[datensicherheit.de, 25.05.2020] NTT Ltd. rät Unternehmen ihre DSGVO-Konformität angesichts anstehender Novellierungen und der veränderten Arbeitsbedingungen kritisch zu prüfen.

Ende Mai 2020 jährt sich das Inkrafttreten der DSGVO zum zweiten Mal. Das Thema ist jedoch weitgehend von der Agenda verdrängt worden und spielt in der öffentlichen Aufmerksamkeit eine geringere Rolle. Nach Auffassung von NTT Ltd. ist diese Situation gefährlich, denn die Aufsichtsbehörden haben angekündigt, weiterhin angemessen gegen DSGVO-Verstöße durchgreifen zu wollen. In der aktuellen Situation müssen sich Unternehmen deshalb drei Herausforderungen stellen.

1. Unzureichende Schutzmechanismen
   Nach wie vor erfüllen viele Unternehmen die DSGVO-Vorgaben nicht in vollem Umfang. Häufige Schwachstellen sind der Umgang mit zu löschenden Daten und die Realisierung in komplexen Anwendungs- und Systemlandschaften über die eigenen Unternehmens- und Ländergrenzen hinweg sowie die vielfältigen Anforderungen, die sich aus der Digitalisierung ergeben, wie etwa die immer umfassendere Datenanalyse durch KI und Big Data. Sie bieten deshalb potenzielle Ansatzpunkte für mögliche Prüfungen mit dem Ergebnis schwerwiegender Feststellungen und Unternehmen setzen sich so der Gefahr hoher Strafen aus.
2. DSGVO-Änderungen 2020
   Diese unbefriedigende und gefährliche Situation wird durch die Tatsache verschärft, dass noch in diesem Jahr neue oder veränderte Regularien ins Haus stehen. So ist 2020 die erste Evaluation des DSGVO-Gesetzeswerkes durch die EU-Kommission geplant. Zudem ist es angesichts der Diskussionen über mangelnde Zusammenarbeit zwischen den Datenschutzbehörden, nationale Ungleichheiten bei Auslegung und Durchsetzung der DSGVO-Regeln oder den strittigen Umgang mit Digitalkonzernen wie Facebook oder Twitter nicht auszuschließen, dass es zu Änderungen am Gesetzeswerk kommt, die anschließend von den Unternehmen zu realisieren sind.
3. Neue Sicherheitslücken durch Home-Office
   Erschwerend kommt aktuell der Umgang mit der Ausnahmesituation dazu. Die rasant wachsende Verbreitung von Home-Office stellt Unternehmen vor neue Herausforderungen, um die DSGVO-Regularien erfüllen zu können. Für den Einsatz der Mitarbeiter am heimischen Arbeitsplatz fehlen häufig DSGVO-konforme Einsatzkonzepte. Die Nutzung von privaten Endgeräten wie Smartphones stellt ebenso ein Sicherheitsrisiko dar wie nur unzureichend gesicherte Zugangsverbindungen. Dazu kommen zu großzügig ausgelegte Zugangs- und Zugriffsrechte, etwa wenn den Mitarbeitern standardmäßig lokale Administratorenrechte zugebilligt werden.

Top-Management gefragt

Bei der Lösung dieser Herausforderungen ist das Top-Management ebenso gefordert wie die Informationssicherheitsbeauftragten im Unternehmen und die IT-Spezialisten, die für die sichere technische Umsetzung der rechtlichen Vorgaben verantwortlich sind.

Eva-Maria Scheiter, NTT Ltd. Security Division, © NTT Ltd. Security Division

„Die aktuelle Krisensituation verschärft die Bedingungen für die Erfüllung der DSGVO-Normen. Damit besteht auch ein neues Risikopotenzial“, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division. „Unternehmen sollten trotz aller ebenfalls bestehenden Herausforderungen das sichere und rechtskonforme Arbeiten nicht aus den Augen verlieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2020
Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO

datensicherheit.de, 22.05.2020
Zwei Jahre EU-DSGVO

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Von Beitrag von unserem Gastautor Gary Marsden, Director Cloud Services bei Thales

[datensicherheit.de, 07.09.2019] Mit dem Einsatz von neuen Technologien geht man immer ein erhöhtes Risiko ein, schließlich fehlt es an Erfahrung. Der Einsatz von hybriden Cloud-Umgebungen ist aber unverzichtbar. Keine Organisation macht einen radikalen Wechsel und setzt auf nur einen Anbieter; laut Gartner werden bis 2020 rund 90 Prozent der Unternehmen hybride Infrastruktur-Management-Funktionen implementieren. Im vergangenen Jahr haben viele der führenden Cloud-Provider Schritte für den Ausbau ihrer Hybrid- und Multi-Cloud-Angebote eingeleitet.

Hybride Umgebungen entstehen durch parallel betriebene Cloud-Ansätze

Hybride Umgebungen entstehen, wenn Firmen von reinen On-Premises Lösungen auf mehrere Cloud-Ansätze wechseln. Das wird häufig durch die Notwendigkeit erschwert, einige On-Premise-Anwendungen oder -Funktionen beizubehalten. Die Infrastruktur auf dem eigenen Campus bleibt also ebenfalls weiter im Betrieb. Eine Multi-Cloud-Strategie ergibt sich letztlich aus der Idee, die besten Technologien zu kombinieren, um die bestmöglichen Geschäftsergebnisse zu erzielen.

Unternehmen sollten sich nicht gezwungen fühlen, die Cloud nur aus Trendgründen zu nutzen. Nicht alle Daten können oder werden in die Rechenwolke verschoben, gerade bei sensiblen Informationen sollte man die Souveränität nicht abtreten. Bei Anwendungen mit hohen Transaktionsraten kann es auch immer noch zu Leistungseinbußen kommen oder das Unternehmen bevorzugt den Besitz von Daten, weil er der Cloud nicht vertraut.

Bild: Thales

Gary Marsden, Director Cloud Services bei Thales

Cloud Computing als flexibles Modell ohne große Vorabinvestitionen

Cloud Computing bietet ein hochflexibles Modell für die Einführung von IT-Services oft ohne große Vorabinvestitionen. Trotz dieser enormen Vorteile, die durch die Migration in eine Cloud-Umgebung erzielt wurden, können viele Firmen die positiven Aspekte aufgrund der oben beschriebenen Legacy-Faktoren nur langsam umsetzen.

Diese wahrgenommenen Probleme – und die Sicherheitsherausforderungen, mit denen viele IT-Entscheider beim Wechsel in die Cloud konfrontiert sind, werden das Wachstum der Cloud- Adoption weiterhin behindern, bis sie vom gesamten Markt wirklich verstanden und angegangen werden. Die Idee kritische Geschäftsdaten an ein anderes Unternehmen zu übergeben, ist zweifellos entmutigend. Zudem müssen Cloud-User wachsam sein, um die Risiken von Datenschutzverletzungen in dieser neuen Cloud-Entwicklung zu verstehen.

Man darf nicht vergessen, dass die Cloud-Sicherheit auf einem gemeinsamen Verantwortungsmodell basiert – wobei der Provider für eine sichere und robuste Infrastruktur und der Nutzer für die Sicherheit seiner Assets innerhalb der Cloud verantwortlich ist. Obwohl die Sicherheit der meisten Plattformen von Cloud hoch ist, kann die Bereitstellung einheitlicher und effektiver Sicherheitskontrollen für den Datenfluss zwischen verschiedenen Cloud- und On-Premise-Systemen aufgrund proprietärer APIs und Tools eine große Herausforderung darstellen. Dies kann zu erheblichen Lücken in Bezug auf die Transparenz, Kontrolle und Auditierbarkeit führen.

Die Lage des Landes

Mit einigen Ausnahmen haben die Verbraucher von Cloud-Diensten dieses Modell der gemeinsamen Verantwortung akzeptiert und sich nicht mehr mit der grundlegenden Frage befasst, ob Cloud-Dienste sicher sind oder ob sie Compliance-Vorgaben und Regulierungskontrollen über Systeme implementieren können.

Angesichts des Umfangs und der Komplexität von Vorschriften in Unternehmen, der Vielzahl von Anwendungsdiensten, mit denen sie heute integriert werden müssen, und des Fehlens einheitlicher Tools für den sicheren Austausch oder die Migration von Daten in Hybridumgebungen, ist die Entwicklung einer Sicherheitsstrategie für Cloud-Dienste eine komplexe Aufgabe. Effektive Datensicherheit und Compliance in einer hybriden Welt erfordern einen systematischen und ganzheitlichen Sicherheitsansatz.

Neben dem Risikomanagement durch Data Governance sollten Organisationen letztendlich die Kontrolle über alle in Cloud-Ressourcen gespeicherten Daten anstreben. Sinnvoll ist daher der Einsatz von Bring Your Own Encryption (BYOE) und zentralisiertem Schlüsselmanagement zu verwenden, um Daten mit maximaler Kontrolle, Transparenz und Portabilität zu schützen. Damit bleiben Führungsetagen flexibel, die richtigen Lösungen zum Schutz von Daten dort einzusetzen, wo es am wichtigsten ist, ohne die Kontrolle über ihre Schlüssel Ihren Cloud-Providern aufzugeben.

Agilität und Portabilität müssen geplant werden

Um die Vorteile einer hybriden Cloud-Umgebung nutzen zu können, müssen Unternehmen auch sicherstellen, dass sie nicht nur die Daten sichern, sondern auch die Einhaltung einer Bandbreite von gesetzlichen Bestimmungen unabhängig zu prüfen und nachzuweisen. Daher ist es wichtig, für Agilität und Portabilität zu planen.

Und natürlich ist es wichtig sicherzustellen, dass die richtigen Personen Zugriff auf die richtigen Daten haben. Tools wie das Zugriffsmanagement und die Zwei-Faktor-Authentifizierung (2FA) sorgen für eine sichere Verwaltung. Wenn wir uns der Allgegenwart der Hybrid-Cloud nähern, können Unternehmen dank der richtigen Zugriffskontrolle – untermauert durch erstklassige Verschlüsselung und Schlüsselverwaltung – das Beste aus dieser neuen IT-Realität herausholen, ohne die Datensicherheit zu beeinträchtigen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.05.2019
Digitale Transformation: Zunehmende Sicherheitsdefizite

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

[datensicherheit.de, 23.08.2019] Die Umstellung auf IPv6 ist seit vielen Jahren bekannt, aber die IPv6-Bereitschaft bleibt für viele Unternehmen in Europa ein Thema, das von Land zu Land und von Unternehmen zu Unternehmen sehr unterschiedlich behandelt wird. Einige Unternehmen ignorieren das Problem, obwohl einige ihrer Technologien dieses Protokoll im Netzwerk bereits nutzen. Andere Teams machen Fortschritte, ohne ihre IT-Sicherheits-Teamkollegen einzubeziehen, was die Sicherheit von Unternehmen gefährden kann, wenn Firewall-Regeln nicht mehr funktionieren oder AV und andere Sicherheitsprodukte nicht für IPv6-Verkehr geeignet sind. In diesem Interview spricht James Lyne, CTO des SANS Institutes, mit Carsten J. Pinnow (ds), Herausgeber und Chefredakteur von datensicherheit.de, über den Status quo und welche Herausforderungen es noch gibt, um die Probleme moderner IT-Sicherheitsarchitekturen anzugehen.

Bild: SANS Institute

James Lyne, CTO beim SANS Institute

ds: Warum ist IPv6 nach all den Jahren immernoch ein Sicherheitsproblem?

Lyne: IPv6 gibt es schon seit geraumer Zeit und wurde 2012 am IPv6 Launch Day von vielen Webseiten- und Netzbetreibern freigeschaltet. Lange zuvor wurde anerkannt, dass die Anzahl der IPv4-Adressen endlich sind und IPv6 bis 2011 auf allen wichtigen Betriebssystemen implementiert wurde, die in kommerziellen, geschäftlichen und privaten IT-Umgebungen verwendet werden. Warum ist IPv6 also immer noch ein Problem? Die Antwort ist, dass in Europa niemand den Wechsel zu IPv6 gefördert hat. In den USA wurde eine gewisse Akzeptanz durch den Druck der Regierung erzielt, die den Übergang zum neuen Standard durchsetzte. In Asien wurde die Nutzung des Protokolls aufgrund des dortigen Wirtschaftswachstums und des Bedarfs an IP-Adressen und der begrenzten Verfügbarkeit im traditionellen IPv4-Adressraum beschleunigt. Natürlich ist es einfacher, etwas Neues wie eine IT-Architektur aufzubauen, die von Anfang an IPv6-fähig ist, als ältere Systeme zu verändern. Dennoch ist es wichtig, den Motor jetzt zu starten und vorwärts zu fahren. Es gibt jetzt ein überraschendes Wachstum an IPv6-Verkehr, der durch unsere Netzwerke und das Internet fließt. Nun besteht die Gefahr, dass, weil es nicht als aktueller Trend wahrgenommen wird, die Nutzung voranschreitet und ihr zu wenig Aufmerksamkeit geschenkt wird.

ds: Was ist die Herausforderung bei der Umstellung auf IPv6?

Lyne: Wir sehen viele Herausforderungen in den Unternehmen. Eine davon ist das Problem der Legacy-Systeme, die auf IPv6 umgestellt werden müssen. So gibt es beispielsweise in produzierenden Unternehmen in Deutschland Roboter und Maschinen, die das Betriebssystem Windows 95 verwenden und die schon lange nicht mehr gepatcht wurden. Die Folge wäre eine Einstellung der Produktion. Die größere Herausforderung ist, dass IPv6 mehr ist als nur eine „größere IP-Adresse“. Das Protokoll hat sich geändert und die korrekte Architektur für Leistung und Sicherheit erfordert einiges an Neugestaltung im Vergleich zu einem herkömmlichen Netzwerk. Das Risiko, Sicherheitsfehler zu machen, unbeabsichtigte Ressourcen freizulegen oder sich auf eine vorherige Sicherung zu verlassen (z.B. ein Gateway mit einer NAT-Grenze, die eine Insel bildet), ist hoch.

ds: Aber bedeutet es, dass Anbieter und Softwareunternehmen noch nicht alle bereit sind?

Lyne: Das ist richtig. Einige Technologie- und Sicherheitsprodukte sind darauf vorbereit, aber viele haben noch nicht in die Funktionsparität von IPv6 im Vergleich zu IPv4 investiert. Abgesehen von dem Risiko, dass die Technologie (z.B. ein Webfilter oder eine Firewall) nicht einsatzbereit ist, ist es auch wichtig, sicherzustellen, dass Cybersicherheits-Admins und andere entsprechend geschult werden. IPv6 hat neue Konzepte, die es zu verstehen gilt. Es ist meiner Erfahrung nach nicht ungewöhnlich, dass es beiläufig in einem Netzwerk verwendet wird, ohne dass die Kontrollen entsprechend aktualisiert werden. Ich habe viele Beispiele für die Selbstkonfiguration von IPv6 in einem Netzwerk gesehen, die in Verbindung mit Microsoft-Anwendungen oder Betriebssystemdiensten verwendet wird und bei denen das Sicherheits- und Vorfallsteam die Bereitstellung nicht kennt.

Die Telekommunikationsunternehmen arbeiten seit Jahren an dem Übergang und werden langsam aber stetig IPv6 auf Verbraucher und Unternehmen gleichermaßen ausrollen. Wenn der Prozess jetzt beschleunigt wird, muss sichergestellt wird, dass IT- und Sicherheitsteams darauf vorbereitet sind. Sonst könnten kritische Ereignisse unbemerkt bleiben, weil Incident Response- und Monitoring-Teams eben nicht vorbereitet sind.

ds: Ist dies nur ein Mangel an Herstellersupport?

Lyne: Nein, da steckt mehr dahinter. Ein Aspekt, der ebenfalls berücksichtigt werden muss, ist der Mangel an qualifizierten Fachkräften in der Branche und die vielen täglichen Aufgaben, die zu erledigen sind. Sicherheitsexperten fehlen in den meisten Ländern, erst recht in diesem speziellen Bereich. Große Unternehmen haben in der Regel mehr Mitarbeiter in ihrem Sicherheitsteam und können stärker investieren, aber mittelständische Unternehmen verfügen nicht über die gleichen Ressourcen. Da selbst große Unternehmen noch nicht bereit sind, wenn wir über die Sicherung des gesamten Supply-Chain-Prozesses nachdenken, an dem in der Regel viele mittelständische Unternehmen mit kritischen Komponenten für die Großindustrie beteiligt sind, lässt sich das Ausmaß des Problems erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2019
SANS Institute Pen Test Hackfest Summit: Hack Back und Nachverfolgung von Angreifern im Fokus

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 15.05.2014
Deutschland erreicht Spitzenposition beim Einsatz von IPv6

datensicherheit.de, 06.06.2012
Peter Schaar zum World IPv6 Launch Day: Datenschutz muss Wegweiser sein

[datensicherheit.de, 29.05.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dr. Dieter Kugelmann, lädt zum nächsten Termin der Veranstaltungsreihe „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ ein: Am 13. Juni 2019 hält demnach Dr. Peter Schantz (Bereichsleiter für Innen- und Rechtspolitik der FDP-Bundestagsfraktion) einen Vortrag zu „Herausforderungen des internationalen Datenverkehrs“, um anschließend darüber zu diskutieren.

Rechtsrahmen für Übermittlung personenbezogener Daten

Der Austausch von Informationen gehöre in einer globalisierten Welt zum Alltag. Der Vortrag soll den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten durch Private und Behörden sowie die zugrundeliegenden grundrechtlichen Wertungen darstellen und die aktuellen Herausforderungen diskutieren, die sich beispielsweise im transatlantischen Datenverkehr im Zusammenhang mit dem „Privacy Shield“ oder dem „CLOUD Act“ stellten.

Abbildung: JGU & LfDI RLP

Vortrag mit Diskussion: „Herausforderungen des internationalen Datenverkehrs“
Dr. Peter Schantz, Bereichsleiter für Innen- und Rechtspolitik der FDP-Bundestagsfraktion

Donnerstag, 13. Juni 2019 um 18.30 Uhr
Dekanatssaal Rechtswissenschaften der JGU, Raum 03-150
Jakob-Welder-Weg 9 in 55128 Mainz

Teilnahme kostenfrei, vorherige Anmeldung nicht erforderlich.

Grundsatzprobleme des Informationsrechts und des Rechts der öffentlichen Sicherheit

Die „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ sind laut LfDI RLP eine gemeinsame Veranstaltungsreihe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und der Stiftungsprofessur für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz. Sie soll aktuelle Fragen wie Grundsatzprobleme des Informationsrechts und des Rechts der öffentlichen Sicherheit beleuchten. Die Perspektiven von Praxis, Wissenschaft und Politik fänden dabei gleichermaßen Beachtung.

Weitere Informationen zum Thema:

JGU, Prof. Dr. Matthias Bäcker
Mainzer Vorträge zum Sicherheits- und Informationsrecht

datensicherheit.de, 12.06.2018
EU und USA im Vergleich: Vortrag zum Datenschutz im Sicherheitsrecht

Von unserem Gastautor Liviu Arsene, Leitender Bedrohungsanalyst, Bitdefender

[datensicherheit.de, 28.04.2019] Die heutige vernetzte Welt basiert auf der Datenzugänglichkeit von überall, zu jeder Zeit und auf jedem Gerät. Die Geschwindigkeit und Agilität, die mit Hosting-Diensten und -Anwendungen in der Cloud einhergeht, sind für den Erfolg zentral. Die damit verbundenen Vorteile haben Unternehmen in den letzten Jahren gezwungen, zumindest einige und in manchen Fälle sogar alle ihre Anwendungen oder ihre Infrastrukturen in die Cloud zu migrieren. Der Anteil in der Cloud gehosteter Workloads von Unternehmen ist Experten zufolge wohl bereits höher als 80 Prozent.

Bewusstsein für Sicherheit schaffen

Die Cloud kann zwar erhebliche Vorteile bieten, Unternehmen müssen sich bei der Planung einer Cloud-First-Strategie aber auch den besonderen Anforderungen an die Sicherheit bewusst sein. Einige dieser Herausforderungen betreffen nicht nur Datenschutz und Compliance, sondern auch operative Aspekte. So etwa die Fähigkeit, Sicherheitslösungen sowohl für lokale als auch cloudbasierte Workloads zu integrieren und konsistente Sicherheitsrichtlinien in der gesamten Cloud durchzusetzen und die Erkennung virtueller Maschinen (VM) zu automatisieren, um Transparenz und Kontrolle über dynamische Infrastrukturen zu gewährleisten.

1. Die Balance zwischen Sicherheit und Compliance
   Eine große Herausforderung ist es, die Balance zwischen Sicherheit und Compliance zu finden. Manchmal geht es darum, Bedrohungsakteuren den Wind aus den Segeln zu nehmen, indem sie einfach nur mehr Zeit, Energie und Ressourcen investieren müssen, als sie ursprünglich für einen Angriff auf ein Unternehmen veranschlagt haben. Wenn Angreifer beispielsweise dazu gebracht werden, mehrere Ebenen der Verteidigung zu durchlaufen, wird die Chance höher, dass sie irgendwann Fehler begehen und einen Alarm auslösen.
   Compliance-Vorschriften werden in der Regel als Basis-Minimalssicherheitsoptionen behandelt. Zu einem umfassenden Schutz gehört jedoch der Einsatz mehrerer Sicherheitsebenen. Diese Ebenen sollten sowohl die IT- als auch das Sicherheitsteam bei der Optimierung der Abläufe unterstützen, die Transparenz erhöhen und die Erkennung von Bedrohungen beschleunigen.
2. Integration von Sicherheitslösungen für Anwendungen in der Cloud und im heimischen Rechenzentrum
   Eine Sicherheitslösung zu finden, die sich sowohl on-premise, also vor Ort, als auch in der Cloud nahtlos in die Workloads integrieren lässt, ist generell schwierig. Herkömmliche Sicherheitslösungen können bestenfalls getrennte Lösungen für On-Premise- und Cloud-Workloads anbieten und erzeugen somit Probleme bei Übersicht und Management. Im schlimmsten Fall wird dieselbe traditionelle Sicherheitslösung auf allen Workloads – Cloud und lokal – eingesetzt, was zu ernsthaften Performance-Problemen für letztgenannte Workloads führt. Es ist wichtig für Unternehmen eine Sicherheitslösung zu integrieren, die so konzipiert ist, dass sie ihren Sicherheitsagenten automatisch an den jeweiligen Auftrag anpasst, je nachdem, ob der Workload vor Ort oder in der Cloud liegt, ohne die Leistung zu beeinträchtigen oder die Sicherheitsfähigkeiten zu beeinträchtigen.
3. Implementierung konsistenter Sicherheitsrichtlinien in der gesamten Hybrid-Cloud
   Um dieser Herausforderung zu begegnen, müssen Unternehmen Sicherheitslösungen finden, die Sicherheitsagenten an die Umgebung anpassen können, in der sie eingesetzt werden. Lösungen für Cloudumgebungen müssen agil genug sein, um alle Vorteile der Cloud zu nutzen, ohne die Sicherheit zu beeinträchtigen, während sie in traditionellen, lokalen Umgebungen flexibel genug sind, um Produktivität und Mobilität zu ermöglichen. Unternehmen müssen verstehen, dass die Bereitstellung von Sicherheitsrichtlinien in hybriden Infrastrukturen problematisch sein kann, insbesondere ohne eine zentrale Sicherheitskonsole, die diese Richtlinien nahtlos über alle Endpunkte und Workloads erweitern kann. Es ist wichtig, dass Sicherheitsrichtlinien für bestimmte Gruppen automatisch auf neu hinzugekommene VMs angewendet werden, basierend auf ihrer Rolle innerhalb der Infrastruktur. Beispielsweise sollten neu erstellte virtuelle Server sofort gruppenspezifische Richtlinien einhalten, ebenso wie virtuelle Desktops. Geschieht dies nicht, könnten die Folgen katastrophal sein, weil sie sonst in Betrieb sind ohne gegen Bedrohungen und Angreifer geschützt zu sein.
4. Automatisierung der VM-Erkennung
   Die automatisierte Erkennung neu erstellter VMs ist der Kernpunkt einer integrierten Sicherheitsplattform, da Sicherheitsrichtlinien je nach Typ einer VM automatisch angewendet werden können. Unternehmen sollten Sicherheitslösungen einführen, die die VM-Erkennung automatisieren und Sicherheitsrichtlinien entsprechend anwenden können, ohne IT- und Sicherheitsteams zu zwingen, Richtlinien manuell auf neu eingetretene Workloads zu übertragen.
   Bei der Flexibilität der hybriden Cloud in Bezug auf Endpunkte (physisch und virtuell) und Infrastruktur (on-premise und in der Cloud) ist es wichtig, dass die Sicherheitslösung die gleiche Elastizität aufweist. Nur so ermöglicht sie Unternehmen, die Vorteile dieser Infrastrukturen voll auszuschöpfen, ohne Leistung, Benutzerfreundlichkeit oder Sicherheit zu beeinträchtigen.
5. Sichtbarkeit und Kontrolle über dynamische Infrastrukturen
   Im Rahmen einer Cloud- oder Mobility-Strategie ist es für IT- und Sicherheitsteams immer schwieriger geworden, die Sicherheitslage eines Unternehmens zu überblicken, zumal traditionelle Sicherheitslösungen keine komplette Übersicht aller Endpunkte hinweg bieten.
   Die Integration einer kompletten Sicherheitsplattform kann IT- und Sicherheitsteams Zeit sparen und gleichzeitig Funktionen zur Automatisierung der Sicherheit bieten, die das Erkennen einer Datenschutzverletzung beschleunigen.

Die Bewältigung der hohen Anforderungen an die Sicherheit der Cloud ist eine kontinuierliche Aufgabe für IT- und Sicherheitsteams. Sie erfordert Wachsamkeit und die richtigen Sicherheits- und Automatisierungstools. Die Zusammenarbeit der Teams bei der Suche nach den richtigen Lösungen stellt sicher, dass beide Teams das bekommen, was sie brauchen. Und die Zusammenarbeit stellt auch sicher, dass die gesamte Infrastruktur geschützt ist, unabhängig davon ob Workloads On-Premise oder in der Cloud sind.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

[datensicherheit.de, 22.09.2018] Das Unternehmen ForgeRock hat kürzlich die  Studie „Leveraging CIAM to unlock the Power of AI and IoT“ veröffentlicht. Sie zeigt deutlich, dass der Einsatz von Kundenidentitätslösungen den Vertrauensaufbau mit Kunden fördert und dass Geschäftsziele auf höherem Niveau erreicht werden. 75 Prozent der befragten Unternehmen sehen den priorisierten Schutz der Kundendaten als entscheidenden Wettbewerbsvorteil. Die Umfrage zeigt aber auch, dass Unternehmen beim Aufbau von Vertrauen ihrer Kunden und beim sicheren, bedenkenlosen Einsatz neuer Technologien wie KI und IoT vor neuen Herausforderungen stehen.

Die im April 2018 durchgeführte Studie umfasste eine Umfrage unter mehr als 400 Entscheidungsträgern in Deutschland, Großbritannien, Frankreich, USA, China, Japan und Australien. Die vollständige Studie auf Englisch steht zum Download bereit und eine unterstützende Infografik ist ebenfalls verfügbar.

Zu den wichtigsten Ergebnissen der Studie gehören:

Die Sicherstellung der Kundendaten ist mehr als eine Geschäftspriorität – Unternehmen können sich so von ihren Mitbewerbern differenzieren

• Drei Viertel (75 Prozent) der Unternehmen geben an, dass sie den Schutz der Privatsphäre der Kunden als Wettbewerbsvorteil betrachten.
• 79 Prozent sagen, dass der Schutz der Privatsphäre der Kunden eine entscheidende Geschäftspriorität hat, und 80 Prozent der befragten Unternehmen gaben an, dass Sicherheits- und Datenschutzaspekte von Anfang an bei der Entwicklung neuer Produkte, Dienstleistungen und Anwendungen berücksichtigt werden.

KI und IoT können die Ziele Kundenzufriedenheit, Sicherheit und Datenschutz untergraben

• Unternehmensziele sind stark von der Entstehung und dem zunehmenden Einsatz neuer Technologien beeinflusst worden, insbesondere von KI (67 Prozent bestätigen einen Einfluss)  und IoT (64 Prozent).
• Allerdings behindern Sicherheitsbedenken die Umsetzung: 60 Prozent der Entscheidungsträger sind der Meinung, dass sich die Bereitstellungszeiten für KI und IoT in ihrem Unternehmen aufgrund von erforderlichen Sicherheitsmethoden verlängert haben.
• 57 Prozent der Befragten berichten, dass ihre Kunden durch den Einsatz von KI und IoT größeren Sicherheits- und Datenschutzbedrohungen ausgesetzt sein könnten, und 44 Prozent stimmen zu, dass dies zu einem Widerstand gegen weitere KI- und IoT-Implementierungen führen kann.
• Mehr als die Hälfte (55 Prozent) haben das Problem, ihre Mitarbeiter zu halten, die für die Sicherstellung von korrekten KI-Modelle nötig ist. Und während die aus dem IoT generierten Daten das digitale Geschäft antreiben, fällt es 51 Prozent der Unternehmen schwer, sie korrekt zu speichern und zu sichern.

Customer Identity and Access Management (CIAM) unterstützt Unternehmensziele

• Unternehmen mit fortgeschrittener CIAM erreichen ihre Geschäftsziele durch ihre Sicherheitspläne 20 bis 52 Prozent öfter – nämlich Kunden zu gewinnen (88 Prozent), zu betreuen (89 Prozent) und zu halten (88 Prozent).
• Die Befragten sagten, dass CIAM die Datenschutzhürden überwindet, indem es sicherstellt, dass die Datenerhebung strikt innerhalb der Grenzen der Einwilligungsrichtlinien erfolgt. Die meisten der Befragten gaben an, dass CIAM ihnen dabei hilft, die Kundenidentitäten besser zu schützen (84 Prozent), das Bedrohungsrisiko von Kundendaten zu reduzieren (86 Prozent) und Erkenntnisse aus den von ihnen gesammelten Kundendaten zu gewinnen (84 Prozent).

Aber: weniger als die Hälfte der Unternehmen geben an, dass sie eine  CIAM-Lösung verwenden

• 48 Prozent der befragten Unternehmen verwenden eine dedizierte CIAM-Lösung, wobei davon die Mehrheit (61 Prozent) auf Erweiterungen bestehender Systeme für Mitarbeiteridentität und Zugangsmanagement (IAM) als CIAM-Standards setzt.
• Dennoch bieten Unternehmen ihren Kunden zunehmend zusätzliche Wahlmöglichkeiten in Bezug auf Identität und Autorisierung an: 62 Prozent der Unternehmen geben an, dass sie eine Zwei-Faktor-Authentifizierung einsetzen, 61 Prozent erlauben es Kunden, ihre Social Media Identitäten als Login zu nutzen, und wiederum 48 Prozent verwenden eine Biometrie-Lösung.

„Das Bewusstsein der Verbraucher für Datenschutz und Sicherheit ist in den letzten Jahren enorm gestiegen und zwingt die Unternehmen, den Datenschutz zu priorisieren“, sagt Eve Maler, Vice President of Innovation & Emerging Technology bei ForgeRock. „Gleichzeitig hat der Zustrom von KI- und IoT-fähigen Technologien, Schwachstellen in vielen Datenketten geschaffen. Für KI- und IoT-fähige Unternehmen sind jedoch digitale Identitäten essentiell, die verstanden, verwaltet und geschützt werden müssen. CIAM-Strategien sind die Antwort, um den wahren Wert von KI- und IoT-Technologien zu erhalten. Nur sie ermöglichen ein hohes Maß and Datenschutz und ein nahtloses Erlebnis für die Kunden, denn Verbraucher von heute werden immer anspruchsvoller.“

Über die Studie

Im Auftrag von ForgeRock befragte Forrester Consulting in dieser Studie 409 Entscheidungsträger im Bereich Identitäts- und Zutrittsmanagement (IAM) in Deutschland, Großbritannien, Frankreich, USA, China, Japan und Australien bei Unternehmen mit 500 oder mehr Mitarbeitern. Die Befragten wurden nach dem Einsatz der IAM-Technologie, den verwendeten Ansätzen, den Herausforderungen und den erzielten Vorteilen befragt. Die Studie wurde im April 2018 abgeschlossen.

Weitere Informationen zum Thema:

ForgeRock
Digital Identity Management Platform

datensicherheit.de, 19.09.2018
Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 07.08.2018
Sicherer Umgang mit Zugriffsrechten

[datensicherheit.de, 21.09.2018] Unternehmen müssten drei große Schwierigkeiten meistern, um digital affine Mitarbeiter im Team zu integrieren, so Linus Dahlander, Associate Professor of Strategy an der ESMT Berlin. Unternehmen sind zunehmend erfolgreich bei der Gewinnung, Ausbildung und Bindung neuer Talente, aber viele von ihnen integrieren diese Personen nicht in das Kerngeschäft.

Dahlander untersuchte zusammen mit seinem Kollegen Martin Wallin, Head of Entrepreneurship and Innovation an der Chalmers University of Technology, wie zwölf Industrieunternehmen in Deutschland und Skandinavien versuchen, die digitalen Fähigkeiten ihrer Mitarbeiter zu verbessern. Sie identifizierten drei Hauptherausforderungen:

1. Integrieren der separaten digitalen Einheit in den traditionellen Teil des Unternehmens
   Linus Dahlander sagt: „Viele Unternehmen schaffen neue separate Einheiten, um ihre Expertise im Bereich Digitales zu verbessern. StoraEnso, ein 1288 gegründete Zellstoff- und Papierunternehmen, das als das älteste bestehende Unternehmen der Welt gilt, verfügt beispielsweise über ein digitales „Accelerator“-Programm. Diese Einheiten befinden sich aber oft außerhalb der Unternehmen in den Innenstädten und haben eine andere Unternehmenskultur und Managementtechnik als ihre Muttergesellschaften.“
   „Eine ernsthafte Herausforderung besteht darin, neue Talente in das Kerngeschäft zu integrieren, wenn diese Mitarbeiter in einiger Entfernung vom Unternehmen arbeiten. Beispielsweise sehen sie möglicherweise nicht, wie der von ihnen programmierte Code mit dem Kernprogramm und der Strategie des Unternehmens interagiert. Denn es gibt oft niemanden, der für die Integration der digitalen Talente in die Muttergesellschaft verantwortlich ist. Dann liegt die Aufgabe bei Führungskräften, die aber eigentlich keine Zeit dafür haben“, so Dahlander.
2. Nutzen neuer digitaler Fähigkeiten in der gesamten Belegschaft
   Linus Dahlander erklärt: „Unternehmen beeilen sich oft, interne Mitarbeiter in neuartigen digitalen und datenwissenschaftlichen Tools auszubilden. Ein traditionelles schwedisches Stahlunternehmen, mit dem wir zusammenarbeiteten, führte bei einer jüngeren Generation von Walzwerksbetreibern ein Training ein, um eine stärker digitale Denkweise zu fördern. Dies führte zu einer verbesserten Produktionseffizienz, weniger Qualitätsschwankungen und einer schnelleren Einarbeitung neuer Mitarbeiter. Doch trotz dieser Ergebnisse gab es keinen Rahmen, in dem sich dieses Training in der gesamten Organisation entfalten konnte, was bedeutet, dass diese digitale Initiative nur lokal erfolgreich war – ein häufiger Fehler, vor dem sich die Unternehmen schützen müssen.“
3. Bottom-up-Initiativen wie Vorschlagsboxen oder Brainstorming-Sitzungen bis zum Ende bringen
   Dahlander schildert: „Einige Unternehmen wollen interne digitale Talente durch Bottom-up-Initiativen identifizieren, aber in den meisten Fällen engagieren sich die Mitarbeiter nicht. Oft fehlt das Bewusstsein, wie wichtig digitale Kompetenzen sind, wie das Unternehmen diese gewinnen will und welche Vorteile für die Mitarbeiter entstehen. Diese Punkte müssen von Führungskräften klar benannt werden. Ohne diese Kommunikation werden nur wenige Mitarbeiter motiviert sein, sich zu engagieren. Die digitale Transformation ist eine tief verwurzelte unternehmerische Herausforderung, die mehr umfasst als nur die Einführung neuer Technologien. Um erfolgreich zu sein, müssen Unternehmen über die Gewinnung, Ausbildung und Bindung von digitalen Talenten hinausgehen und diese Personen in die Kerngeschäftsprozesse integrieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2018
Bitkom-Warnung: Mangel an Fachkräften für Datenschutz

datensicherheit.de, 20.02.2017
Weltweiter Fachkräftemangel gefährdet Cyber-Sicherheit

datensicherheit.de, 23.01.2017
Cyber-Sicherheit: Suche nach Fachkräften erfordert Blick über den Tellerrand

[datensicherheit.de, 20.01.2011] Acronis, ein Anbieter von Backup-, Recovery- und Security-Lösungen für physische, virtuelle und Cloud-Umgebungen, hat eine weltweite Untersuchung zum Vertrauen von IT-Managern in ihre bestehenden Backup-Strategien durchgeführt:
Auf Basis der Ergebnisse wurde der erste „Global Disaster Recovery Index“ erstellt, in dem Deutschland die Spitzenposition einnimmt. Demnach sehen insbesondere deutsche Unternehmen in sogenannten heterogenen IT-Umgebungen die größte Herausforderung für „Disaster Recovery“. Die Untersuchung wurde im Auftrag von Acronis durch das Ponemon-Institut durchgeführt. Befragt wurden IT-Manager von über 3.000 kleinen und mittelgroßen Unternehmen in weltweit 13 Ländern.
Unternehmen benötigten Backup- und Recovery-Lösungen, die die Anforderungen an das Backup sowie das Management der wachsenden Datenmengen in physischen, virtuellen und „Cloud“-Umgebungen gleichermaßen abdeckten, so ein zentrales Untersuchungsergebnis. In solchen hybriden Umgebungen sehe die überwiegende Mehrheit der deutschen IT-Manager die größten Herausforderungen und 74 Prozent im Transfer von Daten. 69 Prozent der befragten deutschen Unternehmen meinten zudem, dass die Kosten durch verschiedene Backup- und Disaster-Recovery-Lösungen eine Herausforderung für ihr Unternehmen darstellten – weltweit setzten mehr als die Hälfte (56 Prozent) aller befragten Unternehmen unterschiedliche Lösungen für das Backup von virtuellen und physikalischen Maschinen ein. Gleichzeitig fielen in den befragten deutschen Unternehmen deutlich mehr Daten an als im internationalen Vergleich, was die Situation noch verschärfe. Nach Angaben der befragten deutschen Unternehmen würden täglich 161 GB an neuen Daten gesichert; nur Japan liege hier mit 162 GB leicht darüber, während sich der weltweite Durchschnitt bei rund 106 GB einpendele. Alle befragten Unternehmen nutzten zudem meistens zwei oder sogar drei unterschiedliche Backup-Tools, was in der Konsequenz zu einem komplexen Disaster-Recovery-Prozess führe.

Weitere Informationen zum Thema:

Acronis
Der Acronis Global Disaster Recovery Index: Internationale Untersuchungsergebnisse