Nach dem Aus des Privacy Shields – Endpunkte rechtskonform managen und absichern

Im Juli des vergangenen Jahres hat der Europäische Gerichtshof mit seinem Schrems-II-Urteil das Privacy-Shield-Abkommen, das den Datenfluss zwischen der EU und den USA regelt, für nichtig erklärt. Europäische Unternehmen, die für die Aufrechterhaltung ihrer IT-Infrastruktur auf Lösungen angewiesen sind, deren Nutzung einen Datentransfer in die USA erforderlich macht, müssen sich seitdem – wollen sie weiterhin datenschutzkonform agieren – an den europäischen Standartvertragsklauseln für den Datentransfer zwischen EU- und Nicht-EU-Staaten orientieren. Kein leichtes Unterfangen. Gerade wenn es um Endpunktmanagement- und Endpunktsicherheitslösungen geht. Denn nur die wenigsten von ihnen lassen sich im Einklang mit den neuen Regelungen betreiben.

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil das Privacy-Shield-Abkommen, ein informelles Regelwerk zum Datentransfer zwischen der EU und den USA, für nichtig erklärt [1] [2]. Wie auch schon bei dessen ebenfalls vom EuGH gekippten Vorgänger, dem Safe-Harbour-Abkommen, wurde als Begründung angeführt, dass personenbezogene Daten in den USA nicht denselben Schutz wie in der EU genießen [3]. Laut Artikel 44 der Europäischen Datenschutzgrundverordnung (DSGVO) dürfen innerhalb der EU erhobene personenbezogene Daten nur dann in ein Land außerhalb der EU transferiert werden, wenn dort für diese ein angemessenes Schutzniveau besteht. Ob dies der Fall ist, kann die Europäische Kommission durch einen Angemessenheitsbeschluss feststellen. Zweimal hat sie dies im Hinblick auf EU-Datentransfers in die USA bereits getan. Zweimal hat das EuGH den Angemessenheitsbeschluss für nichtig erklärt.

In vielen europäischen Unternehmen beschäftigt der letztjährige EuGH-Beschluss nun die Rechts- und IT-Abteilungen. Denn nicht wenige von ihnen nutzen IT-Lösungen, die einen Datentransfer in die USA erforderlich machen – beispielsweise solche zum Management und Schutz ihrer Endpunkte. Die Inanspruchnahme solcher Endpunktlösungen, bei denen europäische Daten US-Territorium passieren, kann nun, bedingt durch die neue Rechtslage, für die betroffenen Unternehmen schwerwiegende juristische Konsequenzen nach sich ziehen. Generell verboten ist sie nicht. Der EuGH hat festgestellt, dass europäische Unternehmen für einen rechtskonformen Datentransfer in die USA immer noch auf die Standard Contractual Clauses (SCCs), die den Datentransfer zwischen EU- und Nicht-EU-Staaten regeln, zurückgreifen können. Doch müssen sie dabei einiges beachten.

SCC – die neue Rechtslage. Lösungsanbieter und Nutzer stehen beim Einsatz von SCCs gleichermaßen in der Verantwortung, kritisch zu prüfen, ob die zu transferierenden Daten im Staat des Lösungsanbieters dasselbe Schutzniveau wie in der EU genießen. Außerdem sind sie verpflichtet, festzustellen, ob SCCs in ihrer Grundform bereits ausreichende Garantien für einen sicheren Datentransfer bieten. Wenn nicht, müssen zusätzliche Garantien und Sicherungsmaßnahmen ausgehandelt und implementiert werden – juristisch in die SCCs, praktisch in den Datentransfer. Um mehr Klarheit in diese Vorgaben zu bringen, hat der der Europäische Datenschutzausschuss (EDSA) am 10. November 2020 Handlungsempfehlungen zum korrekten Gebrauch der SCCs veröffentlicht [4].

Anzeige

Was es nun zu beachten gilt Laut diesen Empfehlungen müssen EU-Nutzer sämtliche Lösungen, die einen Datentransfer in Nicht-EU-Staaten erfordert, identifizieren. Sodann haben Nutzer und Anbieter eine umfassende, kritische Evaluation der Datentransfers und Datenverarbeitungen hinsichtlich ihrer Risiken für den Datenschutz vorzunehmen. Dabei haben sie auch die »Umstände« der Datentransfers zu prüfen und in ihre Bewertung mit einfließen zu lassen. Soll heißen: Nicht nur der finale Speicher- und Verarbeitungsort, auch Dateninhalt, Datentyp, Datenumfang und der genaue Zweck eines Transfers spielen eine Rolle. Sie alle fließen als Kriterien in die Bewertung der Nicht-EU-Lösung im Hinblick auf ihre SCC-Regelkonformität mit ein. Ziel ist es letztlich, für jede Datenübertragung die Einhaltung der klassischen DSGVO-Prinzipien, wie Zweckbindung, Datenminimierung und Speicherbegrenzung, sicherzustellen.

Eine Herausforderung für die meisten Endpunktmanagement- und Endpunktsicherheitslösungen. Nutzer von Endpunktmanagement- und Endpunktsicherheitslösungen, die einen Datentransfer in die USA erforderlich machen, stellt die neue SCC-Regelung nun vor zwei gravierende Probleme. Zum einen können die meisten derzeit angebotenen Lösungen nur über eine Cloud betrieben werden. Laut den erwähnten EDSA-Empfehlungen ist aber keine datenschutzkonforme Cloud-basierte Datenspeicherung und -verarbeitung möglich, wenn im Anbieterstaat die Datenzugriffsbefugnisse staatlicher Stellen über das notwendige Maß hinausgehen. Dass dies in den USA der Fall ist, hat das EuGH nun schon zum zweiten Mal bestätigt. Zum anderen sammeln, speichern und verarbeiten die meisten Endpunktmanagement- und Endpunktsicherheitslösungen die Daten ihrer Kunden zentralisiert und kontinuierlich. Damit werden jedoch die Grenzen der von der SCC-Regelung erlaubten Umstände eines Datentransfers – die letztlich ja auf den DSGVO-Prinzipien basieren – überschritten. Denn zentrale Strukturen bringen mit sich, dass alle Endpunktdaten immerzu – und damit zweckunabhängig – erhoben und gespeichert werden. Eine SCC-regelkonforme Nutzung dieser Lösungen wird damit praktisch unmöglich gemacht. 

Die Lösung: On Premises oder Hybrid statt Cloud … Nun gibt es mittlerweile aber auch Endpunktmanagement- und Endpunktsicherheitslösungen, die statt in der Cloud auch in einer Hybrid- oder sogar in einer reinen On-Premises-Variante genutzt werden können. Speicherung und Verarbeitung erfolgen hier vor Ort. Die Daten verbleiben zu jeder Zeit vollständig unter Kontrolle des Nutzers, müssen dessen Netzwerke nicht verlassen.

Anzeige

… und ein dezentraler Ansatz. Wichtiger noch: diese Endpunktlösungen können auch dezentral operieren – beispielsweise als agentenbasierte Lösung auf Basis einer Linearkettenarchitektur. Was dezentrale von zentralisierten Lösungen unterscheidet: Hier werden Daten wirklich nur noch dann gesammelt und verarbeitet, wenn sie auch tatsächlich benötigt werden. Ansonsten verbleiben sie an den ans Netzwerk angeschlossenen Endpunkten. Auf allen Endgeräten werden hierzu Agenten installiert. Diese sammeln die für Endpunktmanagement und Endpunktsicherheit erforderlichen Informationen, können Daten empfangen und versenden. Bei der Informationsweitergabe kommt dann die erwähnte Linearketten-Architektur zum Einsatz. Jeder Agent kann sich automatisiert mit einem Agenten verbinden, um Informationen zu empfangen und mit einem anderen, um Informationen weiterzugeben. Die so zusammengeschlossenen Agenten, beziehungsweise Endpunkte, formen lineare Ketten. Wird eine Anfrage oder Handlung erforderlich, werden die diesbezüglichen Informationen vom Server an die ersten Glieder dieser Ketten gesendet, durchgereicht und die Antworten von den letzten Kettengliedern wieder an den Server übergeben. Die Folge: Informationen können wirklich nur noch zweckgebunden erhoben und verarbeitet werden. Die erwähnten DSGVO-Prinzipien, wie Zweckbindung, Datenminimierung und Speicherbegrenzung, werden regelkonform umgesetzt.

Fazit. Nutzer von Endpunktmanagement- und Endpunktsicherheitslösungen werden sich nach einer solch dezentralen Hybrid- oder On-Premises-Variante umsehen müssen. Auf anderem Wege werden sie die mit der neuen SCC-Regelung verbundenen Anforderungen an die Sicherheit ihrer Daten kaum erfüllen können.

 


Christoph Volkmer,
VP EMEA Central
bei Tanium

 

[1] https://www.datenschutzstelle.li/application/files/8515/9491/3727/
EuGH_Urteil_C-311_18_vom_16072020.pdf
[2] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/
?uri=CELEX:32016D1250&from=DE
 
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/
?uri=uriserv:OJ.L_.2000.215.01.0007.01.DEU
 
[4] https://edpb.europa.eu/sites/default/files/consultation/edpb_
recommendations_202001_supplementarymeasurestransferstools_en.pdf

 

Illustration: © clivewa /shutterstock.com

 

603 Artikel zu „Endpunkt Sicherheit“

IT-Sicherheit an den Endpunkten im Bankgewerbe akut gefährdet – Analyse und Tipps für IT-Sicherheit in der Finanzbranche

In einem aktuellen Whitepaper analysiert Palo Alto Networks die spezifischen Herausforderungen, mit denen Finanzinstitute hinsichtlich IT-Sicherheit zunehmend konfrontiert sind. So ist vor allem die IT-Sicherheit an den Endpunkten akut gefährdet. Im neuen Whitepaper stellen die Sicherheitsexperten zudem dar, wie diese Herausforderungen mit neuen Ansätzen zum Schutz von Endpunkten bewältigt werden können. Vertrauenswürdige Finanztransaktionen und der…

Mehr Sicherheit in der Wolke: Vier Vorteile von Cloud Services im Vergleich zu On-Premises

Die verstärkte Remote-Arbeit hat, neben weiteren Variablen, die Cloud-Adaption von Unternehmen stark beschleunigt. Für viele Organisationen ist eine verteilte Belegschaft mit Optionen wie Home Office und Arbeiten von überall aus mittlerweile zu einem Teil der Unternehmenskultur geworden, der auch über die Pandemie hinaus Bestand haben wird. Dieser Wandel Richtung New Work erfordert jedoch eine Umstellung…

Identitätsbasierte Angriffe: Kritische Schwächen traditioneller Identitätssicherheit

Best Practices für einen einheitlichen Identitätsschutz. Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. So verschaffen sich Hacker beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in…

Trends der RSA Conference 2021 – Was die Cybersicherheitsexperten beschäftigt

  Die Themeneinreichungen für die RSA Conference 2021 machen sehr gut deutlich, was Cybersicherheitsexperten in den nächsten zwölf Monaten als ihren Schwerpunkt sehen.   Palo Alto Networks veröffentlicht eine Auswahl der wichtigsten Trends in diesem Jahr:   Ransomware-Angriffe: Es ist wenig überraschend, dass Ransomware weiterhin stark im Fokus steht. Die Angriffe werden immer raffinierter und…

Produktsicherheit: Erfolgreiches Product Security Incident Response Team (PSIRT) aufbauen

In den letzten Jahren sind aus gutem Grund immer mehr Gerätehersteller dazu übergegangen, die Produktsicherheit stärker in den Fokus zu rücken. Dazu zählt auch, den Aufbau eines Product Security Incident Response Teams (PSIRT) in die strategische Planung einzubeziehen, um das Risiko eines erfolgreichen Exploits zu senken. Unternehmen, die vernetzte Produkte und IoT-Geräte entwickeln, sind sich…

Cybersicherheit: 150 Millionen Angriffs-E-Mails in 2020

Cloud Services von Microsoft und Google als perfekte Plattformen für Attacken von Cyberkriminellen. Fast 60 Millionen Angriffs-Mails via Microsoft 365 und 90 Millionen via Google – das ist die erschreckende Bilanz, die der US-Cybersecurity-Spezialist Proofpoint jetzt nach einer Analyse der Cyberbedrohungen für 2020 veröffentlicht hat [1]. Cyberkriminelle nutzen ganz offensichtlich die umfangreiche Funktionalität und nahezu grenzenlose…

Mehr Sicherheit im Finanzsektor – Jetzt und zukünftig

  Die Branche der Banken und Finanzdienstleister steht unter Dauerbeschuss. Sei es durch gezielte Cyberangriffe, nationalstaatlich gesponsert, durch Gruppen von ambitionierten Angreifern oder einzelne Kriminelle. Das verwundert nicht, haben doch diese Ziele in punkto Risiken, Reputation und Wert am meisten zu bieten. Allerdings gehören sie auch zu der Art von Zielen, die gemeinhin am besten…

IoT- und IIoT-Sicherheitsanforderungen: Die wachsende Zahl vernetzter Geräte erhöht die Anforderungen an industrielle Sicherheit

Fast alle Sicherheitsexperten haben Bedenken hinsichtlich der Risiken von IoT- und IIoT-Geräten in ihrem Netzwerk.   Tripwire, Inc., Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse einer neuen Umfrage vor. Die Studie wurde von Dimensional Research im Auftrag von Tripwire in diesem Monat durchgeführt und bewertet die Sicherheit von vernetzten Geräten…

Remote Work: Sicherheitsbedenken bleiben bestehen

Verstärkter Einsatz von Cloud-Technologien durch dauerhafte Home-Office-Modelle.   Cloud-Securityanbieter Bitglass hat seinen diesjährigen Remote Workforce Security Report veröffentlicht. In einer Umfrage gaben IT-und Securityprofis Auskunft darüber, welche Auswirkungen das Arbeiten im Home Office im vergangenen Jahr auf die Datensicherheit gehabt hat.   Home Office etabliert sich – trotz Sicherheitsbedenken. Bei der Mehrheit der Unternehmen (57…

Sicherheitsinitiativen: Warum eine operationszentrierte Strategie?

IT-Teams sind nicht selten gezwungen, ihr Unternehmen aus einer siloartigen Infrastruktur heraus gegen Cyberangriffe zu verteidigen. Das liegt daran, dass das verfügbare Sicherheitsarsenal größtenteils aus Tools besteht, die für den Schutz ganz bestimmter Systeme und Anwendungen entwickelt wurden. Mit anderen Worten: Die eine Lösung wird eingesetzt, um Cloud-Workloads abzuschotten, während sich eine andere primär darauf…

Fünf Tipps, wie User Experience und Sicherheit in Einklang gebracht werden können

Nutzer stellen hohe Anforderungen an Anwendung, die sie täglich nutzen: Sie müssen leicht zu handhaben sein und schnell reagieren. Darüber hinaus können sich Nutzeranforderungen sehr schnell verändern. Während Anbieter versuchen, diesen Erwartungen zu entsprechen, steigt die Herausforderung, sich gleichzeitig vor sicherheitsrelevanten Bedrohungen und böswilligen Eingriffen zu schützen. User Experience und Sicherheit gehen daher Hand in Hand.…

Kostenloses E-Book zu Cybersicherheit: 20 Begriffe, die jeder kennen sollte

Eine Studie von NordVPN, dem Cybersicherheitsdienst, zeigt, dass nur 8 % der Deutschen wissen, wie sie sich online schützen können. Dabei sagen 87 % der Befragten, dass sie ihre Internet-Aktivitäten gerne privat halten würden. Digitale Sicherheit wird von den Deutschen in jedem Fall priorisiert.   Um diesem Bedürfnis nach Cyberwissen zu begegnen, erstellte NordVPN ein…

Sicherheitsstrategie: Abwehr der zehn größten Risiken

Zuerst einmal machen wir Schluss mit einem häufigen Missverständnis hinsichtlich der Open Web Application Security Project (OWASP) Top 10: Auch wenn einige Sicherheitsanbieter dies behaupten, es handelt sich dabei nicht um eine Checkliste von Angriffsvektoren, die Sie mit einer Web Application Firewall (WAF) blockieren können. Kommen wir nun zu Ihrer Strategie. Was genau benötigen Sie,…

Reifegradmodell zur Digitalisierung und Industrie 4.0 – Sicherheit wichtiger Faktor

Smart Electronic Factory beleuchtet Sicherheitsrisiken durch Industrie 4.0 und liefert einen Leitfaden. Die zunehmende Digitalisierung bzw. Vernetzung zwischen den Teilnehmern der Wertschöpfungskette in der Industrie 4.0 sowie die Verbindung von Office-IT und Fertigungs-IT birgt Risiken. Diese gilt es auszuräumen, denn die Industrie-4.0-Prozesse funktionieren nur mit einem hohem Grad an Sicherheit. Diesen Faktor beleuchten der »SEF…

IT-Sicherheit: In 6 Schritten fit für Managed Security Services

Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheitstools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen…

Krankenhauszukunftsfonds: förderfähige IT-Sicherheit für Krankenhäuser

Paket »SecureHealth« umfasst moderne Schwachstellenmanagement-Technologie sowie Unterstützung beim Förderantrag. Greenbone Networks, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken, unterstützt Krankenhäuser dabei, ihre IT-Sicherheit zu verbessern – auch im Rahmen des Krankenhauszukunftsfonds der Bundesregierung. Mithilfe des Pakets »SecureHealth« können Einrichtungen im Healthcare-Bereich ihre gesamte IT-Infrastruktur auf Schwachstellen überprüfen und damit Hackerangriffen und Systemausfällen vorbeugen. Greenbone Networks unterstützt zudem beim…