:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/fe/b2fefe2b913b242b4922df21581b84b3/0117915396.jpeg "Angreifer können mit Tricks Audit-Protokolle umgehen und Downloads von SharePoint verheimlichen. Sicherheitsexperten empfehlen Zugriffsereignisse genau zu prüfen und ZTugriffsrechte streng zu kontrollieren. (Bild: spyarm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/6b/666b57a654144848a07e23ca19bb71be/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/e4/e8e48855422afc9bf7964b46e747a734/0117976145.jpeg "Firewalls von Palo Alto sind aktuell Ziel von Cyberattacken. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/d4/33d4d669933def82116dd5f9d5eb5519/0117363411.jpeg "Mit Network Stories für Cato XDR sei es schneller möglich, Probleme mit der Netzwerkqualität und Ausfälle schneller zu identifizieren, zu priorisieren und zu beheben. Hier fasst die generative KI-Engine eine Network Story zusammen. (Bild: Cato Networks)")
:quality(80)/p7i.vogel.de/wcms/98/b8/98b893c8b738ac46c455a779a3297a01/0117115378.jpeg "Innovative Technologien wie GPT und KI erlauben es Unternehmen, agiler, flexibler und effizienter zu handeln; allerdings existieren falsche Vorstellungen insbesondere bei Sicherheits- und Datenschutzaspekten. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/7e/fe7eb08f73b85be7fe7a86c471720e57/0117195447.jpeg "„Das Sicherheitsempfinden für die On-Premises-Lösung im Keller ist ein Trugschluss und die Public Cloud ein sicherer Hafen“, erklärt KPMG-Experte Daniel Wagenknecht im Gastbeitrag. (Bild: frei lizenziert ramicm - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/fe/01/fe01df0a5c7e3ffbe66bead140def48f/0117746777.jpeg "Unternehmen müssen Schwachstellen innerhalb ihrer Software-Lieferketten erkennen und beseitigen. (Bild: © lucadp – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/f5/c7/f5c71ded4332e09cfacab657b1cc8510/0117818281.jpeg "Derzeit gibt es verschiedene Schwachstellen in IBM Db2, einige davon sind als „kritisch“ eingestuft. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/ec/aeecd35745832b76170bef9cbd2bb41d/0117259649.jpeg "Parallels Browser Isolation bietet Echtzeiteinblicke in die Aktivitäten von Benutzern. (Bild: Alludo)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/dc/64dcc5252c21f55457584f61948ca8f0/0117879418.jpeg "Aus wirtschaftlicher Sicht muss bei Budgetkürzungen das gesamte IT-Security-Programm genau unter die Lupe genommen werden. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/1f/f91f40f1e97c7079198f250141e9ca0b/0117877685.jpeg "Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt a.M. und Gastprofessor an der Riga Graduate School of Law in Lettland. Er ist außerdem Keynotespeaker auf der ISX 2024 und der ISSX 2024. (Bild Prof. Kipker:Urban Zintel Photography)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/c8/67c822d9f2b8f66027e4f1ff8e7549ef/0116955915.jpeg "Die Work Recovery Time (WRT) ist eine wichtige Kenngröße eines Disaster-Recovery-Plans
und beschreibt die maximal tolerierbare Arbeitswiederherstellungszeit.
(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit für kritische Cloud-Daten Cloud-Dienste auch im KRITIS-Bereich
Nicht nur die Finanzwirtschaft setzt zunehmend auf die Cloud, auch im Gesundheitswesen kommt sie zum Einsatz. Für diese Cloud-Nutzung gibt es spezielle Sicherheitskonzepte, die auch für Unternehmen jenseits von KRITIS interessant sein können, wenn zum Beispiel zentrale Betriebsgeheimnisse geschützt werden sollen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Laut Cloud-Monitor 2020 nutzten fast drei von fünf der Unternehmen in Deutschland (58 Prozent) Private-Cloud-Anwendungen, zwei von fünf (38 Prozent) setzten auf Public-Cloud-Lösungen. Unternehmen ohne Public-Cloud-Lösungen haben demnach vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten, berichten Bitkom und KPMG.
Vertrauen in Cloud-Dienste wächst
Trotzdem zeigt sich, dass Cloud-Dienste mehr und mehr Vertrauen gewinnen. Selbst Banken und Versicherungen entscheiden sich inzwischen für die Cloud, weil sie dort Sicherheitsvorteile sehen. Damit dies auch für die Public Clouds gilt, müssen spezielle Sicherheitsmaßnahmen ergriffen werden.
Schon vor Jahren hatte zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) in einem Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Anbieter auf zusätzliche Sicherheitsmaßnahmen hingewiesen, wenn die Cloud-Daten einen hohen Schutzbedarf hinsichtlich der Vertraulichkeit oder Verfügbarkeit haben.
Beispiel Gesundheitsdaten
Durch die Corona-Pandemie hat die Bedeutung von Cloud-Diensten insgesamt und sogar im Gesundheitswesen zugenommen. Selbst sensible Gesundheitsdaten sollen und werden zunehmend Cloud-Diensten anvertraut. Aber auch unabhängig von der Pandemie setzt das Gesundheitswesen in der EU auf Cloud-Services. Deshalb hat die EU-Agentur für Cybersicherheit ENISA nun speziell die Cloud-Sicherheit für das Gesundheitswesen betrachtet.
ENISA greift drei Beispiele heraus, bei denen Cloud-Dienste für sensible Patientendaten genutzt werden:
- Elektronische Gesundheitsakte (EHR), also Systeme, die sich auf die Erfassung, Speicherung, Verwaltung und Übertragung von Gesundheitsdaten konzentrieren, wie Patienteninformationen und medizinische Untersuchungsergebnisse,
- Remote Care, eine Untergruppe der Telemedizin, die die Remote-Konsultation von Patienten und Ärzten unterstützt, und
- Cloud-Dienste, die den Betrieb von Medizinprodukten unterstützen, z. B. die Bereitstellung von Daten zu Medizinprodukten für verschiedene Interessengruppen oder zur Geräteüberwachung.
Für jeden dieser Anwendungsfälle werden in dem neuen ENISA-Bericht „Cloud Security for Healthcare Services“ die wichtigsten Faktoren hervorgehoben, die bei der Durchführung der relevanten Risikobewertung durch Gesundheitsorganisationen zu berücksichtigen sind – beispielsweise im Hinblick auf das Risiko für sensible Patientendaten oder die Verfügbarkeit eines medizinischen Dienstes. Der Bericht schlägt auch eine Reihe von Sicherheitsmaßnahmen vor, die von Gesundheitsorganisationen bei der Planung ihrer Umstellung auf Cloud-Dienste umgesetzt werden müssen, z. B. die Einrichtung von Prozessen für das Incident Management, die Definition von Datenverschlüsselungsanforderungen sowie die Gewährleistung der Datenportabilität und Interoperabilität.
Die erhöhten Sicherheitsanforderungen für die Verarbeitung von Gesundheitsdaten in einer Cloud können ein Beispiel dafür sein, wie sich auch sensible, kritische Daten in Cloud-Diensten schützen lassen. Die Cloud-Sicherheit im Bereich Healthcare Services kann ein Vorbild sein für die Absicherung von Cloud-Services, bei denen besonders schutzbedürftige Daten verarbeitet werden sollen. Man denke beispielsweise an Daten zu wichtigen Geschäftsgeheimnissen, die in einer Cloud analysiert werden sollen.
Was zu einer erhöhten Cloud-Sicherheit beiträgt
Betrachtet man die Empfehlungen von ENISA für die Cloud-Sicherheit im Gesundheitswesen, findet man zum Beispiel folgende Maßnahmen, die auch bei erhöhtem Schutzbedarf in anderen Branchen sinnvoll sein können:
- Informationen sollten gemäß der Risikobewertung oder der Folgenabschätzung nach Datenschutz-Grundverordnung (DSGVO) geschützt werden.
- Betroffene müssen informiert werden, wenn ihre Daten einem Sicherheitsvorfall ausgesetzt waren.
- Stellen Sie sicher, dass die gesetzlichen Meldepflichten erfüllt sind.
- Stellen Sie sicher, dass die Kontaktperson beim Cloud-Service-Anbieter rund um die Uhr erreichbar ist und die Antwort innerhalb einer vordefinierten Zeit garantiert ist.
- Alle erforderlichen Maßnahmen zur Sicherstellung der Datenlöschung sollten vorhanden sein und in einer Richtlinie dokumentiert sein (einschließlich technischer Mittel zur Unterstützung von Daten, die in mehreren Systemen gespeichert sind). Die Richtlinie sollte auch Fälle von Datenreplikation (Speicherung an mehreren Standorten) enthalten, was bedeuten würde, die Rückverfolgung der Daten zu ermöglichen, um eine vollständige Löschung sicherzustellen. Eine clientseitige Verschlüsselung im Vergleich zur serverseitigen Verschlüsselung könnte eine Lösung dafür sein.
- Stellen Sie sicher, dass Daten bei Sicherung und Datenübertragung verschlüsselt sind.
- Achten Sie auf clientseitige Verschlüsselung.
- Die Zwei-Faktor-Authentifizierung sollte obligatorisch sein
- Stellen Sie sicher, dass das Netzwerk vor Denial-of-Service-Angriffen geschützt ist.
Auch kritische Bereiche können sicher in die Cloud
Es zeigt sich: Cloud-Dienste und darunter auch Public-Cloud-Dienste können bei entsprechender Sicherheitskonzeption auch für kritische und sensible Anwendungen genutzt werden.
Hier kommt auch Confidential Computing ins Spiel, das zum Beispiel bei der Analyse von Gesundheitsdaten und anderen schutzbedürftigen Daten in der Cloud zum Einsatz kommen kann. Confidential Computing ermöglicht den Schutz von Daten während ihrer Verwendung, zusätzlich zum Schutz während der Speicherung und der Übertragung. Die Sicherheit wird dadurch erreicht, dass die Daten während der Verarbeitung in einer hardwarebasierten, vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) isoliert werden. Eine TEE-Hardware stellt einen abgesicherten Container bereit und schützt so einen Teil des Prozessors und Speichers der Hardware.
Man kann somit viel tun, um das steigende Vertrauen in Cloud-Dienste zu rechtfertigen, im Gesundheitswesen und in anderen schutzbedürftigen Bereichen der Datenverarbeitung.
(ID:47378886)
:quality(80)/p7i.vogel.de/wcms/46/93/4693179c743a76e5621f61ebe234c176/0112115071.jpeg "HIPAA ist ein US-amerikanisches Gesetz zum Schutz von Daten des Gesundheitswesens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/d9/ad/d9adcb87007473334c6951626b7cef60/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")