Am 5. Juli hat das Parlament der Europäischen Union der EU-Kommission geraten, das sogenannte EU-US Privacy Shield auszusetzen. Damit erneuert und verhärtet das EU-Parlament seine Position zu den im Privacy Shield vorgesehenen Datenschutz-Richtlinien für US-Unternehmen, die Daten von EU-Bürgern verarbeiten und speichern. Schon im Oktober letzten Jahres hatte das EU-Parlament eine Liste mit 10 Empfehlungen veröffentlicht, die auf Lücken und Schwächen im Privacy Shield hinwiesen.
In der Empfehlung an die EU-Kommission wies das Parlament besonders darauf hin, dass die US-Administration es bisher nicht geschafft hat, zwei Kernelemente des Privacy Shields umzusetzen. So gibt es beispielsweise noch immer keinen Ombudsmann, der das U.S. Privacy Civil Liberties Oversight Board (PCLOB) führt, geschweige denn gibt es Mitglieder in diesem Board. Damit fehlt EU-Bürgern ein Ansprechpartner im Falle von Datenschutzverletzungen und somit die Möglichkeit, den eigenen Rechten auch in den USA überhaupt Gehör zu verschaffen.
Privacy Shield löst Safe Harbor ab
Zur Erinnerung: Privacy Shield wurde als Ersatz für das Safe Harbor-Abkommen eingeführt. Safe Harbor kippte, weil der Europäische Gerichtshof 2015 der Klage des österreichischen Juristen Maximilian Schrems stattgegeben hatte. Die Safe Harbor-Regeln sollten einen ’sicheren Datenhafen‘ für sensible Daten auch außerhalb der EU schaffen, damit diese Daten zum Beispiel in den USA weiterverarbeitet werden konnten. Ausgelöst durch die Snowden-Veröffentlichungen (insbesondere PRISM) wurde dieses Abkommen überprüft und schließlich durch Privacy Shield ersetzt.
EU-Parlament bestätigt Einschätzung: Sensible Daten sind bei US-Firmen nicht sicher
Wie bereits in meinem letzten Blog-Beitrag erläutert, sollten sensible aber auch sicherheitsrelevante Daten eines Unternehmens Europa nicht mehr verlassen. Die Einschätzung des Parlaments verstärkt die Dringlichkeit für den Datenschutz. Sicherheitsrelevante Daten wie Intellectual Property oder administrative Zugänge wie Domain-Passwörter sollten nicht zu Cloud-Anbietern in die USA gegeben werden. Der Cloud Act und Privacy Shield sind nicht vereinbar.
Mehr Information zur Resolution des EU-Parlaments ist hier veröffentlicht, eine Analyse finden Sie hier (in Englisch).
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2018-07-14 12:06:182018-07-16 12:38:53Nach Privacy Shield: EU-Parlament rät erneut zur Aussetzung des Datentransfers in die USA
Im März dieses Jahr hat der US-Kongress den sogenannten Cloud Act verabschiedet. Dieser erlaubt US-Behörden weltweiten Zugriff auf Daten von US-Unternehmen – auch wenn deren Server in der EU stehen. Für Unternehmen, die Daten bei US-Dienstleistern speichern, steht damit auch ihre IT-Sicherheit auf dem Spiel.
Der sogenannte Cloud Act (Clarifying Lawful Overseas Use of Data Act, deutsch: Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland) verpflichtet US-Unternehmen Daten unabhängig vom Speicherort auf Anfrage an amerikanische Behörden herauszugeben. Die US-Gesetzgebung stellt damit amerikanisches Recht in einem EU-Mitgliedsstaat über EU-Recht. US-Firmen befinden sich zukünftig also in einem Dilemma: Verweigern sie den Zugriff, brechen sie amerikanisches Recht und umgekehrt europäisches.
Microsoft hat gekämpft und verloren
Einer der Hintergründe der Entscheidung war der Fall Microsoft. Die Angelegenheit reicht bis 2013 zurück. Damals ermittelte das US-Justizministerium wegen Drogenkriminalität und verlangte von Microsoft Zugriff auf das E-Mail-Konto eines Verdächtigen. Da der Server mit den Daten jedoch in Irland stand, erklärte Microsoft den Durchsuchungsbeschluss für ungültig. Es kam zu einem Prozess, den Microsoft in erster Instanz verlor und in zweiter Instanz gewann. Aufgrund des neuen Cloud Act wurde dieser Fall nun aber für erledigt erklärt. Wie eine akzeptable Lösung zwischen den USA und der EU beziehungsweise den einzelnen Mitgliedstaaten in diesem Dilemma aussehen kann, wird momentan noch diskutiert.
Sensible Daten sind bei US-Firmen nicht mehr sicher
Was bedeutet das nun aber für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen? In erster Linie muss ihnen klar sein, dass eine echte Compliance zur EU-DSGVO hieran scheitern kann. Einen Schritt weiter gedacht, können US-Behörden durch den Cloud Act aber auch geradezu willkürlich Zugriff auf sämtliche Daten eines Unternehmens erlangen, die bei einem US-amerikanischen Partner oder Dienstleister gespeichert sind – dies umfasst also auch Geschäfts- und Betriebsgeheimnisse oder Informationen über getroffene IT-Sicherheitsmaßnahmen.
Sicherheitsrelevante Daten sollten das Unternehmen nicht verlassen
Unternehmen, die IT-Sicherheitsdienstleistungen, wie etwa Schwachstellenmanagement, von US-Anbietern beziehen und sensible Security-Daten auch bei diesen speichern, sollten daher jetzt handeln. Für größtmögliche Sicherheit sollten sie mindestens zu einem europäischen Partner wechseln, der Daten ausschließlich in Rechenzentren innerhalb der EU speichert. Letztlich stellt sich dabei auch die grundlegende Frage, ob sicherheitsrelevante Daten das Unternehmen überhaupt verlassen sollten – oder müssen. Denn auf dem Markt gibt es durchaus IT-Security-Dienstleister, deren Lösungen ausschließlich innerhalb der Unternehmens-IT arbeiten und Daten weder in die Cloud noch zum Anbieter übertragen.
Ein Beispiel dafür ist unser Greenbone Security Manager. Er scannt IT-Netzwerke auf Schwachstellen und leitet Daten und Reports ausschließlich innerhalb des sicheren Unternehmens-Netzwerks weiter.
Cloud Act fordert zum Handeln auf
Der Cloud Act zeigt einmal mehr, dass dem Thema Datenschutz in den USA ein wesentlich anderer Stellenwert zukommt als in Europa: Während die Europäer Datenschutz als ein Menschenrecht ansehen, ist es in den Vereinigten Staaten „lediglich“ ein Bürgerrecht – das sich demzufolge auch nur auf US-Amerikaner bezieht. In der amerikanischen Gesetzgebung werden die Interessen europäischer Bürger also auch in Zukunft wenig bis gar keine Berücksichtigung finden. Darauf müssen sich Unternehmen einstellen. Sie sollten den Cloud Act daher zum Anlass nehmen und sensible Daten außerhalb des Zugriffsbereichs amerikanischer Behörden bringen. Dies kann etwa durch einen Wechsel zu europäischen oder deutschen Dienstleistern geschehen. Der Königsweg im Bereich IT-Sicherheit ist jedoch Lösungen zu wählen, bei denen sensible Daten das Unternehmen gar nicht erst verlassen.
Am Puls der Zeit und noch ein Stück weiter: Im hauptstädtischen Flair fand die Greenbone Anwenderkonferenz Security Transparent in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.
„Von Cyber Security zu Cyber Resilience“ – Das war der Tenor unserer diesjährigen Anwenderkonferenz. Zahlreiche Teilnehmer und Sprecher tauschten sich über aktuelle und zukünftige IT-Sicherheitsthemen aus und lieferten hochwertige Diskussionsbeiträge.
Vortrag Polizeihauptkommissar Markus Böger
Dabei war es die Bandbreite an Sektoren, die den Konferenzbesuchern dieses Jahr einen besonders breiten Erfahrungshorizont bot: Teilnehmer und Sprecher aus Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation trugen zu einem spannenden Erfahrungsaustausch bei und wagten Ausblicke in die Zukunft der IT Sicherheit.
Vor Beginn der Workshops legte Dirk Schrader, CMO, in einer Keynote spannende Aspekte des Wandels von Cyber Security hin zu Cyber Resilience dar. Im Anschluss dazu konnten die Teilnehmer im Turnus an fünf unterschiedlichen Workshops teilnehmen:
Moderation: Martin Herfurt, Professional Services Team, Greenbone
Wir bedanken uns bei allen Teilnehmern für ihr Kommen und freuen und bereits auf das nächste Jahr, wenn es wieder heißt: alle Karten auf den Tisch! Bei der Security Transparent 2019. Die Präsentationen können Sie mit einem Klick auf den Link kostenlos herunterladen.
Ihr Greenbone-Team
https://www.greenbone.net/wp-content/uploads/Vortrag-Dirk.jpg10801920Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2018-05-16 13:45:482018-05-24 16:05:44Security Transparent 2018 – Vielen Dank an alle Teilnehmer!
Nach Privacy Shield: EU-Parlament rät erneut zur Aussetzung des Datentransfers in die USA
/in Blog /von Dirk SchraderAm 5. Juli hat das Parlament der Europäischen Union der EU-Kommission geraten, das sogenannte EU-US Privacy Shield auszusetzen. Damit erneuert und verhärtet das EU-Parlament seine Position zu den im Privacy Shield vorgesehenen Datenschutz-Richtlinien für US-Unternehmen, die Daten von EU-Bürgern verarbeiten und speichern. Schon im Oktober letzten Jahres hatte das EU-Parlament eine Liste mit 10 Empfehlungen veröffentlicht, die auf Lücken und Schwächen im Privacy Shield hinwiesen.
In der Empfehlung an die EU-Kommission wies das Parlament besonders darauf hin, dass die US-Administration es bisher nicht geschafft hat, zwei Kernelemente des Privacy Shields umzusetzen. So gibt es beispielsweise noch immer keinen Ombudsmann, der das U.S. Privacy Civil Liberties Oversight Board (PCLOB) führt, geschweige denn gibt es Mitglieder in diesem Board. Damit fehlt EU-Bürgern ein Ansprechpartner im Falle von Datenschutzverletzungen und somit die Möglichkeit, den eigenen Rechten auch in den USA überhaupt Gehör zu verschaffen.
Privacy Shield löst Safe Harbor ab
Zur Erinnerung: Privacy Shield wurde als Ersatz für das Safe Harbor-Abkommen eingeführt. Safe Harbor kippte, weil der Europäische Gerichtshof 2015 der Klage des österreichischen Juristen Maximilian Schrems stattgegeben hatte. Die Safe Harbor-Regeln sollten einen ’sicheren Datenhafen‘ für sensible Daten auch außerhalb der EU schaffen, damit diese Daten zum Beispiel in den USA weiterverarbeitet werden konnten. Ausgelöst durch die Snowden-Veröffentlichungen (insbesondere PRISM) wurde dieses Abkommen überprüft und schließlich durch Privacy Shield ersetzt.
EU-Parlament bestätigt Einschätzung: Sensible Daten sind bei US-Firmen nicht sicher
Wie bereits in meinem letzten Blog-Beitrag erläutert, sollten sensible aber auch sicherheitsrelevante Daten eines Unternehmens Europa nicht mehr verlassen. Die Einschätzung des Parlaments verstärkt die Dringlichkeit für den Datenschutz. Sicherheitsrelevante Daten wie Intellectual Property oder administrative Zugänge wie Domain-Passwörter sollten nicht zu Cloud-Anbietern in die USA gegeben werden. Der Cloud Act und Privacy Shield sind nicht vereinbar.
Mehr Information zur Resolution des EU-Parlaments ist hier veröffentlicht, eine Analyse finden Sie hier (in Englisch).
US Cloud Act gefährdet IT-Sicherheit
/in Blog /von Dirk SchraderIm März dieses Jahr hat der US-Kongress den sogenannten Cloud Act verabschiedet. Dieser erlaubt US-Behörden weltweiten Zugriff auf Daten von US-Unternehmen – auch wenn deren Server in der EU stehen. Für Unternehmen, die Daten bei US-Dienstleistern speichern, steht damit auch ihre IT-Sicherheit auf dem Spiel.
Der sogenannte Cloud Act (Clarifying Lawful Overseas Use of Data Act, deutsch: Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland) verpflichtet US-Unternehmen Daten unabhängig vom Speicherort auf Anfrage an amerikanische Behörden herauszugeben. Die US-Gesetzgebung stellt damit amerikanisches Recht in einem EU-Mitgliedsstaat über EU-Recht. US-Firmen befinden sich zukünftig also in einem Dilemma: Verweigern sie den Zugriff, brechen sie amerikanisches Recht und umgekehrt europäisches.
Microsoft hat gekämpft und verloren
Einer der Hintergründe der Entscheidung war der Fall Microsoft. Die Angelegenheit reicht bis 2013 zurück. Damals ermittelte das US-Justizministerium wegen Drogenkriminalität und verlangte von Microsoft Zugriff auf das E-Mail-Konto eines Verdächtigen. Da der Server mit den Daten jedoch in Irland stand, erklärte Microsoft den Durchsuchungsbeschluss für ungültig. Es kam zu einem Prozess, den Microsoft in erster Instanz verlor und in zweiter Instanz gewann. Aufgrund des neuen Cloud Act wurde dieser Fall nun aber für erledigt erklärt. Wie eine akzeptable Lösung zwischen den USA und der EU beziehungsweise den einzelnen Mitgliedstaaten in diesem Dilemma aussehen kann, wird momentan noch diskutiert.
Sensible Daten sind bei US-Firmen nicht mehr sicher
Was bedeutet das nun aber für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen? In erster Linie muss ihnen klar sein, dass eine echte Compliance zur EU-DSGVO hieran scheitern kann. Einen Schritt weiter gedacht, können US-Behörden durch den Cloud Act aber auch geradezu willkürlich Zugriff auf sämtliche Daten eines Unternehmens erlangen, die bei einem US-amerikanischen Partner oder Dienstleister gespeichert sind – dies umfasst also auch Geschäfts- und Betriebsgeheimnisse oder Informationen über getroffene IT-Sicherheitsmaßnahmen.
Sicherheitsrelevante Daten sollten das Unternehmen nicht verlassen
Unternehmen, die IT-Sicherheitsdienstleistungen, wie etwa Schwachstellenmanagement, von US-Anbietern beziehen und sensible Security-Daten auch bei diesen speichern, sollten daher jetzt handeln. Für größtmögliche Sicherheit sollten sie mindestens zu einem europäischen Partner wechseln, der Daten ausschließlich in Rechenzentren innerhalb der EU speichert. Letztlich stellt sich dabei auch die grundlegende Frage, ob sicherheitsrelevante Daten das Unternehmen überhaupt verlassen sollten – oder müssen. Denn auf dem Markt gibt es durchaus IT-Security-Dienstleister, deren Lösungen ausschließlich innerhalb der Unternehmens-IT arbeiten und Daten weder in die Cloud noch zum Anbieter übertragen.
Ein Beispiel dafür ist unser Greenbone Security Manager. Er scannt IT-Netzwerke auf Schwachstellen und leitet Daten und Reports ausschließlich innerhalb des sicheren Unternehmens-Netzwerks weiter.
Cloud Act fordert zum Handeln auf
Der Cloud Act zeigt einmal mehr, dass dem Thema Datenschutz in den USA ein wesentlich anderer Stellenwert zukommt als in Europa: Während die Europäer Datenschutz als ein Menschenrecht ansehen, ist es in den Vereinigten Staaten „lediglich“ ein Bürgerrecht – das sich demzufolge auch nur auf US-Amerikaner bezieht. In der amerikanischen Gesetzgebung werden die Interessen europäischer Bürger also auch in Zukunft wenig bis gar keine Berücksichtigung finden. Darauf müssen sich Unternehmen einstellen. Sie sollten den Cloud Act daher zum Anlass nehmen und sensible Daten außerhalb des Zugriffsbereichs amerikanischer Behörden bringen. Dies kann etwa durch einen Wechsel zu europäischen oder deutschen Dienstleistern geschehen. Der Königsweg im Bereich IT-Sicherheit ist jedoch Lösungen zu wählen, bei denen sensible Daten das Unternehmen gar nicht erst verlassen.
Einen Überblick zum Cloud Act gibt es hier im iX-Artikel.
Security Transparent 2018 – Vielen Dank an alle Teilnehmer!
/in Blog, News /von Dirk SchraderAm Puls der Zeit und noch ein Stück weiter: Im hauptstädtischen Flair fand die Greenbone Anwenderkonferenz Security Transparent in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.
„Von Cyber Security zu Cyber Resilience“ – Das war der Tenor unserer diesjährigen Anwenderkonferenz. Zahlreiche Teilnehmer und Sprecher tauschten sich über aktuelle und zukünftige IT-Sicherheitsthemen aus und lieferten hochwertige Diskussionsbeiträge.
Vortrag Polizeihauptkommissar Markus Böger
Dabei war es die Bandbreite an Sektoren, die den Konferenzbesuchern dieses Jahr einen besonders breiten Erfahrungshorizont bot: Teilnehmer und Sprecher aus Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation trugen zu einem spannenden Erfahrungsaustausch bei und wagten Ausblicke in die Zukunft der IT Sicherheit.
Den Auftakt machte Polizeihauptkommissar Markus Böger vom Verfassungsschutz Niedersachsen. Er erläuterte dem Publikum, welche Risiken die vernetzte Welt im Hinblick auf Wirtschaftsspionage birgt. Jan-Oliver Wagner, CEO, gab nach einer kurzen Kaffeepause Einblicke in derzeitige Entwicklungen bei Greenbone, gefolgt von Lukas Grunwald, CTO, der über „Vulnerability Management in SCADA- und ICS-Umgebungen“ referierte.
Vor Beginn der Workshops legte Dirk Schrader, CMO, in einer Keynote spannende Aspekte des Wandels von Cyber Security hin zu Cyber Resilience dar. Im Anschluss dazu konnten die Teilnehmer im Turnus an fünf unterschiedlichen Workshops teilnehmen:
Workshop 1: „Etablierung eines ISO 27001-konformen Schwachstellenmanagements als Servicedienstleister“
Moderation: Tim Schäfers, OEDIV, Dr. Oetker IT
Workshop 2: „Wie Sie alle Teil meiner Sicherheitslandschaft sind”
Moderation: Henry Hughes, Jisc, Oxford, UK
Workshop 3: „Von der Sicherheitslücke zum Fix – Wie Unternehmen mit Sicherheitslücken (nicht) umgehen sollen”
Moderation: Sebastian Neef, IT Solutions Neef
Workshop 4: „Projekt zur Ermittlung der von einer Greenbone Appliance generierten Last und auch der Unterschiede der Scanresultate zwischen verschiedenen Scankonfigurationen“
Moderation: Ingo Bahn, gematik
Workshop 5: „Einführung in Vulnerability Management„
Moderation: Martin Herfurt, Professional Services Team, Greenbone
Wir bedanken uns bei allen Teilnehmern für ihr Kommen und freuen und bereits auf das nächste Jahr, wenn es wieder heißt: alle Karten auf den Tisch! Bei der Security Transparent 2019. Die Präsentationen können Sie mit einem Klick auf den Link kostenlos herunterladen.
Ihr Greenbone-Team