen Normenfamilie, die vielerorts Anwendung findet und eine Vielzahl von Kontrollen im Zusammenhang mit dem Sicherheitsrisikomanagement abdeckt.“

Diese beschreibe einen Weg für Unternehmen, um die Kontrollen der Cyber-Sicherheit zu systematisieren, und könne auf verschiedene Situationen oder ein viel umfassenderes Informationssicherheits-Managementsystem (ISMS) angewendet werden. Unternehmen könnten die „ISO/IEC 27001“-Zertifizierung nutzen, um ihr Engagement für die Sicherheit zu demonstrieren.

Aktueller Kurzbericht über Compliance in Unternehmen von Absolute Software

Im aktuellen Kurzbericht über Compliance in Unternehmen geht Absolute Software nach eigenen Angaben sowohl auf das „NIST CSF“ als auch auf „ISO/IEC 27001:2022“ ein und erläutert, „wie Software helfen kann, einige der beiden Anforderungen zu erfüllen“. Die Verringerung des Risikos von Cyber-Angriffen erfordere einen umfassenden Sicherheitsansatz. Beide Frameworks böten IT-Verantwortlichen die Möglichkeit, ihre Sicherheitslage und ihre Pläne für zukünftige Investitionen zu bewerten.

Cyber-Sicherheit könne nicht nur die Angelegenheit der Sicherheitsteams sein. Im Zeitalter der Digitalen Transformation sollte das Ziel von Sicherheitsinitiativen darin bestehen, den Geschäftsbetrieb so zu unterstützen, dass Mitarbeiter, Ressourcen und Kunden geschützt werden.

„Unabhängig davon, für welches Cyber-Sicherheits-Framework sich ein Unternehmen entscheidet, um seine Sicherheitsstrategie darauf auszurichten, ist es wichtig, über die nötigen Ressourcen zu verfügen, um die Compliance zu gewährleisten“, so Absolute Software abschließend.

Weitere Informationen zum Thema:

ABSOLUTE
Strengthening Security and Compliance Posture through Cyber Resilience in Enterprises

Von unserem Gastautor Andrew Silberman, Direktor Produktmarketing bei Omada

[datensicherheit.de, 10.03.2023] Für Arbeitnehmer ein schlechter Ersteindruck, für Arbeitgeber ein Horrorszenario: Der erste Tag im Büro, aber nichts funktioniert. Der Firmenlaptop fährt hoch, aber der Zugriff wird beim ersten Anmeldeversuch verweigert. Als das Problem behoben ist, kommt die nächste Fehlermeldung: kein Zugriff auf den Firmenserver. Dasselbe gilt für den E-Mail-Posteingang und die Zeiterfassung. Ein erfolgreiches Onboarding sieht anders aus.

Andrew Silberman, Direktor Produktmarketing bei Omada, Bild: Omada

Schwierige Beantragung von Zugriffrechten

Um Zugang zu erhalten, müsste diese Person den Zugriff auf jede einzelne Ressource, auf die sie stößt, manuell beantragen, aber es können Stunden, Tage und Wochen vergehen, bis diese Person vollen Zugriff auf alles erhält, was sie braucht, um ein produktives Mitglied der Belegschaft zu sein. Auch für den Vorgesetzten kann es mühsam sein, all diese Zugriffe zu genehmigen und sich zu vergewissern, dass das neue Teammitglied alles hat, was es braucht. Auf der anderen Seite können auch neue Risiken entstehen, wenn ein Vorgesetzter Genehmigungen absegnet, die zu übermäßig vielen Freigaben führen können. Dies ist weder effizient noch sicher. Aber es gibt einen besseren Weg. Denn solche Prozesse können vollständig automatisiert werden, während Unternehmen gegen Cyberangriffe gewappnet sind und die Lösung hierfür heißt Identity Lifecycle Management (ILM).

Automatisiertes Onboarding durch vordefinierte Rollensätze

Im Idealfall werden Zugriffsrechte zugewiesen und gewährt, bevor sich ein neuer Mitarbeiter, ein externer Auftragnehmer, eine ausgelagerte IT-Abteilung usw. an seinem ersten Tag überhaupt bei den Unternehmensressourcen anmeldet. Dies ist die Grundlage für die Arbeit von ILM. Das Grundprinzip besteht darin, alle Zugriffsrechte automatisch zuzuweisen, sobald die Arbeit beginnt, aber auch zu regeln und sicherzustellen, dass die Person nicht mehr Zugriffsrechte anhäuft, als sie für ihre Produktivität benötigt. Im IT-Kontext spricht man hier auch von „Geburtsrechten“, die bei der Erstellung der Identität vergeben werden. Dazu gehören der Zugang zum E-Mail-Posteingang oder zu den Leistungen des Unternehmens, die Zeiterfassung und Anwendungen (wie Microsoft 365) für die tägliche Arbeit.

Umgekehrt werden bei einem internen Stellenwechsel oder beim Ausscheiden aus dem Unternehmen alle nicht mehr benötigten Berechtigungen (im Falle des Ausscheidens eines Mitarbeiters wären das alle) ohne manuellen Aufwand für das IT- oder Sicherheitsteam entzogen. Der Zugriff kann auch an einen Manager oder Kollegen delegiert werden, wenn jemand aus einer Rolle ausscheidet, damit der Geschäftsbetrieb aufrechterhalten werden kann. Da ILM alle drei möglichen Szenarien eines Positionswechsels innerhalb eines Unternehmens – Eintritt, Wechsel, Austritt – berücksichtigt, wird es auch als Joiner-Mover-Leaver-System bezeichnet.

Um ILM zu verstehen, ist es wichtig, zwischen Identitäten und Rollen zu unterscheiden. Eine Rolle ist ein zuvor definierter Satz von Privilegien und Berechtigungen, die entlang der verschiedenen Stellen, Abteilungen, Teams usw. in einer Organisation festgelegt werden. Eine Identität ist die Summe der verschiedenen Rollen, die eine Person innerhalb einer Organisation einnimmt. Die Identität umfasst jedoch auch Standardinformationen wie Name, Geburtstag, Adresse, Steuernummer usw. Nehmen wir zur Veranschaulichung einen Vertriebsmitarbeiter: Wenn ein neuer Mitarbeiter diese Stelle besetzt, wird ein ILM-System diese Person automatisch mit Zugriffsrechten auf alle Ressourcen ausstatten, auf die ein Vertriebsmitarbeiter typischerweise zugreifen muss, wie z. B. das CRM, Mailinglisten, Interessenteninformationen und mehr. Oft ist eine Aufgabe jedoch komplexer, als sie in einer Rolle zusammengefasst werden kann. Aus diesem Grund können Rollen kombiniert werden: Wenn ein Vertriebsmitarbeiter beispielsweise auch mit dem Marketingteam zusammenarbeitet, um ein Video mit Kundenreferenzen zu erstellen, muss er sowohl mit dem Presseteam als auch mit dem Videoproduktionsteam zusammenarbeiten und benötigt möglicherweise Zugriff auf die Dateien und Projekte, an denen sie in ihren jeweiligen Rollen beteiligt sind.

Es wird deutlich, dass ILM Teil der wichtigsten Aspekte des Zugangsmanagements ist: Access Management (AM), das Multi-Faktor-Authentifizierung und Single Sign-On ermöglicht, und Identity Governance and Administration (IGA) – die Verwaltung und Konfiguration des Zugangs.

ILM hilft bei Audits und verhindert finanzielle Einbußen aufgrund von Zugangsproblemen

So schnell wie Zugriffsrechte vergeben werden, müssen sie aber auch wieder entzogen werden können, denn wie alle Lösungen aus dem Bereich des Access- und Identity-Managements dienen sie nicht nur der Rationalisierung der Arbeitsprozesse von IT- und Sicherheitsspezialisten, sondern auch der Einhaltung von Compliance-Anforderungen und Gesetzen. So ist das nachweisliche Entfernen von Zugängen, wenn sie nicht mehr benötigt werden, ein Schlüssel, um Audits unbeschadet zu überstehen. Die denkbaren Verstöße sind dabei vielfältig: Ein Mitarbeiter verlässt das Unternehmen, kann aber theoretisch noch auf seinen Firmenlaptop, sein E-Mail-Postfach oder seine Kundendaten zugreifen.

Jedes inaktive Konto, das noch über sensible Zugriffsrechte verfügt, wird als verwaistes Konto bezeichnet und ist aus Sicht der Compliance ein No-Go. Diese Konten können Hackern als Steigbügel in das Unternehmensnetzwerk dienen, da sie oft unter dem Radar der Sicherheitsteams fliegen, die den Zugang von Personen, die nicht mehr im Unternehmen arbeiten, nicht mehr überwachen. Einmal gekapert, haben die Täter die gleichen Zugriffsrechte wie der ehemalige Mitarbeiter und können sich seitlich im Netzwerk bewegen, bis sie ihr gewünschtes Ziel erreichen. Eine ILM-Lösung hebt die Inhaberschaft solcher Konten automatisch auf oder weist sie neu zu, dezimiert damit die Gefahrenquelle und erfüllt gleichzeitig die bestehende Nachweispflicht: Denn die Zuweisung und der Entzug von Rechten müssen dokumentiert und begründet werden und bei Audits auf Nachfrage von Prüfern nachgewiesen werden.

Eine ILM-Lösung verhindert auch Produktivitätseinbußen. Denken Sie beispielsweise an einen Leiharbeiter, der 1.000 Euro pro Woche verdient, aber eine Woche lang keinen Zugriff auf E-Mails, Software und Anwendungen hat. Auch die Kostenfaktoren von Legacy-Lösungen sollten nicht unterschätzt werden. Einige Unternehmen ohne automatisiertes ILM arbeiten immer noch mit Excel-Tabellen oder komplexen, selbst entwickelten Lösungen, in denen gewährte und entzogene Zugriffsrechte manuell eingegeben werden. Eine haarsträubende Lösung, die unübersichtlich ist und sich auf den (leider fehlerhaften) Faktor Mensch verlässt. Eine unregelmäßig gepflegte Tabelle kann für ein Unternehmen bereits schwerwiegende Sicherheitsmängel bedeuten, die dazu führen, dass Mitarbeiter entweder zu viele Berechtigungen erhalten, was zu Sicherheitsrisiken führt, oder zu wenige, was Produktivitätsverluste bedeutet. Eine ILM-Lösung hingegen entlastet nicht nur die Administratoren, sondern kann mithilfe von Analysen und KI auch anzeigen, wenn jemand eine Berechtigung über einen längeren Zeitraum nicht genutzt hat, und diesen Zugriff dann widerrufen. Darüber hinaus kann es den Zugang von Mitarbeitern, die in Elternzeit gehen oder vorübergehend ihren Arbeitsplatz verlassen, automatisch deaktivieren, während der Zugang einer anderen Person zugewiesen wird, und ihn bei deren Rückkehr wieder reaktivieren.

Die rechte Hand der Compliance

Identity Lifecycle Management schlägt somit mehrere Fliegen mit einer Klappe: Es macht die manuelle Pflege von Zugriffsrechten überflüssig, schließt den menschlichen Faktor in der Zugriffsverwaltung aus und verteilt die Rechte automatisch an zuvor definierte Rollen und Kontexte. Gleichzeitig ist diese Lösung die rechte Hand der Compliance und eine unverzichtbare Unterstützung bei Audits. Sie spart Transaktionskosten, schließt Einfallstore über verwaiste Benutzerkonten und verhindert Verluste durch zugangsbezogene Betriebsstörungen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen

[datensicherheit.de, 03.11.2021] Offensichtlich können es unzureichende Richtlinien zur Einhaltung von Datensicherheit Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen – einige Angreifer gehen inzwischen zu erpresserischen Taktiken über: Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. So bringen sie das geschädigte Unternehmen in eine Lage, in der Geldbußen sowie eine Rufschädigung seiner Marke drohen. Pure Storage betont in einer aktuellen Stellungnahme: „Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben.“ Die Einhaltung von Datenschutz-Bestimmungen werde damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie. Die nachfolgende kurze Liste von Pure Storage zeigt demnach „Best Practices“, also bewährte Maßnahmen auf, welche Unternehmen helfen sollen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.

1. Tipp: Erstellen eines Compliance-Frameworks

„Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt.“ In ähnlicher Weise biete ein Compliance-Framework eine Struktur für alle „Compliance“-Vorschriften, welche sich auf ein Unternehmen beziehen, „z.B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind“. Ein solches Rahmenwerk helfe auch bei der Identifizierung von Daten, z.B. von personenbezogenen oder sensiblen Daten, welche strengere Sicherheitsprotokolle erforderten.

2. Tipp: Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum

Dieser Schritt sei Teil der Erstellung eines Rahmenwerks. Es gebe viele Gründe, „das Was und das Warum der Datenerfassung zu dokumentieren“. Die Aufsichtsbehörden könnten verlangen, dass solche Richtlinien festgelegt werden – „wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4)“.

3. Tipp: Erstellen von Datenschutzrichtlinien

„Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwendet werden und wie und wie lange sie gespeichert werden.“ Kunden sollten auch drüber informiert werden, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, „d.h. wie ihre Daten aus den Systemen entfernt werden“.

4. Tipp: Verstärken des Engagements für die Offenlegung

„Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.“

5. Tipp: Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die „Compliance“ auswirken, bleiben

Ein „Privacy by Design“-Betriebsmodell könne helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. „Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.“

6. Tipp: Richtlinien zur Aufbewahrung und Löschung von Daten festlegen

Dieser Schritt sei von entscheidender Bedeutung. „Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren.“ Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichne sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickele, die ständig überprüft würden.

7. Tipp: Ein Datenverschlüsselungsprotokoll wählen

„Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der ,Cloud‘ etc.“ Je nachdem, wo die Daten gespeichert sind, könnten die Entscheidungen unterschiedlich ausfallen.

8. Tipp: Mit dem CISO über Netzwerkkontrollen sprechen

Da „Compliance“ eng mit Sicherheit zusammenhänge, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.

9. Tipp: Anonymisierung sensibler Daten

Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.

10. Tipp: Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden

Entsprechend der DSGVO seien solche Benachrichtigungen obligatorisch – „und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft“. Es gelte festzulegen, „wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern“.

Fazit zu den Tipps von Pure Storage

Die Nutzung von Daten sei mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung: „Unternehmen, die an die Weisheit ,Daten sind das neue Öl‘ glauben, müssen auch die ,Compliance‘ berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.“

[datensicherheit.de, 16.04.2021] Uniscon hat den dritten Jahrestag des sogenannten CLOUD Act der USA zum Anlass genommen, die rechtlichen Fallstricke für europäische Unternehmen genauer zu beleuchten. Am 23. März 2018 sei mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben worden. Dessen Ziel sei es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um Organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaube es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten, und solle es zudem erleichtern, diese Anfragen durchzusetzen.

Datenschützer äußern immer wieder Kritik am CLOUD Act

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalteten, äußerten Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlasse bis heute einen faden Beigeschmack an diesem Gesetzeswerk.
In Zeiten fortschreitender Digitalisierung könne sich kaum ein Unternehmen dem Gang in die Cloud erwehren. Da sich jedoch die meisten – und größten – Cloud-Provider in den USA befänden, sorgten sich viele in der EU ansässige Firmen um die Daten ihrer Kunden. Denn diese fielen auch dann in den Geltungsbereich des CLOUD Act, wenn sie in der EU lägen oder verarbeitet würden, solange der betreffende Server einem US-amerikanischen Anbieter oder einer Tochtergesellschaft gehöre.

Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?

Dieser Umstand sorge bei vielen Unternehmen für Fragen: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?“ Diese Sorgen kämen nicht von ungefähr – denn mit dem Ende des „EU-US Privacy Shield“ fehle nun jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach möglichen Compliance-Problemen sei somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes sei nicht ganz so einfach und bedürfe einer Betrachtung, wie die US-amerikanischen Provider mit dieser Problematik umgehen.
„Wer nun befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, liegt daneben.“ Die Tech-Giganten nämlich wehrten sich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe von Kundendaten an Strafverfolger zu verhindern. Eine Datenfreigabe erfolge nur, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolge und die Rechtmäßigkeit der Anfrage nachweisen könne. Erst dann könne der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Antwort auf CLOUD Act: Konkurrenzfähige und innovative IT-Industrie in Europa!

Erfreulicherweise sei die grundsätzliche Ablehnung von behördlichen Anfragen in jüngster Vergangenheit recht erfolgreich und lasse europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken: „So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.“
Doch wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernstnehmen, gelte es, die eigenen Strukturen und Märkte zu stärken. Dazu brauche es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese müsse sowohl innovative Start-Ups als auch etablierte Player umfassen, welche der US-Konkurrenz auf Augenhöhe begegnen könnten.

Confidential Computing – ein mächtiges Instrumente im Kampf gegen Industriespionage, Cyber-Kriminalität und Zugriff via CLOUD Act

Vielversprechende Projekte wie „GAIA-X“, welche als Gegengewicht zur US-Konkurrenz dienen solle, machten Hoffnung. Hinzu kämen Anbieter wie etwa die TÜV SÜD-Tochter Uniscon, die nach eigenen Angaben „effektiven Datenschutz in der Cloud mit Hilfe von ,Confidential Computing‘ bzw. ,Sealed Computing‘ umsetzt“. „Confidential Computing“ beschreibt demnach den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolge diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE).
Dies lasse sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. umsetzten – oder, wie im Falle des „Sealed Computing“, auf Server-Ebene. „Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern.“ Damit sei „Confidential Computing“ eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyber-Kriminalität – und schütze auch vor dem Zugriff durch ausländische Behörden.

Am Ende entscheidet der Nutzer: CLOUD Act oder lieber DSGVO?

An Ideen und Konzepten mangele es in Europa wahrlich nicht. „Am Ende jedoch entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen.“ Daher sei es von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.
Dafür gelte es noch viel Überzeugungsarbeit zu verrichten. „Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt; nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und kommunizieren.“

Weitere Informationen zum Thema:

IONOS
Digitale Souveränität für Unternehmen in Zeiten des US CLOUD Act

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Bundesministerioum für Wirtschaft und Energie
GAIA-X Eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem

privacyblog, Eine Initiative von UNiSCON – A member of TÜV SÜD, 21.02.2020
Confidential Computing: Was hat das mit der Sealed Cloud zu tun?

Microsoft, 11.02.2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

LHR RECHTSANWÄLTE, Kevin Heitmeier, 21.07.2020
Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

[datensicherheit.de, 28.01.2021] Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, hat den neuen „State of Open Source License Compliance“ Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits im Jahr 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen, potenzielle Compliance- und Sicherheits-Risiken zu identifizieren und in einem Statusreport zusammenzufassen.identifizieren.

Auswertung von mehr als 1,2 Milliarden Codezeilen

Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.

Kritische Compliance-Fälle, Bild: Revenera

Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:

• Mehr OSS, mehr Risiko
  Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196%). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58%.
• Fehleinschätzung bei der OSS-Nutzung
  Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4% bekannt waren, gehen tatsächlich 55% der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10% im Vergleich zum letzten Jahr.
• Doppelt so viele Sicherheitslücken
  Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46% ein „hohes“ CVSS-Risiko dar (Common Vulnerability Scoring System).
  Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
  Rund 5% der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.
• Deep Code Scanning vs. High-Level
  Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37% der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28%. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34% der kritischen Fälle ans Licht kamen.
• Vorsicht bei Copyleft
  Die Copyleft Lizenzierung wird oft mit „freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12% bzw. 20% der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.

Lizenztypen für Open Source, Bild: Revenera

„Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken“, erklärt Alex Rybak, Director Product Management bei Revenera. „Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.12.2020
Risiko durch Browser-Erweiterungen von Drittanbietern

revenera
2021 Open Source License Compliance Report