Datensouveränität bedeutet auch Schlüsselsouveränität: Panne bei Cloud-Anbieter

Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch Daten: Dieser aktuelle Vorfall schadet der gesamten Cloud-Branche in Deutschland, weil sie deren größten Wettbewerbsvorteil zunichte macht.

 

Tobias Gerlinger, CEO bei ownCloud (Quelle: ownCloud)

Deutsche Cloud-Anbieter mit ihren hohen Standards sind bei der Absicherung von Daten führend. Das ist die gute Nachricht. Trotzdem ist jetzt eine Panne passiert, die so nicht hätte sein dürfen. Einem hiesigen Anbieter sind nach einer Routineprüfung Kryptografie-Schlüssel abhandengekommen. In der Konsequenz können Unternehmen nicht mehr auf bestimmte Dateien zugreifen, auch der Cloud-Anbieter selbst hat keinen Zugriff mehr. Dieser Vorfall ist aus Sicht von Tobias Gerlinger, CEO bei ownCloud in Nürnberg, grob fahrlässig, die Fehlerquelle liegt für Gerlinger im konzeptionellen Ansatz: »Datensouveränität beinhaltet auch Schlüsselsouveränität. Unternehmen sollten niemals gezwungen sein, die Hoheit darüber einem Dritten zu überlassen. Die Verschlüsselung muss so konzipiert sein, dass die Schlüssel bei den Endusern und maximal noch in der eigenen IT-Abteilung liegen.«

Gerlinger fordert die deutschen Cloud-Anbieter auf, ihre Verantwortung gegenüber dem Kunden ernst zu nehmen: »Sie müssen dafür sorgen, dass sich der berühmte deutsche Qualitätsanspruch auch in ihren Produkten niederschlägt. Machen sie unverzeihliche Fehler, ist das ein Armutszeugnis für die hiesige Cloud-Branche und schadet deren Reputation.« Auch könne es nicht sein, dass Unternehmen extra fürs Backup bezahlen müssen, damit ihre Daten abgesichert sind. Im aktuellen Fall haben nur Kunden, die eine kostenpflichtige Option dazu gebucht haben, eine Chance auf Wiederherstellung. Wer also kein lokales Backup angelegt hat, steht ohne Daten da.

Anzeige

 

Standortvorteil Deutschland nicht aufs Spiel setzen

»Wir haben in Europa und ganz besonders in Deutschland eine Datenschutzkultur und damit einen Wettbewerbsvorteil gegenüber Ländern wie den USA, der einzigartig ist. Dieser Standortvorteil darf durch solche technische Pannen nicht aufs Spiel gesetzt werden«, so Gerlinger weiter. Grundsätzlich bestimmt der Standort des Cloud-Anbieters, welches Datenschutzrecht gilt. Entsprechend macht es einen entscheidenden Unterschied, ob der Anbieter innerhalb der Europäischen Union oder im Nicht-EU-Ausland sitzt. Das Stichwort in diesem Zusammenhang ist »Cloud Act«. Mit Hilfe dieses Gesetzes reicht der lange Arm der USA bis nach Deutschland: Amerikanische Behörden dürfen von Cloud-Providern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens verlangen. Der Cloud Act bezieht dabei auch die Server von US-Unternehmen im Ausland in die amerikanische Gesetzgebung ein. Innerhalb der EU gelten dagegen strenge Bestimmungen gemäß der DSGVO, wenn personenbezogene Daten gespeichert werden.

Anzeige

 

Der Schlüssel liegt beim Unternehmen

Viele Anbieter verwalten ihre Keys in der Cloud, in der Wolke allerdings sind sie denselben Sicherheitsrisiken ausgesetzt wie die Cloud selbst. Mit ownCloud können Unternehmen ihre Schlüssel im eigenen Key-Store verwalten. Sie können außerdem ihren eigenen Key-Manager erstellen und eine App entwickeln, die den Einsatz unternehmenseigener Verschlüsselungslösungen ermöglicht.

Weitere Informationen: https://owncloud.com/de/sicherheit/

 

058 Artikel zu „Cloud Sicherheit“

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Cloud-Sicherheit: Unternehmen verlangen skalierbare Elastizität

Wenn Unternehmen ihre Sicherheit in die Cloud verlagern, profitieren Nutzer von einheitlichen Sicherheitsstandards und einer verbesserten Benutzererfahrung. Ein Aspekt ist dabei ähnlich wie bei traditionellen Sicherheitsansätzen. Sowohl für lokale als auch für Cloud-Sicherheitslösungen ist die Kapazitätsplanung von entscheidender Bedeutung, um Verzögerungen oder Störungen im Unternehmen zu vermeiden. Palo Alto Networks erläutert, worauf Unternehmen unter dem…

Cloud-Sicherheit durch Insider-Attacken gefährdet

Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar.   Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…

Sicherheit in der Cloud: Darauf sollten Unternehmen heute achten

Die Cloud bietet zahllose Vorteile, auf die heute kaum mehr ein Unternehmen verzichten kann. Wer sich jedoch für den Schritt in die Cloud entscheidet, sollte sich im Vorfeld vor allem mit einem Thema auseinandersetzen: der Sicherheit. Die meisten denken dabei wohl zuerst an entsprechende Softwarelösungen. Wirkliche Sicherheit in der Cloud lässt sich jedoch nur über…

Reiseunternehmen Sales-Lentz nutzt die Sophos XG-Firewall aus der Cloud – Sicherheit für Mobilität aus der Cloud

Mobilität ist eines der großen Themen unserer Zeit. Das Reisen von A nach B ist heute ein komplexes Unterfangen, das – digital eingebettet – nicht nur ein Erlebnis für die Reisenden selbst, sondern auch für deren virtuelles -Publikum ist, organisatorische Höchstleistung mit sich bringt und auch bei privaten Reisen zu einem professionellen Maß an Effizienz gelangt ist. Mobilität entwickelt sich in rascher Geschwindigkeit weiter und ist große Aufgabe für Infrastruktur und Sicherheit.

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit

Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…

Sicherheit in der Cloud: Herausforderungen bei Cloud-First-Strategie bewältigen

Die heutige vernetzte Welt basiert auf der Datenzugänglichkeit von überall, zu jeder Zeit und auf jedem Gerät. Die Geschwindigkeit und Agilität, die mit Hosting-Diensten und -Anwendungen in der Cloud einhergeht, sind für den Erfolg zentral. Die damit verbundenen Vorteile haben Unternehmen in den letzten Jahren gezwungen, zumindest einige und in manchen Fällen sogar alle ihre…

IT-Sicherheitsprognosen 2019 – Fokus auf die Cloud

Im Jahr 2019 werden Cyberkriminelle neue innovative Wege beim Ausnutzen von Sicherheitslücken finden. Sie werden weiterhin IoT-Geräte auf ihrem Radar haben und außerdem in der Cloud nach neuen Möglichkeiten suchen, um gefährdete Anwendungen angreifen zu können. Unternehmen sollten daher daran arbeiten, effektivere Sicherheitslösungen einzusetzen, die aber auch ihr Budget nicht überfordern.

Datensicherheit in der Cloud: Best Practices gegen Man-in-the-Cloud-Attacken

Das Nutzen von Cloud-Services gehört für die Mehrheit der Unternehmen längst zum festen Bestandteil der IT-Strategie. Die Möglichkeit des Datenzugriffs jederzeit und überall bringt zahlreiche Vorteile mit sich, allen voran verbesserte Flexibilität und erhöhte Produktivität. Die gestiegene Popularität dieser Dienste ist jedoch von böswilligen Akteuren nicht unbemerkt geblieben, was neue Arten von Cyberangriffen hervorgebracht hat.…

Die 5 häufigsten Bedenken hinsichtlich der Public-Cloud-Sicherheit

Wer ist eigentlich für die Sicherheit in der Public Cloud verantwortlich? Keine leichte Frage. Vor allem, weil Sicherheitsverletzungen weitreichende Folgen nach sich ziehen können. Aus Sicht von Rackspace sind dies die 5 häufigsten Bedenken von Unternehmen, wenn es um die Public-Cloud-Sicherheit geht:   1) Schützen Amazon, Microsoft und Google meine Cloud nicht? Die Cloud-Sicherheit besteht…

Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit

Nutzung von Cloudanwendungen deutlich gestiegen. Office 365 und AWS auf dem Vormarsch.   Eine aktuelle Studie liefert einen Überblick zur Nutzung von Cloudanwendungen in Europa [1]. Untersucht wurden dafür 20.000 Unternehmen in Deutschland, Frankreich, den Niederlanden, Italien, Spanien und Großbritannien. Während die Nutzung von Office 365 mit 65 Prozent einen neuen Rekordwert erreicht hat, lässt…

Die Vorteile ausgereifter Cloud-Sicherheitsstrategien

Ein neues Cloud-Security-Maturity-Model mit Benchmarks bietet Unternehmen Orientierung bei der Nutzung von nicht-IT-geführten Cloud-Services. Erfahrene Unternehmen haben doppelt so wahrscheinlich einen Cloud-Security-Architekten eingestellt wie andere Unternehmen.   Netskope stellt den neuen »The Maturity of Cloud Application Security Strategies«-Report vor, in dem die Enterprise Strategy Group (ESG) im Auftrag von Netskope die geschäftlichen Vorteile der Nutzung…