[datensicherheit.de, 21.03.2025] Laut einer aktuellen Stellungnahme der Eperi GmbH warnen Norwegen und Dänemark bereits vor „Cloud“-Service-Anbietern aus den USA. Dies werfe nun die Frage auf, ob auch Deutschland und weitere europäische Länder diesem Beispiel folgen werden, wann Regeln zum Datenschutz verschärft werden und wie Unternehmen diese Hürde meistern können.

Verarbeitung und Speicherung sensibler Daten in US-Clouds könnte gemäß europäischer Gesetzgebung unzulässig werden

Dass zunehmend mehr Unternehmen und Organisationen viele ihrer sensiblen Daten bei US-basierten „Cloud“-Anbietern speichern und verarbeiten, sei mangels europäischer Alternativen Fakt. Aktuelle politische Trends in den USA veranlassten jedoch europäische Sicherheitsbehörden zu deutlichen Warnungen, da die Daten auch dort nicht mehr sicher sein könnten.

„Im schlimmsten Fall könnte die Verarbeitung und Speicherung sensibler Daten in den US-Clouds sogar gemäß der europäischen Sicherheitsgesetzgebung unzulässig werden!“ Die proaktive Lösung des Problems könne eine funktionserhaltende Verschlüsselung sensibler Daten sein – egal für welche „Cloud“ und egal wo auf der Welt.

Strategie vorbereiten, falls Datentransfer in US-„Clouds“ plötzlich nicht mehr zulässig ist

Europäische Datenschutzexperten seien besorgt – und mit Norwegen und Dänemark schlagen demnach die ersten beiden Länder offiziell Alarm: Die norwegische Datenschutzbehörde habe die klare Empfehlung ausgesprochen, dass Unternehmen eine Strategie vorbereiten sollten, wie sie mit US-amerikanischen „Cloud“-Diensten umgehen, falls der Datentransfer in die USA plötzlich nicht mehr zulässig werde.

Eine ähnliche offizielle Empfehlung der dänischen Datenschutzbehörde nur einige Tage zuvor betone, dass sich Unternehmen nicht auf den aktuellen Angemessenheitsbeschluss verlassen dürften, da die rechtliche Lage viel zu unsicher sei.

Unternehmen sollten sich nicht auf anhaltende Rechtssicherheit für Nutzung von US-„Cloud“-Diensten verlassen

Dass deutsche Datenschutzbehörden mit einer vergleichbaren Warnung nachziehen, sei wahrscheinlich: „Die deutschen Aufsichtsbehörden standen in der Vergangenheit bei vielen Risikoeinschätzungen und Datenschutzinitiativen Seite an Seite mit den europäischen Partnerstaaten.“

Bereits jetzt ließen Aufsichtsbehörden keinen Zweifel daran, dass deutsche Unternehmen sich nicht auf langfristige Rechtssicherheit beim Einsatz von US-„Cloud“-Diensten verlassen sollten. Sie hätten in der Vergangenheit immer wieder betont, dass der Schutz personenbezogener Daten oberste Priorität habe – auch wenn dies für Unternehmen unbequem in der Umsetzung sei.

Gesamteuropäische „Cloud“-Problematik

Die jüngsten Warnungen der beiden nordeuropäischen Länder begründeten sich auf einem zentralen und für gesamt Europa existenten Risiko: „Sollten sich europäische Unternehmen zu stark an US-,Cloud’-Dienste binden, stehen diese bei einem plötzlichen Wegfall der Rechtsgrundlage vor einer Herausforderung, die sowohl die Sicherheit der Unternehmen, aber auch deren Handlungsfähigkeit elementar stören kann!“

Das Problem liege darin, dass für viele US-„Cloud“-Dienste keine europäischen Alternativen existierten. Beschlüsse oder regulatorische Entscheidungen, welche den Transfer sensibler Daten in die USA untersagten, würden die Nutzung vieler „Cloud“-Dienste, auf die Unternehmen im Tagesgeschäft angewiesen seien, abrupt unterbrechen. Mit einem Verbot der Datenflüsse würden Kritische Arbeitsprozesse unterbrochen, was in den meisten Fällen zu Betriebsunterbrechungen und in Folge zu Reputationsschäden führen könne.

Kurzfristige Konsequenzen von „Cloud“-Neuregulierungen wären gravierend

„Sollten offizielle Regelungen und Handlungsanweisungen in den europäischen Staaten oder aus Brüssel heraus konkretisiert und in einem neuen Regelwerk manifestiert werden, müssen viele Unternehmen sehr kurzfristig handeln – insbesondere dann, wenn geschäftskritische Prozesse ausschließlich mit ,Cloud’-Diensten von US-Unternehmen durchgeführt werden.“ Die kurzfristigen Konsequenzen derartiger Neuregulierungen seien gravierend. Dazu gehörten

• die sofortige Neubewertung bestehender Verträge mit US-„Cloud“-Anbietern
• die Risikobewertungen für alle Datenflüsse in die USA
• das Erstellen und Umsetzen von Plänen für die Gewährleistung der Datensicherheit
• ein enorm hoher Zeitdruck, da Datenschutzbehörden in solchen Fällen kurze Fristen setzten
• und die wesentlich strengere Prüfung bei künftigen „Cloud“-Projekten, ob diese den Datenschutzanforderungen entsprechen.

Vertrauen in „Cloud“- und IT-Partner in den USA steht auf der Kippe

Warten sei in der aktuellen Abhängigkeitssituation keine gute Option. Das weitreichende und zu einem Teil berechtigte Vertrauen in die „Cloud“- und IT-Partner in den USA stehe im Moment jedoch zunehmend auf der Kippe und die Wahrscheinlichkeit, dass sich die europäischen Datenschutzorgane zugunsten der Sicherheit der europäischen Wirtschaft aussprechen, sei groß.

Noch hätten die Unternehmen gute Chancen, die Weichen zu ihren Gunsten zu stellen. „In einem ersten Schritt sorgt eine Dateninventur für das valide Wissen darüber, welche Daten mit welchen Grad an Sensibilität wo verarbeitet und gespeichert werden.“ Darüber hinaus gelte es zu prüfen, welche Prozesse unausweichlich mit Anbietern aus den USA durchgeführt werden müssten und welche vielleicht anders organisiert oder mit europäischen Anbietern umgesetzt werden könnten.

Danach folgten möglichst rasch die Strategie und konkrete Pläne, wie sich Kritische Daten kurzfristig schützen ließen. Dabei stehe immer die maximale Datensouveränität im Vordergrund, bei der mit geeigneten Technologien und Diensten sichergestellt sei, dass der Schutz und der Zugriff auf Unternehmensdaten stets unter eigener Kontrolle blieben.

Verschlüsselung bei „Cloud“-Nutzung erfüllt Regulatorik und Compliance auch unter besonderen Umständen

„Da es in einigen Fällen an Alternativen und Optionen zu den US-basierten ,Cloud’-Anwendungen und -Diensten mangelt und keine kurzfristigen Ausweichmöglichkeiten bestehen, ist die gezielte Verschlüsselung ein probates und vor allem sicheres Mittel, um die Regulatorik und Compliance einzuhalten.“ Bei einer geeigneten Datenverschlüsselung werde sichergestellt, dass der Klartext ausschließlich im Unternehmen verbleibe – auch wenn die Speicherung und Datenverarbeitung weiterhin bei nicht europäischen Anbietern liege. „Wichtig dabei ist, dass die Unternehmensdaten bereits vor dem Upload in die ,Cloud’ verschlüsselt werden. Erst damit ist der Zugriff auf die Daten durch Dritte ausgeschlossen.“

Eine die Kriterien einer Regulatorik und der Compliance erfüllende Datenverschlüsselung sei allerdings nur dann hilfreich, wenn mit den Daten in der „Cloud“ und in den Applikationen trotz Verschlüsselung uneingeschränkt gearbeitet werden kann. Daher sorge ausschließlich eine funktionserhaltende Verschlüsselung für Abhilfe und Sicherheit zugleich.

Unternehmen sollten bei Auswahl einer „Cloud“-Verschlüsselungslösung auf besondere Merkmale achten

Verschlüsselung vor der „Cloud“
Daten verlassen das Unternehmen nur in verschlüsselter Form!

Schlüsselkontrolle
Nur das Unternehmen besitzt die Schlüssel – kein „Cloud“-Anbieter, keine Behörde, kein Partner!

Volle Funktionalität
Trotz Verschlüsselung bleiben Funktionen wie Suche, Sortierung und Kollaboration erhalten!

Flexible Anwendbarkeit
Kompatibel mit „Microsoft 365“, „Salesforce“ und fast jeder weiteren (auch hybriden) „Cloud“-Umgebung!

Die erfolgten Warnungen aus Norwegen und Dänemark seien ein deutliches Signal: „Es ist davon auszugehen, dass weitere europäische Länder dem Beispiel folgen oder auch konkrete Verbote und Regeln für das ungeschützte Übertragen sensibler Daten in die USA oder andere Regionen der Welt in Kraft treten werden.“ Die abschließenden Empfehlung: „Unternehmen, die sich jetzt unabhängig machen und eine echte Datensouveränität etablieren, brauchen keine Unterbrechung der Betriebsabläufe und Prozesse aufgrund strengeren Regeln zu fürchten.“

Weitere Informationen zum Thema:

EPERI, 12.03.2025
Norwegen und Dänemark warnen vor US-Clouds: Wann folgt Deutschland? / Europäische Datenschutzbehörden schlagen Alarm: Erfahren Sie, warum US-Clouds ein Risiko sind und wie Unternehmen ihre Daten schützen können

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

datensicherheit.de, 10.06.2024
Cloud-Sicherheit unter sich verändernden Rahmenbedingungen / Wie man einen „Vergnügungspark“ sichert

datensicherheit.de, 13.09.2023
Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu / Massives Datenwachstum, steigende Kosten für Cloud-Dienste und der Wunsch nach mehr Flexibilität geben dem Hosting von Daten und Workloads vor Ort neuen Auftrieb

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 04.01.2025] Die Check Point Software Technologies Ltd. geht in einer aktuellen Stellungnahme auf eine schwere Cyber-Attacke gegen das US-Finanzministerium (US Treasury) ein. US-Amerikanische Behörden haben demnach bekanntgegeben, dass mit China in Verbindung stehende Hacker Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt hätten, um Dokumente zu stehlen – Beamte des US-Finanzministeriums hätten in einem Schreiben diese Attacke als „großen Vorfall“ („major incident“) bezeichnet. Die Untersuchung sei noch im Gange, aber Check Point kann nach eigenen Angaben bereits jetzt einige wichtige Details, Erkenntnisse und Abhilfemaßnahmen auf der Grundlage der verfügbaren Fakten skizzieren. Diese Sicherheitsverletzung werfe außerdem ein Schlaglicht auf die zunehmende Häufigkeit von Cyber-Angriffen. Nach Erkenntnissen von Check Point Research (CPR) seien Organisationen in den USA im November 2024 durchschnittlich 1.345 Cyber-Angriffen pro Woche ausgesetzt gewesen. Regierungsbehörden gehörten zu den drei Branchen, welche am häufigsten das Ziel von Ransomware gewesen seien.

2 spezifische Schwachstellen bei Cyber-Angriff auf US Treasury ausgenutzt

Berichten zufolge seien bei diesem Angriff zwei spezifische Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt worden:

CVE-2024-12356 (CVSS 9.8)
Eine Kritische Sicherheitslücke in der „BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS)“-Software, welche es Angreifern ermögliche, sich über nicht ordnungsgemäß validierte API-Endpunkte einen Zugang zu verschaffen.

CVE-2024-12686 (CVSS 6.6)
Ein zusätzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzten.

Zugriff auf Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums

„Es wird berichtet, dass die Angreifer einen digitalen Signierschlüssel für die Software erworben haben, der es ihnen ermöglichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben.“ Auf diese Weise hätten sie auf nicht als geheim klassifizierte Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums zugreifen und sensible, aber nicht als geheim klassifizierte Daten kompromittieren können.

Organisationen überall auf der Welt, welche dieselbe Software einsetzen, seien dem Risiko ähnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt.

Check Point empfiehlt, „sofort Maßnahmen zu ergreifen, um die relevanten Schwachstellen zu schließen und eine widerstandsfähige Cyber-Abwehr zu gewährleisten, um weitere Angriffe abzuwehren, wobei der Schwerpunkt auf der Prävention liegt“.

Lehren aus Cyber-Angriff auf US-Finanzministerium

Sicherheitsfachleute könnten sich auf das folgende Defense-in-Depth-Framework stützen, um kurzfristig einen Reaktionsplan für die BeyondTrust-Schwachstellen zu erstellen und gleichzeitig langfristig eine präventiv ausgerichtete, umfassende und effektive Cyber-Position aufzubauen:

Patch-Verwaltung und Behebung von Sicherheitslücken

• Umgehende Maßnahmen: Sicherstellen, dass jede Software und Tools von Drittanbietern regelmäßig aktualisiert werden. Auf Updates und Hinweise der Anbieter achten!
• Verwendung eines Systems zur Verwaltung von Sicherheitslücken, um Kritische CVEs zu identifizieren und zu priorisieren.
• Implementierung eines Programms zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.

Zero-Trust-Architektur

• Begrenzung der Vertrauensstufen für Software-Integrationen.
• Kontinuierliche Überprüfung von Benutzern und Geräten und Einschränkung des Zugriffs, auch nach der ersten Authentifizierung.
• Implementierung einer Multi-Faktor-Authentifizierung (MFA), auch von bekannten Geräten für interne und externe Anwendungen und Portale.

Privileged Access Management (PAM)

• Verwendung robuster PAM-Lösungen, um strenge Kontrollen für den Zugriff auf Kritische Systeme durchzusetzen.
• Häufiges Rotieren, Überwachen und Prüfen der Verwendung privilegierter Berechtigungsnachweise.

Sicherheit der Daten

• Verschlüsselung der Unternehmensdokumente, so dass die darin enthaltenen Daten nicht zugänglich sind, wenn sie kompromittiert werden oder durchsickern.

Sicherheit digitaler Zertifikate

• Schutz von Signierschlüsseln und anderem sensiblen kryptografischen Material sicherstellen.
• Implementierung von Hardware-Sicherheitsmodulen (HSMs) für die Schlüsselspeicherung, um Diebstahl oder Missbrauch zu verhindern.

Endpunkt-Erkennung und -Reaktion (EDR)

• Einsatz von EDR-Tools zur Überwachung ungewöhnlicher Aktivitäten auf Endgeräten.
• Untersuchung von und Reaktion auf Anomalien, insbesondere auf Systemen mit privilegierter Software.

Verhaltensanalyse und Bedrohungsanalyse

• Durchführung einer Bewertung des Security Information and Events Management-Security Operations Center (SIEM-SOC) zur Erkennung und Behebung von Risiken.
• Implementierung einer Verhaltensüberwachung, um ungewöhnliche API-Aufrufe oder unerwartetes Benutzerverhalten zu erkennen.
• Nutzen von Threat-Intelligence-Feeds, um sich über aktive Exploits zu informieren, die auf ähnliche Software zielen.

Sicherheit der Lieferkette

• Wahl eines Sicherheitsanbieters, der digitales Vertrauen und eine umgehende Reaktion auf schwerwiegende Schwachstellen (über Kritikalität 8,5) nachweisen kann.
• Durchführung regelmäßiger Sicherheitsbewertungen von Drittanbietern.
• Aufnahme von Klauseln in Anbieterverträge, die eine rechtzeitige Offenlegung von Schwachstellen vorschreiben, um die Gefahr der Dritten und Vierten Partei zu mindern.

Pläne für die Reaktion auf Zwischenfälle

• Führung eines umfassenden „Playbooks“ für die Reaktion auf Vorfälle, welches auf die mögliche Kompromittierung durch Dritte und die Anforderungen des Unternehmens zugeschnitten ist.
• Durchführung von „Tabletop“-Übungen zur Simulation von Angriffen auf „Tools“ von Drittanbietern.

Grundsätzlicher Rat nach Vorfall beim US-Finanzministerium

Der erste Schritt nach diesen Angriffen auf das US-Finanzministerium müsse nun darin bestehen, die spezifischen Schwachstellen zu beseitigen, welche den unbefugten Zugang zu den Systemen ermöglicht hätten.

In der Regel seien es jedoch nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, welche eine Attacke verschuldet hätten.

Durch eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-Überwachung und Defense-in-Depth-Strategie könnten Unternehmen die Risiken ähnlicher Angriffe aber kontinuierlich mindern.

Weitere Informationen zum Thema:

CHECK POINT, 31.12.2024
What You Need to Know about the US Treasury Breach – and How to Protect Your Organization from a “Major Incident”

BLEEPINGCOMPUTER, Lawrence Abrams, 30.12.204
US Treasury Department breached through remote support platform

CVE, 18.12.2024
CVE-2024-12686

CVE, 17.12.2024
CVE-2024-12356

[datensicherheit.de, 02.02.2020] „Der Europäische Gerichtshof wird den EU-US-Datenschutzschild vermutlich 2020 für ungültig erklären. Dann stehen Millionen Unternehmen auch in Deutschland im Regen“, so TeamDrive-Geschäftsführer Detlef Schmuck.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, in die Bredouille…

Von US-basierten Cloud-Anbietern lösen und zu deutschem Anbieter wechseln!

Laut Schmuck wird der „EU-US Privacy Shield“ wohl im Laufe des Jahres 2020 vom Europäischen Gerichtshof für ungültig erklärt werden. Eine solche höchstrichterliche Entscheidung würde Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, in die Bredouille bringen, warnt der TeamDrive-Geschäftsführer.
Schmucks dringender Rat an deutsche Firmen: „Die betroffenen Unternehmen sollten sich schleunigst von US-basierten Cloud-Anbietern lösen und zu einem deutschen Anbieter wechseln.“

Entscheidung des EuGH in der Sache „Schrems II“ erwartet

Für 2020 wird demnach eine Entscheidung des Europäischen Gerichtshofs in der Sache „Schrems II“ erwartet. Der österreichische Jurist Max Schrems hatte 2013 im Lichte der Snowden-Enthüllungen Klage eingereicht, „die damit endete, dass der EuGH 2015 das bis dahin angewandte Safe-Harbor-Datenschutzabkommen zwischen der EU und den USA für ungültig erklärte“.
Die von der EU geschaffene Anschlussregelung des „EU-US Privacy Shield“ sei im Juli 2016 von der EU-Kommission genehmigt worden, um den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden, zu gewährleisten. Bereits im März 2017 habe die EU-Justizkommissarin Věra Jourová damit gedroht, die Absprachen außer Kraft zu setzen angesichts der „Unberechenbarkeit“ der Trump-Regierung in den USA. Das „Schrems II“-Verfahren werde nach weit verbreiteter Juristenmeinung 2020 diese Regelung ebenfalls zu Fall bringen.

Ein Scherbenhaufen des Datenschutzes

„Was auf den ersten Blick nach trockener juristischer Materie aussieht, wird sich für Firmen, die diese Entwicklung nicht vorhersehen, zum Datenschutz-GAU entwickeln“, befürchtet Schmuck. Er geht zudem davon aus, dass die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) zum EU-US-Datenschutz vom EuGH gekippt werden.
„Unternehmen, die sich nicht vorbereiten, werden vor einem ,Scherbenhaufen des Datenschutzes‘ stehen, weil keine der heute noch gültigen Regelungen der Überprüfung durch den Europäischen Gerichtshof standhalten dürfte“, meint Schmuck.

Weitere Informationen zum Thema:

datensicherheit.de, 27.05.2019
Internetwirtschaft diskutiert Datenschutz in Washington: EU-US Privacy Shield stärken