Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?

Illustration: Absmeier, fotocitizen

Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und Phishing [3].

 

E-Mail als Einfallstor für Hacker

Gerade E-Mails sind für die Angestellten im Home Office eine immer noch unterschätzte Gefahr. So verbreiten Cyberkriminelle etwa Dokumente mit Malware als angebliche Informationen rund um SARS-CoV-2 und nutzen so die Angst der Empfänger für kriminelle Zwecke aus. Wenn Mitarbeiter diese Dokumente dann auf Firmenrechnern oder privaten Rechnern mit Zugang zum Firmennetzwerk öffnen, ist es bereits zu spät.

Darüber hinaus missbrauchen Cyberkriminelle E-Mails häufig für Social Engineering. Auf diese Weise können Angreifer zum Beispiel Zugangsdaten erbeuten. Besonders problematisch ist das in Verbindung mit privilegierten Nutzerkonten, wie sie in den Rechenzentren vieler Unternehmen für Administrationsaufgaben vorgesehen sind. Denn diese Konten verfügen häufig über uneingeschränkte Zugriffsrechte. So verschaffen sich die Hacker Zugriff zu den Systemen des Unternehmens und entwenden oder manipulieren dort sensible Daten und Dokumente.

 

VPN oder lieber in die Cloud?

Trotz dieser bekannten Gefahren versenden viele Angestellte immer noch sensible Dateien per Mail oder öffnen unwissentlich gefährliche Dateianhänge. Unternehmen sollten ihre Mitarbeiter im Home Office daher sensibilisieren und dafür sorgen, dass die Angestellten beim Austausch schützenswerter Daten auf sichere und erprobte Methoden setzen.

Ideal sind beispielsweise geschützte VPN-Verbindungen oder – noch einfacher in der Anwendung – hochsichere Business-Clouds mit virtuellen Datenräumen. Hier empfehlen sich Dienste wie die Versiegelte Cloud der Deutschen Telekom oder idgard der TÜV-SÜD-Tochter uniscon, die vollständig auf privilegierte Zugänge für Administratoren verzichten und auf sogenannte Zero-Trust-Technologie setzen.

Dabei sorgen verschiedene ineinander verzahnte technische Maßnahmen für die nötige Sicherheit. Sie stellen zuverlässig sicher, dass Daten und Anwendungen innerhalb der Infrastruktur gegen Attacken und unbefugte Zugriffe geschützt sind. Dies gilt sowohl für gespeicherte Daten als auch für die Datenübertragung und -verarbeitung. Nicht einmal der Betreiber des Dienstes hat hier Zugang.

Anwendung findet diese hochsichere Sealed-Cloud-Technologie [4] bereits in Kliniken, staatlichen Einrichtungen und in Unternehmen mit besonders hohen Sicherheitsansprüchen; etwa als File-Sharing-Ersatz zum sicheren Datenaustausch oder für die sichere Verarbeitung von IoT-Daten. Im Home Office sorgt die Sealed Cloud für das Extra-Maß an Sicherheit – ohne, dass die Angestellten sich mit komplizierten Schlüsseln, VPN-Verbindungen und Erweiterungen befassen müssen.

 

________________________________________
[1] https://www.uni-mannheim.de/gip/corona-studie/
[2] https://www.sueddeutsche.de/digital/it-sicherheit-coronavirus-hacker-cybercrime-1.4859962
[3] https://www.verbraucherzentrale.de/aktuelle-meldungen/digitale-welt/achtung-phishing-wie-betrueger-die-coronakrise-in-emails-nutzen-45714
[4] https://de.wikipedia.org/wiki/Sealed_Cloud
Lesenswertes aus den Bereichen Cloud-Security und Datenschutz im Internet finden Sie auf www.privacyblog.de

 


 

Sealed Cloud: Personaldaten sicher schützen

https://pixabay.com/de

In deutschen Unternehmen gibt es einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist: Human Resources. Denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf.

 

Personaldaten: DSGVO diktiert die Regeln

Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutzgrundverordnung angemessen zu schützen. Bereits das Bundesdatenschutzgesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:

  • Rechtsgrundlage zur Datenverarbeitung ist erforderlich
  • Daten dürfen nicht unbegrenzt gespeichert werden
  • Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen
  • Datenschutzverletzungen sind meldepflichtig
  • Daten sind angemessen zu schützen

Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Strafen – vorgesehen sind Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes [1]. Besonders heikel: Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen; diese haften dann gegebenenfalls auch mit ihrem Privatvermögen [2]. In Extremfällen können sogar Gefängnisstrafen verhängt werden [3]. Viele Unternehmen setzen daher auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume.

Risiko: Privilegierter Zugriff

Doch selbst, wenn die üblichen »technischen und organisatorischen Maßnahmen« zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko. Dieses Risiko besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer Business Cloud abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich mit verhältnismäßig überschaubarem Aufwand umgehen. Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen.

 

Abhilfe durch Technik?

Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Herkömmliche Public-Cloud-Angebote können diese Anforderung in der Regel nicht erfüllen. Sogar viele Business Clouds tun sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken.

Einen besseren Ansatz verfolgen betreibersichere Infrastrukturen [4]: Hier wurden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer.

Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und Datenraum-Angebote setzen, sind damit rechtlich auf der sicheren Seite. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schafft dies zusätzlich Vertrauen. Die passenden Zertifikate erleichtern den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten [5].

 

________________________________________

[1] https://dsgvo-gesetz.de/art-83-dsgvo/
[2] https://www.rosepartner.de/geschaeftsfuehrerhaftung-datenschutzrecht.html
[3] https://diligent.com/wp-content/uploads/2017/11/WP0032_US_The-GDPR-Checklist-for-Directors.pdf
[4] https://de.wikipedia.org/wiki/Sealed_Cloud
[5] https://dsgvo-gesetz.de/art-5-dsgvo/
Betreibersichere Infrastrukturen sind eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und werden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählen unter anderem die versiegelte Cloud der Deutschen Telekom und die Sealed Platform der TÜV SÜD-Tochter Uniscon GmbH.

 

Sealed Cloud – Big Data mit Datenschutz

Sealed Cloud – Big Data mit Datenschutz

Big Data verheißt Transparenz und Einsicht in Geschäftsvorgänge: Wenn Unternehmen Massendaten systematisch auswerten können, bedeutet das oft einen erheblichen Wettbewerbsvorteil. Doch wo bleibt der Datenschutz? Eine Frage, die bei Kundendaten hohe Brisanz hat. Wer darauf eine befriedigende Antwort finden will, sollte aktuellen Entwicklungen in der IT-Sicherheitstechnologie seine besondere Aufmerksamkeit schenken.

3336 Artikel zu „Cloud Sicherheit“

Fehlkonfigurationen sind größtes Sicherheitsrisiko für die Cloud

Untersuchung zeigt: Cybersicherheit muss bei allen Punkten der Cloud-Migration berücksichtigt werden. Laut des neuesten Forschungsberichts zur Cloud-Sicherheit von Trend Micro sind menschliche Fehler und komplexe Implementierungsprozesse die Hauptgründe für Sicherheitsprobleme in der Cloud [1]. Das Marktforschungsunternehmen Gartner prognostiziert, dass bis 2021 über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen werden…

Sechs Schritte zur Sicherheit in der AWS Cloud

Wer hat auf was Zugriff? Wie wird kontrolliert, wer Zugriff hat? Und an welchen Stellen sind im Falle eines Cyberangriffs welche Maßnahmen einzuleiten? Die Zahl der Unternehmen, die auf die Vorteile einer Cloud-Infrastruktur von AWS setzen, wächst rasant. Unternehmen aller Größenordnungen sind dabei jedoch im Zuge der Shared Responsibility für einen Teil der IT-Sicherheit ihrer…

Cloud-native Sicherheitsplattformen – Neues Zeitalter in der Cybersicherheit

Herkömmliche Sicherheitstools und -methoden erweisen sich zunehmend als ungeeignet, um die entwicklergetriebenen und infrastrukturunabhängigen Multi-Cloud-Modelle der Cloud-Native-Ära zu schützen. Palo Alto Networks sieht darin den Beginn eines neuen Zeitalters in der Cybersicherheit, das dominiert wird vom Konzept einer Cloud Native Security Platform (CNSP) – einer Sicherheitsplattform, bei der Cloud-native Technologien im Mittelpunkt stehen.   Bei…

Cloud Security-Report: Schlechte Sicherheitshygiene führt zu einer Eskalation von Cloud-Schwachstellen

Der Cloud Threat Report deckt 199.000 unsichere Cloud-Templates auf und findet 43 Prozent der Cloud-Datenbanken unverschlüsselt vor. Palo Alto Networks hat aktuelle Forschungsergebnisse veröffentlicht, die zeigen, wie Schwachstellen bei der Entwicklung von Cloud-Infrastrukturen zu erheblichen Sicherheitsrisiken führen. Der Unit 42 Cloud Threat Report: Spring 2020 untersucht, warum Fehlkonfigurationen in der Cloud so häufig vorkommen. Der…

Wächter in den Wolken: Datensicherheit in der Cloud

Cloud Services bieten Unternehmen heute eine kostengünstige und flexible Alternative zu teurer, lokal implementierter Hardware. Vorteile wie hohe Skalierbarkeit, Leistung und Effizienz sowie reduzierte Kosten liegen auf der Hand, sodass immer mehr Unternehmen ihre Anwendungen und Daten in die Cloud migrieren. Sensible Daten wie personenbezogene Informationen, Geschäftsgeheimnisse oder geistiges Eigentum sind jedoch neuen Risiken ausgesetzt.…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Cloud-Sicherheit: Unternehmen verlangen skalierbare Elastizität

Wenn Unternehmen ihre Sicherheit in die Cloud verlagern, profitieren Nutzer von einheitlichen Sicherheitsstandards und einer verbesserten Benutzererfahrung. Ein Aspekt ist dabei ähnlich wie bei traditionellen Sicherheitsansätzen. Sowohl für lokale als auch für Cloud-Sicherheitslösungen ist die Kapazitätsplanung von entscheidender Bedeutung, um Verzögerungen oder Störungen im Unternehmen zu vermeiden. Palo Alto Networks erläutert, worauf Unternehmen unter dem…

Cloud-Sicherheit durch Insider-Attacken gefährdet

Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar.   Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…

Sicherheit in der Cloud: Darauf sollten Unternehmen heute achten

Die Cloud bietet zahllose Vorteile, auf die heute kaum mehr ein Unternehmen verzichten kann. Wer sich jedoch für den Schritt in die Cloud entscheidet, sollte sich im Vorfeld vor allem mit einem Thema auseinandersetzen: der Sicherheit. Die meisten denken dabei wohl zuerst an entsprechende Softwarelösungen. Wirkliche Sicherheit in der Cloud lässt sich jedoch nur über…

Reiseunternehmen Sales-Lentz nutzt die Sophos XG-Firewall aus der Cloud – Sicherheit für Mobilität aus der Cloud

Mobilität ist eines der großen Themen unserer Zeit. Das Reisen von A nach B ist heute ein komplexes Unterfangen, das – digital eingebettet – nicht nur ein Erlebnis für die Reisenden selbst, sondern auch für deren virtuelles -Publikum ist, organisatorische Höchstleistung mit sich bringt und auch bei privaten Reisen zu einem professionellen Maß an Effizienz gelangt ist. Mobilität entwickelt sich in rascher Geschwindigkeit weiter und ist große Aufgabe für Infrastruktur und Sicherheit.

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit

Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…

Sicherheit in der Cloud: Herausforderungen bei Cloud-First-Strategie bewältigen

Die heutige vernetzte Welt basiert auf der Datenzugänglichkeit von überall, zu jeder Zeit und auf jedem Gerät. Die Geschwindigkeit und Agilität, die mit Hosting-Diensten und -Anwendungen in der Cloud einhergeht, sind für den Erfolg zentral. Die damit verbundenen Vorteile haben Unternehmen in den letzten Jahren gezwungen, zumindest einige und in manchen Fällen sogar alle ihre…

IT-Sicherheitsprognosen 2019 – Fokus auf die Cloud

Im Jahr 2019 werden Cyberkriminelle neue innovative Wege beim Ausnutzen von Sicherheitslücken finden. Sie werden weiterhin IoT-Geräte auf ihrem Radar haben und außerdem in der Cloud nach neuen Möglichkeiten suchen, um gefährdete Anwendungen angreifen zu können. Unternehmen sollten daher daran arbeiten, effektivere Sicherheitslösungen einzusetzen, die aber auch ihr Budget nicht überfordern.