„ZUM SCHUTZ UNSERER PRIVATSPHÄRE“

…scheuen wir weder Kosten noch Mühen um allen Sicherheitsstandards gerecht zu werden!

„Die digitale Transformation bietet große Chancen und bringt neben innovativen Fortschritt auch neue Risiken.“

Technologie entwickelt sich rasend schnell, immer neue Plattformen schaffen neue Modelle, Regeln und Realitäten. Die Herausforderungen und auch die Gelegenheiten sind riesig. Aktuell dreht sich dabei alles um Effizienz, Automatisierung, Robotik und Virtualisierung. Um Unternehmen fit für die Zukunft zu halten, müssen wir neugierig und bereit bleiben, fortführen was heute gut ist und parallel dazu neu ausrichten – für das was noch kommt.

Alleiniges Vertrauen auf Algorithmen birgt immer mehr Gefahren, wie z.B. der Diskriminierung, degradierte Beschäftigungschancen oder No-Flight-Listen – ohne zu wissen, wie sie jemals auf diese kamen. Lügendetektoren mit Gesichts- und Emotionalitätsdetektion funktionieren bereits jetzt perfekt und Computer sagen uns das Rückfallrisiko von Straftätern genauer vorher, als zuständige Richter. Viele HR-Abteilungen vertrauen bei der Kandidatenauswahl schon heute auf Software genauso wie Big Data Personen Analyse oder Social Bots ein lukratives Geschäft durch Suggestion, Manipulation und Produktplatzierung darstellen.

„Daten sind das neue Öl, darum ist Datenschutz der neue Umweltschutz!“

Mittlerweile haben die in der DSGVO festgelegten Datenschutz und Informationssicherheits-richtlinien auch in Österreich Einzug gehalten. Spätestens nach dem Scheitern von Safe Harbour rückt das Verständnis zur grundsätzlichen Rechtssicherheit, vermehrt ins öffentliche Bewusstsein. Firmendaten auf Dropbox, iCloud, GoogleDrive, OneDrive oder ähnlichen Portalen sind ein wahrer Datenschutz Albtraum. Ihre Daten liegen im Klartext auf einem dieser Server unter US amerikanischen Recht, wobei nationale Behörden auf diese zugreifen können, ohne den Betreiber (geschweige denn Sie selbst) darüber zu informieren! Auch mit der neuen Vereinbarung im EU-US Privacy Shield, bleibt das Abkommen nicht verpflichtend. Das Europäische Parlament hat im April 2017 eine kritische Resolution dazu angenommen. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für nicht vereinbar. Die Situation sich unter der Trump-Administration noch verstärkt und es wird daher dringend davon abgeraten, Daten in US-Clouds zu speichern. Darunter fallen auch Cloud Services von Microsoft, Amazon, Google & Co…

Microsoft

Amazon

Google

Für eine positive Risikofolgenabschätzung muss demnach der Schutz von Personenbezogenen Daten sichergestellt werden.

Infolgedessen erfolgt bei Unternehmen über ein IKS (Internen Kontrollsystem bzw. Datenschutz-Managementsystem) eine technische und rechtliche Prüfung sowie Bewertung aller Datenverarbeitenden Anwendungen in mehreren Phasen.

Erhebung
Klassifizierung & Bewertung (Risiko)
Maßnahmenkatalog (Zustimmungserklärungen, Verträge, Privacy by Design & Default, Richtlinien, Konzepte,…)
Abschlussbericht
Jährliche Audits

Dabei gelten folgende (vereinfachte) Regeln:

Verhindern, dass das falsche Ereignis eintritt
Verstehen, wie das falsche Ereignis eintrat
Das falsche Ereignis so schnell wie möglich korrigieren
Nachweisen, dass das falsche Ereignis korrigiert wurde

Was bedeutet das für mich als Verantwortlicher (Geschäftsführer) oder Auftragsverarbeitender (Dienstleister)?

Ein paar Praxisbeispiele bzw. Fallstudien

In einem europäischen Konzern kommt Office 365 mit einer lokalen Active Directory Benutzeranmeldung zum Einsatz. Dazu werden mit AAD-Connect Benutzerkonten auf eine Azure Active Directory Instanz synchronisiert. Darüber hinaus hat sich das Unternehmen für eine Windows 10 E3 CSP Lizenzierung entschieden, daher werden lokale Computerkonten aus dem Active Directory für die Abo Lizenzaktivierung in Azure synchronisiert.

Beurteilung: In diesem Fall werden personenbezogene Daten und Computerkonten unter US amerikanisches Recht gestellt bzw. freigeben und rund um die Welt repliziert! Eine Durchsetzung europäischer Gesetze ist somit nicht mehr möglich. Darüber hinaus besteht (laut den offiziellen Nutzungsbedingungen) kein Haftungsanspruch gegenüber dem Service Provider. Möchten Sie nach einem Identitätsdiebstahl, Ausfall oder Stillstand dennoch Schadenersatzansprüche stellen, können diese wiederum nur am Hauptsitz des Anbieters (Redmont) beansprucht werden. Die Prozess- und Anwaltskosten werden dabei mit ziemlicher Sicherheit das Auftragsvolumen sprengen, das Risiko ist folgenschwer zu beurteilen und eine Korrektur bleibt unerlässlich! Haftbar bleiben jedenfalls der Verantwortliche und auch der Auftragsverarbeiter (solidarisch), gegenüber Dritten (Mitarbeitern, Kunden, Lieferanten etc.). Kommt es dabei zu Missbrauch kann dies nicht nur eine folgenschwere Abschaltung zur Folge haben, sondern auch rechtliche Konsequenzen mit Klagen von betroffenen Personen nach sich ziehen…

Lösungsansatz: Sie sind nicht gezwungen den Identitätsprovider des Herstellers zu verwenden und können stattdessen ihr eigenes Identitätsmanagement bereitstellen. Z.B. bietet VMware Workspace ONE mit dem Identity Manager eine Lösung die Sie auch Vorort implementieren können und die Einbindung eines lokalen Active Directory erlaubt. Siehe auch SAML basierte Federated Identity. Die Entscheidung zur CSP Abonnement Lizensierung sollte ggf. in eine herkömmlich VL geändert werden.

Fällt der Privacy Shield – wie schon von Human Rights und Amnesty International als ungültig erklärt – ist es fraglich ob Benutzerbezogene Daten in der Azure Cloud nach EU Recht behandelt werden können! Darüber hinaus darf der Patriot Act nicht ausser Acht gelassen werden.

Auswirkungen auf den Schutz personenbezogener Daten und geistigen Eigentums

Die Bestimmungen des PATRIOT Act erlauben US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen.
Quelle: https://de.wikipedia.org/wiki/USA_PATRIOT_Act

Ein Mittelständischer Betrieb gewährt seinen Mitarbeitern die Nutzung öffentlicher Cloud Speicher wie DropBox, Google Drive, iCloud oder OneDrive zur Ablage von Geschäftsdokumenten. Zusätzlich wird eine Server Instanz von Amazon für eine CRM Anwendung genutzt, die alle Kunden- und Lieferantendaten enthält, neben Marketing und Sales Aufgaben werden auch Analysen für Abwanderungstendenzen und Betrugstatbestände, aber auch neue Zielgruppenmerkmale durchführt. Nebenbei enthält sie eine Statistik über An- und Abmeldezeiten von Benutzern.

Beurteilung: Dieser Fall grenzt aus Datenschutzrechtlichen Perspektiven an grobe Fahrlässigkeit, denn „keine“ der verwendeten Speicherplätze verfügt über ausreichenden Schutz für Geschäftsdaten die auch einen Bezug zu Personen darstellen können. Sie erhalten weder Kontrolle noch eine Benachrichtigung wenn Behörden darauf zugreifen und unterliegen der US amerikanischen Rechtslage, die im massiven Wiederspruch zu EU-Recht steht. Dasselbe gilt auch für das CRM System, wobei hier Data-Mining und Scoring erschwerend wirkt und besonders schützenswürdige Daten enthalten.

Lösungsansatz :Nutzen Sie einen nationalen Serviceanbieter für Speicherdienste (proBeS CS File Services) und Managed Server oder Infrastruktur als Service (IaaS). Lokale Serviceanbieter unterliegen nationalen Gesetzten und unterliegen der identischen Rechtsstaatlichkeit. Darüber hinaus erhalten Sie eine positive Risikobewertung und ihre Infrastruktur erfüllt alle Grundlagen zur Bereitstellung von Privacy und Compliance by Design und Default

In vielen Unternehmen werden Vorort mehrere Server betrieben und mit einer Sicherung, meistens durch Bandlaufwerk mit getrennter Aufbewahrung (Bankschließfach), vor Datenverlust geschützt. Durch ungeklärte Ursache kommt es zu einem folgeschweren Brand, der auch den Serverraum mit allen Komponenten unbrauchbar macht. Der Betrieb kann daher erst nach Neubeschaffung und Integration sowie Wiederherstellung der Systeme aufgenommen werden. Es kommt daher zu einem Betriebsausfall von mehreren Wochen.

Beurteilung: Es wurden verhältnismäßige Vorkehrung zum Schutz vor Datenverlust getroffen, jedoch ist bei einem langfristigen Betriebsausfall mit hohen finanziellen Verlust und Imageschaden zu rechnen.

Lösungsansatz: Eine Disaster Recover Lösung bietet hier angemessen Schutz sowie Redundanz und der Betrieb kann binnen 24 Stunden wiederaufgenommen werden.

Sind Sie für den neuen Umweltschutz vorbereitet?!

Spätestens mit 15.05.2018 sollten Sie sich damit befasst haben, denn das Strafmaß beträgt bis zu 4% des weltweiten Umsatz oder 20 Millionen Euro!

Mit unseren Cloud und Vorort Services sind Sie auf der sicherne Seite

Höchste Ausfallsicherheit durch 100 % Redundanz (Glasfaseranbindung, Klimatisierung, Energie)
Green-IT durch effiziente Nutzung des Energiebedarfs (Brunnenwasser-Kühlungsanlage und Photovoltaik-Fassade)
Anbindung an nationale und internationale Carrier
Modernste Zutrittskontrolle mit Videoüberwachung und Umgebungsüberwachungssystemen
Brandmeldeanlage mit Brandfrühesterkennung
Unlimitierte Computing Ressourcen zum unschlagbaren Preis
Weltweite Verfügbarkeit
Fixe Bandbreite ohne Aufpreis
Fixe Pauschale ohne zusätzliches Nutzungsentgelt

100% Ressourcenschonend
99,9% Verfügbarkeit
55% weniger CO² Emissionen
100% aus dem österreichischen Rechenzentrum
100% Ihr Mehrwert

Kontaktieren Sie uns für ein kostenloses Beratungsgespräch

Letzte Beiträge

Neue Funktionen für Service, Sicherheit und optimales Benutzererlebnis

proBeS Cloud Services2022-05-17T18:18:48+02:00Mai 17th, 2022|Kommentare deaktiviert für Neue Funktionen für Service, Sicherheit und optimales Benutzererlebnis

Informationen zur aktuellen Schwachstelle in LOG4J-LOG4SHELL (CVE-2021-44228)

proBeS Cloud Services2022-03-22T13:14:43+01:00Dezember 13th, 2021|Kommentare deaktiviert für Informationen zur aktuellen Schwachstelle in LOG4J-LOG4SHELL (CVE-2021-44228)

News Blog

Mit Sicherheit proBeS Cloud & Vorort Services