Tag: Datenschutz


Idee 1+, Umsetzung 6: Zwischenfazit zur EU-DSGVO (what we have learned)

  • Besonders in der digitalen Welt bedarf es einer Datenschutz-Verfassung. Deshalb ist ein solches Manifest unabdingbar. Der erste Schritt mit der DSGVO geht in die richtige Richtung. Doch die DSGVO ist kein Sprint, sondern vielmehr ein Marathon. Nur wenn die DSGVO Zeit bekommt, kann ein Datenschutz-Gedanke in den Köpfen verankert werden.
  • In Brüssel besteht noch einiges an Nachholbedarf. Denn derzeit profitieren nur die großen Technologiekonzerne von der DSGVO, da technische Themen so gut wie nicht behandelt werden.    
  • Ein weiteres zentrales Problem bleibt weiterhin die Verantwortlichkeit für die Umsetzung, Überwachung und Weiterführung der DSGVO-Konformität.
  • Derzeit ist die Verwirrung um die DSGVO groß. Panikmache, Abmahnwellen und vor allem Unsicherheit bei den Unternehmen überschatten derzeit noch die eigentliche Idee des besseren Datenschutzes für alle beteiligten Akteure

Continue reading “Idee 1+, Umsetzung 6: Zwischenfazit zur EU-DSGVO (what we have learned)” »



EU-DSGVO – 10 Fragen und 15 Prinzipien zur Datenschutzkonformität

  • Dass die EU-Datenschutzgrundverordnung (EU-DSGVO) vor der Tür steht, dürfte den Unternehmensentscheidern und CISOs mittlerweile durch zahlreiche Publikationen bekannt sein.
  • Was sind die zentralen Fragen, mit denen sich Unternehmenslenker im Kontext der EU-DSGVO beschäftigen?
  • Die Konformität ist über alle Geschäftsprozesse hinweg eine tragende Säule der Datenschutz-Strategie.
  • Crisp Research beantwortet die FAQs  zur DSGVO und gibt Entscheidern die “15 Prinzipien des Datenschutzes” an die Hand.

Continue reading “EU-DSGVO – 10 Fragen und 15 Prinzipien zur Datenschutzkonformität” »



EU-DSGVO und Cloud Computing – Widerspruch oder Perfect Match?

  • Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist eine Reifeprüfung für Unternehmen und den Cloud-Markt. Mit Inkrafttreten der DSGVO am 25. Mai 2018 müssen sich Unternehmen aller Größen und Branchen mit zahlreichen juristischen, organisatorischen und technologischen  Fragen beschäftigen.
  • Viele Unternehmen sind zum derzeitigen Zeitpunkt noch nicht  “DSGVO-ready”. Diese sollten  ihre IT-Sicherheits- und Datenschutzstrategien dringend überarbeiten.
  • Cloud Computing und ein erhöhtes Datenschutzniveau können auch Hand in Hand gehen. Dadurch eröffnen sich aus den harten regulatorischen Herausforderungen der EU-DSGVO unter Umständen neue Chancen für Cloud-Nutzer und Cloud-Anbieter.
  • Wichtige Indikatoren bei der “DSGVO-Readiness” sind der Datenschutz-Mindset innerhalb der Unternehmen und die Höhe des Datenschutz Risikos, sprich was, wo und wie unternehmenskritische Workloads auf Cloud-Infrastrukturen betrieben werden.

Continue reading “EU-DSGVO und Cloud Computing – Widerspruch oder Perfect Match?” »


DSGVO treibt Cloud zu höheren Reifegraden

  • Die DSGVO ist eine Reifeprüfung für den Cloud-Markt.
  • Wenn bewiesen werden kann, dass Datenschutz und Cloud zusammenpassen, eröffnen sich der Cloud auch weitere Marktsegmente darüber hinaus.
  • Könnten Kunden mit der Umsetzung gefordert sein, ergibt sich für Managed Cloud Service Provider eine Chance auf weitere Etablierung im Markt neben den Providern. 

Continue reading “DSGVO treibt Cloud zu höheren Reifegraden” »



Neue Wege gehen – Security by Design vereint Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter

  • Mit den immer intensiveren Digitalisierungsbestrebungen der Unternehmen werden täglich neue digitale Produkte und Services entwickelt und sollen den Unternehmen das Wachstum der nächsten Jahre und die Wettbewerbsfähigkeit sichern
  • IT-Sicherheit und Datenschutz sind insbesondere in Deutschland hochsensible Themen, die im Rahmen des Innovationsdrucks und immer kürzerer Going-Live-Zeiten bisweilen in den Hintergrund gerückt werden
  • Für die Einhaltung regulatorischer Anforderungen, aber vor allem auch der Langfristigkeit der neuen Produkte und Innovationen, muss IT-Sicherheit noch stärker ein Teil der neuen digitalen Produkte und Services werden
  • Security by Design ist eine Möglichkeit, wie Unternehmen zügig und mit klaren Vorgaben die IT-Sicherheit in die bestehenden und neuen IT-Assets bringen können - dabei geht es vor allem um einen kulturellen Wandel

Continue reading “Neue Wege gehen – Security by Design vereint Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter” »



Data Management – Balanceakt zwischen Wertschöpfung und Kontrolle

  • Datenbasierte Geschäftsmodelle und neue digitale Produkte machen Daten zu einem immer wichtiger werdenden Asset - gleichzeitig wächst das Datenvolumen rasant.
  • Schatten-IT und Dark Data fordern Entscheider heraus und gefährden die Datenhoheit deutscher Unternehmen - neue Datenstrategien müssen her, um die für den Erfolg notwendigen Daten mit hoher Qualität zu sichern.
  • Jeder vierte Geschäftsführer und Vorstand engagiert sich als treibende Kraft für eine unternehmensweite Data Governance, die immer öfter von dedizierten Chief Data Officers geleitet wird.
  • Im Auftrag der NetApp Deutschland GmbH hat Crisp Research die Studie “Datenhoheit als Garant für digitale Wertschöpfung” erstellt. Diese liefert fundierte Einblicke in die Art und Weise, wie Unternehmen in Deutschland das Thema Datenhoheit gestalten.

Continue reading “Data Management – Balanceakt zwischen Wertschöpfung und Kontrolle” »



Chancen und Hemmnisse der digitalen Transformation im öffentlichen Sektor

  • Die digitale Transformation hat mittlerweile auch den öffentlichen Sektor erreicht, der nun Strategien für die Implementierung der neuen Technologien entwickeln muss, um dem Druck und den Chancen der Digitalisierung gerecht werden zu können.
  • Die größten Hürden für den digitalen Aufbruch stellen vor allem Datenschutz- und Sicherheitsbedenken dar. Als „Digitaler Follower“, den die meisten öffentlichen Institutionen verkörpern, stehen zumindest hinreichend Erfahrungen und etablierte Technologien bereit, um die teilweise sehr spezifischen Anforderungen erfüllen zu können.
  • Der öffentliche Sektor kann die Chancen der Digitalisierung nutzen, um Kosten zu reduzieren, eine Effizienzsteigerung durch eine modernisierte Verwaltung zu generieren und sich als attraktiverer Arbeitgeber zu profilieren.

Continue reading “Chancen und Hemmnisse der digitalen Transformation im öffentlichen Sektor” »




Datenschutz als Teil der digitalen Produkt-DNA

„Digitale Revolution“. „Big Data“. “Industrie 4.0“. Schlagwörter in einem neuen Zeitalter, die Gewicht haben. IT-Systeme, Mensch und Maschine verschmelzen immer mehr entlang der Wertschöpfungskette. Crisp Research geht davon aus, dass bis zum Jahr 2025 nahezu 30 Mrd. Geräte miteinander vernetzt sind. Daraus resultiert ein gewaltiger Datenberg, welcher auf der einen Seite einen enormen wirtschaftlichen Nutzen mit sich bringt und in den kommenden Jahren für Unternehmen der Erfolgsfaktor schlechthin sein wird. Daten werden zunehmend zum Rohstoff und haben immer mehr Gewicht in der Entscheidungsfindung im operativen sowie im strategischen Bereich. Allerdings stellt sich auf der anderen Seite die Frage, ob wir unsere Daten noch selber kontrollieren und steuern können. Maschinen übernehmen auf Basis von Machine Learning und Artificial Intelligence immer mehr Verantwortung. Die Global-Player der Branche haben allein in 2015 mehr als 10 Mrd. US Dollar in die Fertigung und Entwicklung in datengetriebene und automatisierte Systeme investiert. Intelligente Maschinen werden vor allem im Finanzwesen, in der produzierenden Industrie, im Dienstleistungssektor und im Gesundheitswesen eingesetzt.

Continue reading “Datenschutz als Teil der digitalen Produkt-DNA” »



Klartext: Datenschutz vs. Datensicherheit Spionage im Cloud-Zeitalter

Es bestehen viele Unklarheiten und Mythen, wenn es um das Thema Datenschutz, Datensicherheit und Spionage geht. Insbesondere im Zusammenhang mit der Cloud werden tragischerweise immer wieder Unwahrheiten verbreitet. Die Unsicherheit auf Seiten der Kunden wird von den Anbietern schamlos ausgenutzt, um mit Fehlinformationen ihr Marketing zu betreiben. Continue reading “Klartext: Datenschutz vs. Datensicherheit Spionage im Cloud-Zeitalter” »



Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt

Wie netzpolitik.org berichtet, arbeiten das deutsche Bundesfinanzministerium sowie das Bundesinnenministerium an der Überwachung von Daten in der Cloud. Ebenso arbeiten das Zollkriminalamt (ZKA) sowie das Bundesamt für Verfassungsschutz im Rahmen internationaler Arbeitsgruppen an Methoden, um Daten aus der Cloud abzuhören. Zusammen mit der Bundesnetzagentur gehören beide dazu dem „European Telecommunications Standards Institute“ (ETSI) an. Zwar sei das Bundeskriminalamt (BKA) nicht direkt mit involviert, sei aber in Kontakt mit dem ZKA und habe Einfluss auf Entwicklungen und Beschlüsse.

Das ETSI soll Datenschutz umgehen

Bereits im August hatte ich darüber geschrieben, dass sich das ETSI mit Technologien beschäftigt, um den Datenschutz trotz Mechanismen wie z.B. SSL auszuhebeln.

Das ETSI soll dazu "eine geheime Hintertür für die Cloud" entwickeln. Dabei soll es darum gehen, den Sicherheitsbehörden das Abhören und Überwachen von Kommunikationsdaten in der Cloud zu erleichtern. Das soll neben Angeboten wie Facebook, Twitter usw. ebenfalls Unternehmensangebote wie die Amazon Web Services, Microsoft Windows Azure und andere Anbieter betreffen. Dazu habe sich das ETSI eine Backdoor überlegt, um unkompliziert den unautorisierten Zugriff zu ermöglichen.

SSL wird ausgehebelt

Bei der ETSI Idee handelt es sich, wie sonst oft diskutiert, allerdings nicht um rechtliche Themen wie bspw. dem "Patriot Act". Hier geht es um reine Technik. Das ETSI will eine Schnittstelle definieren, mit der europäische Sicherheitsbehörden Zugriff auf die Cloud Services der Anbieter erhalten. Die ETSI-Arbeitsgruppe “TC Lawful Interception” stellt sich die Umsetzung so vor, dass die Internet-Anbieter sämtlichen Verkehr standardmäßig umleiten. Nutzt ein Anwender eine verschlüsselte HTTPS-Verbindung (was mittlerweile Standard ist), soll der Datenverkehr auf spezielle Server in das Rechenzentrum des Internet-Anbieter umgeleitet werden. Hier sollen die Sicherheitsbehörden dann den Zugriff auf die Daten erhalten. Um das zu realisieren, müssen die entsprechenden SSL-Zertifikate ausgehebelt werden. Der ETSI geht es nach eigenen Angaben nur um die Erfassung der Datenkommunikation und nicht um die Kontrolle der Inhalte. Der britische Sicherheitsspezialisten und Leiter des Computer Laboratory der Universität Cambridge Ross Anderson hingegen schreibt nach einer Analyse des ETSI-Entwurfs allerdings: "Wenn man die Infrastruktur baut, auf die sich das ETSI geeinigt hat, kann diese für Überwachungsaktivitäten genutzt werden."

Konsortium hilft beim Forschen zum Schnüffeln

Wie netzpolitik weiter schreibt, arbeiten die Deutsche Telekom und die 1&1 Internet AG zusammen unter der Firma „Strategie- und Forschungszentrum Telekommunikation“ (SFZ TK) an dem gemeinsamen Projekt mit dem Namen "CLOUD" an der Überwachung von Cloud-Diensten. Zwar geht es nur um die "Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“, aber was man zwischen den Zeilen lesen kann ist besorgniserregend:

"Die unter Umständen weltweite und nicht transparente Verteilung der Daten, Software, Betriebssysteme und Speicher sowie der in der Regel auf verschlüsselten Kommunikationsprotokollen basierende Zugang zu Cloud-Diensten erschwert einen Zugriff der Sicherheitsbehörden."

Neben dem BKA und der Bundespolizei arbeitet ebenfalls das Bundesamt für Verfassungsschutz mit SFZ TK zusammen.

Deutschland verbaut sich selbst einen kleinen Wettbewerbsvorteil

Im Mai hatte ich im Verlauf der SecureCloud 2012 in Frankfurt noch die Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.

Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt

Einige Cloud Anbieter aus Deutschland werben u.a. mit solchen Geschichten wie "Made in Germany" und hohen Datenschutzanforderungen in unserem Land. So ganz unrecht haben sie damit natürlich nicht. Im Vergleich zu anderen Ländern ist der Zugriff auf Daten bei einem deutschen Anbieter so ohne weiteres nicht möglich.

Dieser Wettbewerbsvorteil - TRUST (wir erinnern uns an die CeBIT 2012) - wird, geht es nach der deutschen Bundesregierung, jedoch bald verschwinden. Es geht dann nicht mehr darum, wer den besseren Datenschutz bieten kann oder vertrauenswürdig ist, sondern einzig und allein darum wer die besten Services und die innovativsten Produkte hat. Unternehmen müssen in Zukunft zudem noch besser darauf achten, ihre Daten zu klassifizieren und entscheiden, was in die Cloud soll und was doch lieber on-Premise bleibt. Darüber hinaus wird diese Entwicklung Einfluss auf den Markt haben, da sich immer mehr Unternehmen für eine eigene Private Cloud entscheiden.

Willkommen Private Cloud

Das Vertrauen in die Public Cloud wird weiter sinken und Public Cloud Services - die für das Cloud Computing in Reinform stehen - werden demnach einen weiteren Dämpfer erhalten! Interessant ist, dass die Marktforscher von Gartner für 2012 ein großes Wachstum in der Public Cloud sehen. Zudem sollen die Ausgaben für Enterprise Public Cloud Services bis 2016 die 207 Milliarden US-Dollar erreichen.

Ziehen wir diese neue Entwicklung heran, wird Gartner seine Prognosen wohl herunterschrauben müssen. Die Bedenken von CIOs, Public Cloud Services zu nutzen, sind derzeit eh schon höher als gedacht. Der Hauptgrund sind die Befürchtungen vor Datenlecks in der Public Cloud. Deutsche Unternehmen werden die Gedanken der deutschen Regierung ebenfalls nicht gerne hören. Eine Umfrage von IDC ergab vor kurzem, das ein Drittel der befragten deutschen Unternehmen in 2013 zwischen 26% – 50% ihres IT-Budget in die Private Cloud investieren wollen. Allerdings interessieren sich 90% der Unternehmen nicht(!) für die Public Cloud.



Deutsche Cloud: Ist Deutschland souverän? Lieber keine Unternehmensdaten in Deutschland speichern?

So mancher deutsche Cloud Computing Anbieter brüstet sich mit den hohen Datenschutzrichtlinien in unserem Land. Da wird der Patriot Act als Vorwand genommen, sich doch lieber für eine "Deutsche Cloud" zu entscheiden, statt für einen "bösen" US-amerikanischen Anbieter bzw. dessen deutsches Tochterunternehmen. Datenschutz "Made in Germany" halt.

Datenschutz in Deutschland: Nur Wunschdenken?

Ein Video von Frontal 21 rückt, meiner Ansicht nach, sämtliche Datenschutz-Diskussionen in ein anderes Licht. Nein, es stellt nicht das Cloud Computing in Frage, sondern Deutschland als Standort zum Speichern von Daten. Abgesehen davon, Cloud Computing ist ein globales und kein lokales Konzept ("Deutsche Cloud"...). Aber, haben die Macher des Videos ernsthaft gut recherchiert, würde Irland als Standort für Cloud Computing Anbieter in Europa völlig ausreichen. Anders ausgedrückt: Als Unternehmen sollte man davon dann tatsächlich absehen, seine Daten bei einem Anbieter in Deutschland zu speichern. Denn was ist unser Bundesdatenschutzgesetz unter Berücksichtigung dieses Videos noch wert?

Quelle: Deutschland souverän?
Weitere Informationen: Die demokratische Souveränität ist teilsuspendiert



ULD veröffentlicht Datenschutzrechtliche Anforderungen an Cloud Computing Services

In einem Paper hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Informationen veröffentlicht, an die sich Cloud Anbieter und Nutzer orientieren sollten, um dem deutschen und europäischen Datenschutzrecht zu entsprechen.

Basis ist das EU-Datenschutzrecht

Das Paper basiert auf einem Dokument der Article 29 Dara Protection Working Party am 01. Juli 2012, aus dem das ULD die wichtigsten Themen herausgezogen hat, um damit Cloud Computing auch nach geltendem Datenschutz anzubieten und zu nutzen.

Cloud Computing ist Outsourcing

Nach dem ULD verhält sich das Cloud Computing datenschutzrechtlich wie das klassische Outsourcing. Ein Nutzer greift auf einen Cloud Service zu, wodurch der Anbieter zum Auftragnehmer werde. Das ULD bezeichnet den Anwender in diesem Zusammenhang auch als "datenschutzrechtlich verantwortliche Stelle", der es nicht erlaubt sei Verträge einzugehen, die nicht dem Datenschutz entsprechen. Zudem steht der Anbieter in der Pflicht, dem Anwender über mögliche Sub-Anbieter und Orte zu informieren, wo personenbezogene Daten gespeichert oder verarbeitet werden.

Vorsicht vor nicht EU-Ländern und Safe-Harbor

Sollen personenbezogene Daten in nicht EU-Ländern übertragen und dort verarbeitet werden, ist das nur zulässig, wenn Standardvertragsklauseln genutzt werden. Darüber hinaus sollte sich ein Nutzer niemals auf das Safe-Harbor Abkommen verlassen, da ein Anbieter sich damit lediglich selbst zertifiziert und dies somit nicht aussagekräftig ist. Vielmehr sollte der Nutzer die Zertifizierung und sämtliche Rahmenbedingungen selbst prüfen.



Die Google Drive App auf dem iOS und iPad: Ein erster Blick

Auf Grund des Datenschutz und der weiterhin nicht klaren Situation, ob Google meine persönlichen Daten analysiert, selbst dann wenn ich für den Google Drive Speicher bezahlen würde, kommt Google Drive für mich nicht in Frage. Dennoch wollte ich mal schauen, wie sich die Google Drive App auf dem iOS bzw. dem iPad so macht.

Die Google Drive App auf dem iOS und iPad: Ein erster Blick

Im Rahmen seiner Entwicklerkonferenz I/O 2012 hat Google die offizielle Google Drive App für Apples iOS ausgerollt. Die native App ermöglicht nun auch den Zugriff auf Googles Cloud Storage auf dem iPhone und iPad. Die App kann bereits über iTunes geladen werden und steht im direkten Mitbewerb zu Dropbox. Zwar verfügt Google Drive ebenfalls über eine mobile Version für das Web. Allerdings ist die Integration nativer Apps in das System besser und wenn mal keine Datenverbindung vorhanden ist sieht es ebenfalls schlecht aus. Schauen wir mal was Google Drive für das iPad so kann.

Aussehen und Navigation

Wird die App das erste Mal gestartet muss man sich mit dem Google Account anmelden. Anschließend gelangt man in das Hauptmenü wo man auf der linken Seite auf sein persönliches Drive, die mit einem geteilten Dateien, markierte Dateien, die zuletzt geöffneten Dateien sowie die offline verfügbaren Dateien zugreifen kann. Bis auf den Offline-Zugriff ähnelt die Struktur der Web-Oberfläche von Google Drive.

Über die jeweiligen Menüpunkte gelangt man in die darin verlinkten Dateien, die dann im rechten Bereich der App angezeigt werden. Ein Klick auf eine Datei öffnet diese im Vollbild.

Suche und Synchronisation

Die Synchronisationzeit zwischen dem Upload der Datei zu Google Drive und der Aktualisierung auf dem iPad geht recht zügig, wenn auch nicht automatisch. Hierzu muss der Synch-Button gedrückt werden oder zwischen den einzelnen Menüpunkten hin- und her navigiert werden. Die Suche auf dem iPad ist ebenfalls echt schnell. Ich habe zwei Dateien (.doc und .pdf) mit Inhalten zu zwei Veranstaltungen in Google Drive geschoben. Eine Suche nach "Event" zeigte nach kurzer Zeit diese beiden Dokumente an, in denen das Wort Event innerhalb des Dokuments vorkommt.

Die Google Drive App auf dem iOS und iPad: Ein erster Blick

Offline Zugriff und Bearbeiten der Dateien

Auf dem iPad trennt Google Drive den Ordnerbereich von den Dateien. Die Ordner befinden sich auf der linken Seite, die Dateien auf der rechten. Dabei werden die Dateien in alphabetischer Reihenfolge angezeigt. Hinter jeder Datei befindet sich ein kleiner Pfeil der nach rechts zeigt. Dahinter befindet sich die Detailansicht einer Datei. Hier sieht man, wer noch auf die Datei zugreifen kann und wann diese zuletzt geändert wurde. Darüber hinaus versteckt sich hier der Schalter, mit dem man die Datei lokal auf dem iPad verfügbar, also herunterladen kann, um auch darauf zugreifen zu können, wenn keine Datenverbindung vorhanden ist.

Dateien können nicht direkt in Google Drive bearbeitet werden, dazu fehlen die jeweiligen Applikationen. Wenn man eine Datei allerdings geöffnet hat erhält man per Klick auf den Pfeil rechts oben ein Auswahlmenü, um eine PDF Datei z.B. mit dem Adobe Reader oder ein Word Dokument mit QuickOffice zu öffnen. Möchte man die in QuickOffice überarbeitete Datei dann wieder Speichern, muss man diese zunächst als Kopie in QuickOffice ablegen. Und dann... tja, dann hat man ein Problem. Denn man kann von dem iOS heraus keine Dateien zu Google Drive hochladen. Es geht einfach nicht.

Fazit

Die Google Drive App macht soweit eine gute Figur. Es muss aber noch einiges getan werden. Das man keine Dateien hochladen kann, geht gar nicht. Wenn ich unterwegs bin, möchte ich meine Daten auch in dem Cloud Storage speichern. Ansonsten fühlt sich die App sehr stabil und vor allem schnell an und man hat immer das Gefühl, dass auch das passiert, was man erwartet.

Dennoch werde ich Google Drive weiterhin nicht nutzen.



Unhosted.org – Unsere Daten gehören uns!

In Zeiten der Cloud, Social Media und weiteren Technologien und neuen Konzepten, bei denen es darum geht, Daten zentral bei einem Anbieter zu speichern, um damit bequem von jedem Ort darauf zugreifen zu können oder mit Freunden weltweit zu kommunizieren, entwickelt sich eine Community, die selbst für den Datenschutz sorgen möchte und ihr wertvolles gut nicht in die Hände kommerzieller und vermeintlich böser Unternehmen wie Google, Facebook oder der Cloud Computing Anbieter legen will.

Datensensibilität nur von Nerds und Geeks?

Nachdem Unternehmen insbesondere beim Cloud Computing aber auch beim Thema Social Media den Datenschutz der Anbieter beklagen – Patriot Act usw. - gehen die vermeintlichen Endanwender doch eher sehr sorglos mit ihren persönlichen Daten um, siehe Facebook. Allerdings scheint sich das Blatt ein wenig zu wenden. Vor kurzem konnte ich im Zug ein Gespräch zweier Jugendlicher mithören, die über das „... jemand Wissen kann wo man sich selbst gerade aufhält.“, also GEO-Location Services wie Foursquare etc. diskutierten. Sie hielten es für sehr kritisch und gefährlich, wenn jemand ständig sehen könnte wo man gerade ist und wo man wohnt. Ich dachte nur: „Aber ein iPhone besitzen...“. ;)

Es stellt sich daher die Frage, wie sensibel die Nutzer heutzutage wirklich mit ihrem wertvollsten gut, der Persönlichkeit umgehen – man bedenke: Wenn Du von jemanden etwas kostenlos bekommst, bist Du am Ende das Produkt. Ich weiß nicht, ob sich viele darüber im Klaren sind. Wenn man jedoch schaut, was viele täglich in Facebook posten, bin ich mir da nicht so sicher. Und auch das was Google mittlerweile über jeden einzelnen weiß – natürlich werden die gesammelten Daten nicht verknüpft... - sollte für diejenigen bedenklich sein, die das Internet nicht dafür nutzen, um ihr öffentliches Profil zu schärfen.

Aber ist es überhaupt möglich auf die Datenhaltung bei Google und Facebook Einfluss zu nehmen? Natürlich nicht, schließlich handelt es sich dabei zum größten Teil um deren Geschäftsmodell, aber...

Die Community: Unhosted.org

Es hat sich eine, derzeit noch kleine, Bewegung gebildet, die das Ziel verfolgt, freie Software gegenüber gehosteter Software zu stärken. Dazu hat die Gemeinschaft bereits ein Protokoll erstellt, mit dem eine Webseite nur aus Quellecode besteht. Dabei werden die sich ständig verändernde Daten dezentral auf eines vom Nutzer gewünschten Storage gespeichert. Die Community erhofft sich dadurch geringere Hostingkosten sowie eine verbesserte Skalierbarkeit, Robustheit und einen höheren Datenschutz.

Alles erinnert ein wenig an Asterix und das kleine gallische Dorf.

Im Kern geht es dem Projekt darum, dass Web Applikationen nicht zwangsläufig auch die Daten des Nutzers beherrschen müssen, sondern dass die Daten getrennt von den Anwendungen gespeichert werden.

Die Technologie: Remote Storage

Hierfür hat Unhosted.org ein Protokoll mit dem Namen "remoteStorage" entwickelt, dass die bereits bestehenden Protokolle HTTP, CORS, OAuth2 und Webfinger kombiniert. Dazu liefert das Projekt mit remoteStorage.js eine JavaScript Bibliothek und ein Tutorial.

Auf Basis des Remote Storage Protokoll wurden mit Libre Docs, OpenTabs.net und SharedStuff bereits kleine Anwendungen entwickelt.

Um die Applikationen nutzen zu können, wird eine ID eines Remote Storage kompatiblen Anbieters benötigt. Zurzeit haben sich mit Pagekite, OwnCube und 5apps drei am Markt eher unbekannte Anbieter der Initiative angeschlossen. Die ID bzw. der Account bei einem der Anbieter wird dafür benötigt, um die eigenen Daten bei diesem zu speichern.

Stellt man sich das bspw. anhand von Facebook vor, würde man sich bei Facebook mit seiner Remote Storage ID anmelden. Postet man nun ein Bild oder kommentiert einen Beitrag, werden die Daten nicht bei Facebook gespeichert, sondern bei dem entsprechenden Remote Storage Anbieter für den man sich entschieden hat.

Sei Dein eigener Storage Anbieter

Natürlich kann man auch sein eigener Storage Anbieter sein. Dazu wird eine Installation von ownCloud benötigt, die das Remote Storage Protokoll unterstützt. Davon rate ich jedoch ab. Warum, habe ich hier beschrieben.

Daten selbst verwalten? Ja! Aber bitte so bequem wie möglich!

Den Grundgedanken des Projekts finde ich recht interessant. Jedoch sehe ich für den gewöhnlichen und nicht IT-affinen Benutzer riesige Probleme damit, den Überblick zu behalten, wo sich die Daten gerade befinden. Wenn ich bei Facebook oder Google bin, weiß ich, dass die Daten dort "gut" aufgehoben sind. Wird ein weiterer Anbieter dazwischen geschaltet, wird es unübersichtlich.

Hinzu kommt zwar, dass die Daten von der eigentlichen Applikation getrennt sind, allerdings begebe ich mich hier in die Abhängigkeit von einem der RemoteStorage Anbieter. Ich habe daher nicht die Wahl, außer ich spiele selbst den Storage Anbieter, wovon ich dringend abrate.

Vertrauen ist die Grundlage

Wenn es um das Speichern persönlicher Daten und die Cloud geht, spielt das Thema Vertrauen und Transparenz eine große Rolle. Anbieter wie Google und Facebook haben eine große Wahrnehmung, auch wenn diese nicht immer positiv ist. Dennoch Vertrauen die Nutzer ihnen ihre Daten an, da sie sich sicher sind und sein können, das die Daten dort aus dem Blickwinkel der Datensicherheit gut aufgehoben sind. Genau so verhält es sich mit Amazon S3, Dropbox oder anderen bekannten Cloud Storage Anbietern, die über ausgereifte Infrastrukturen verfügen, die sich bewährt haben.

Anders sieht es mit den Anbietern aus, die sich dem Projekt angeschlossen haben. Allesamt unbekannt! Warum soll ich meine Daten also in die Hände von diesen (derzeit) No Name Anbietern geben, deren Infrastruktur ich nicht kenne? Aber vielleicht schafft es das Projekt, für die Zukunft renommierte Anbieter zu gewinnen, die das Remote Storage Protokoll unterstützen.

BTW: 5apps, einer der Remote Storage Anbieter, steckt hinter dem Unhosted.org Projekt... Alles klar?!


Bildquelle: http://imageshack.us



Microsoft erweitert sein Bestreben nach Datenschutz in der Cloud – EU Standardvertragsklauseln und Trustcenter nun auch für Microsoft Dynamics CRM Online

Microsoft weitet das Thema Datenschutz in seinem Cloud Portfolio weiter aus. Ab sofort stehen für Microsoft Dynamics CRM Online ebenfalls die EU-Standardvertragsklauseln (auch EU Model Clauses genannt) zur Verfügung. Es handelt sich dabei um die Klauseln, die auch Google erst kürzlich für seine Office Suite Google Apps angekündigt hat.

Forderung nach mehr Transparenz und Verantwortung

Nachdem Microsoft bereits die datenschutzrechtlichen EU-Vorgaben für sein Office 365 umgesetzt hat, möchte das Unternehmen mit der Adaption für seine Cloud-basierte Customer Relationship Management Lösung (CRM) seinen Kunden mehr Transparenz und Verantwortung beim Umgang mit sensiblen Daten bieten.

Insbesondere die Themen Transparenz und Verantwortung gehören für Unternehmen zu den wichtigsten Aspekten beim Cloud Computing, das ergab ein IDC Whitepaper im Auftrag von Microsoft. Mit der Integration der EU-Standardvertragsklauseln möchte sich Microsoft als Cloud-Anbieter seiner Verantwortung stellen und den anderen Anbietern damit den Weg aufzeigen, den es zu gehen gilt. Dementsprechend ist eine Adaption des Trustcenters für Microsoft Dynamics CRM Online ab sofort unter: http://crm.dynamics.com/trust-center verfügbar. Weiterhin hat Microsoft auf einem neuen Webportal unter www.cloudaufgaben-gemacht.de alle wichtigen Informationen zu diesem Thema zusammengestellt, um Kunden und Partner für Datenschutz in der Cloud zu sensibilisieren.

Cloud Computing wird sich schneller etablieren als erwartet

Laut den Analysten von IDC rechnen mehr als die Hälfte der Entscheider in deutschen Unternehmen damit, dass sich Cloud Computing innerhalb der nächsten zwei bis fünf Jahre durchsetzen wird. Daher empfiehlt IDC, dass Anbieter von Cloud Services schlüssige Antworten auf Datenschutzfragen bieten müssen, um bei der Geschwindigkeit dieses Trends mithalten zu können. Das bestätigt ebenfalls eine Umfrage für das aktuelle IDC Whitepaper „Cloud Computing und Consumerization of IT in Deutschland 2012”. Zwar sinken die Bedenken bezüglich Sicherheit, Angebotsreife und Datenstandort, so die Analysten, allerdings steigen die Anforderungen insbesondere hinsichtlich Compliance.

Microsoft Webportal für Datenschutz und Compliance

Um Partner und Anwender für das Thema Datenschutz und Compliance zu sensibilisieren, startet Microsoft das Webportal www.cloudaufgaben-gemacht.de. Das Portal soll eine Reihe hilfreicher und praktischer Informationen zum Thema bieten, auf dem Anwender zudem ihr Cloud-Wissen testen oder mit Hilfe einer Checkliste überprüfen können, ob sie und ihr Cloud-Anbieter alle Hausaufgaben zum Thema gemacht haben.


Bildquelle: http://www.microsoft.com



Google erweitert Google Apps um europäische Datenschutz-Richtlinien

Google wird seinen Google Apps-Kunden in Kürze zusätzlich zum Datenschutz-Abkommen Safe Harbor auch sogenannte Model Contract Clauses anbieten. Diese Vertragsklauseln sind von der Europäischen Kommission vorgegebene Datenschutz-Richtlinien, die den Datentransfer zwischen Unternehmen innerhalb und außerhalb der Europäischen Union regeln.

Wie Marc Crandall, Senior Manager of Global Compliance, Google Enterprise in einem Blogbeitrag schreibt, nutzen über vier Millionen Kunden Google Apps für ihre geschäftlichen Zwecke. Diesen möchte Google zusätzlich nun ein breites Spektrum an Compliance Optionen bieten, um diesen dabei zu helfen, ihre regulatorischen Anforderungen zu erfüllen.

Aus diesem Grund wird Google demnächst sogenannte "Model Contract Clauses" anbieten, um damit die Sicherheitsanforderungen der Europäischen Kommission hinsichtlich der Datenschutz-Richtlinien für europäische Kunden angemessen zu erfüllen. Diese Richtlinie sei in Googles Augen ein wichtiger Bestandteil der Privatsphäre, die von der Europäischen Union (EU) bereits im Jahr 1995 verabschiedet wurde. Sie sorgt dafür, dass bestimmte Daten, die von der EU einen angemessenen Schutz der Privatsphäre erfordern, von einem EU-Land nicht in ein Nicht-EU-Land übertragen werden.

Zusammen mit der Beteiligung am US-EU Safe Harbor Framework und den neuen "Model Contract Clauses" sowie der jüngsten Zertifizierung nach ISO 27001, möchte Google seinen EU Kunden auch in Zukunft weitere Möglichkeiten bieten, weitere EU-Compliance Richtlinien erfüllen zu können.

Nachdem Microsoft sein Office 365 for Government bereits aktiv mit dem Thema Cloud Sicherheit bewirbt, geht Google nun direkt an die Unternehmenskunden. Überraschend kommt dieser Schachzug jedoch nicht, denn Google musste langsam etwas unternehmen, um auch das Vertrauen bei seinen europäischen Kunden bzw. noch Nicht-Kunden zu stärken. Denn das Thema Datensicherheit und Datenschutz ist speziell in Europa ein sehr brisantes Thema, mit dem man nicht zu sorglos umgehen sollte, auch wenn es langsam sehr zäh und ein Stück weit langweilig wird, ständig darüber diskutieren zu müssen.


Bildquelle: http://www.egovernment-computing.de



Microsoft wirbt mit Cloud Sicherheit für sein Office 365 for Government

Seit der vergangenen Woche bietet Microsoft sein Office 365 unter "Office 365 for Government" nun auch für Regierungseinrichtungen an. Zwar wurde die Veröffentlichung nicht an die ganz große Glocke gehängt, dennoch kann dieser Schritt mehr Einfluss auf den Kampf um die Cloud haben, als man zunächst glauben mag.

Office 365 for Government ist auf dem ersten Blick nichts Besonders. Es enthält die typischen Cloud basierten Lösungen, wie das klassische Office 365 auch. Darunter Exchange Online, Lync Online, SharePoint Online und Office Professional Plus.

Der Trick mit dem Altbewährtem

Bereits vor zwei Jahren hatte Microsoft mit der Business Productivity Online Suite Federal einen ähnlichen Service für US-Bundesbehörden präsentiert. Bei Office 365 handelt es sich um den direkten Nachfolger und Microsoft springt zudem auf den Zug auf, den bereits der Mitbewerb herausgestellt hat, die langsam wirklich zäh werdenden Themen Datenschutz und Datensicherheit.

Sicherheit und Datenschutz stehen an erster Stelle

Regierungsbehörden stehen einem enormen Kostendruck gegenüber. Ein Cloud Services kann daher ein überzeugendes Angebot für die Beschaffung, das Servermanagement und der Lizenzierung von Software darstellen. Allerdings musste Google bereits schmerzlich erfahren, dass Behörden mehr wollen als nur Cloud basierte Versionen ihrer klassischen Business Anwendungen.

Nachdem Google mit der Stadt Los Angeles einen ziemlich dicken Fisch über 7 Million Dollar für die Umstellung von 30.000 Arbeitsplätzen an Land ziehen konnte, gab es plötzlich Probleme mit dem Los Angeles Police Departement (LAPD), das nicht mit den Sicherheitsanforderungen einverstanden war. Demnach sei Google nicht in der Lage, die hohen Anforderungen an die Datensicherheit und Vertraulichkeit von sensiblen Daten zu gewährleisten.

Um nicht dieselbe Abfuhr zu bekommen, hat Microsoft in einem Blogpost von Corporate Vice President Office Division, Kirk Koenigsbauer, direkt präventiv Stellung zu dem Thema genommen und die vielen Standards für Datensicherheit und Vorsichtsmaßnahmen herausgestellt, an die sich Office 365 for Government hält. "Office 365 unterstützt die strengsten globalen und regionalen Standards.", so Koenigsbauer.

Die Liste umfasst hochkarätige Richtlinien der US-Regierung bspw. die "US Federal Information Security Management Act (FISMA)", die US Health Insurance Portability and Accountability Act (HIPAA) und die "US Family Educational Rights and Privacy Act (FERPA)". Laut Microsoft unterstützt Office 365 zudem ISO 27001, SAS70 Type II, EU Safe Harbor und die EU Bestimmungen.

Um weiteren Ängsten vorzubeugen, beruhigt Koenigsbauer damit, dass Office 365 zwar im Mehrbenutzerbetrieb läuft, aber in einer separat getrennten Cloud mit höchster Sicherheitsstufe und geographisch verteilten Rechenzentren betrieben wird. Zudem wird die IPv6-Unterstützung für Office 365 voraussichtlich im September gehen Live gehen.

Microsoft scheint Googles Auseinandersetzung mit dem LAPD allerdings nicht zu ignorieren. Koenigsbauer und sein Team arbeiten derzeit daran, Office 365 for Government mit den Regeln der Criminal Justice Information Security (CJIS) compliant zu machen.


Bildquelle: http://careers-us.hoganlovells.com



IPsoft und wusys kooperieren – Datenhaltung in deutschem Cloud Rechenzentrum möglich

Mit einer weitreichenden Kooperation wollen der Managed Services Provider IPsoft und der Anbieter von Cloud Lösungen wusys gemeinsam verstärkt den Mittelstand penetrieren und kostengünstige und flexible Cloud Services sowie eine garantierte Datenhaltung in Deutschland bieten.

Das Dienstleistungsangebot von IPsoft basiert auf Expertensystem-gesteuerten Automatisierungstechnologien, die zu signifikanten Effizienzsteigerungen und Kostensenkungen in der IT beitragen können. Zentraler Lösungsansatz des Unternehmens ist, durch wissensbasierte Systeme den Anteil der sich täglich wiederholenden IT-Routinetätigkeiten zu reduzieren und damit Freiräume für strategische Aufgaben und Innovationen zu schaffen.

Das Frankfurter Unternehmen wusys ist ein Anbieter branchenunabhängiger IT-Dienstleistungen. Das Portfolio reicht von Hosting-Paketen über Messaging-Lösungen bis hin zu Cloud Services. Für den ausfallsicheren Betrieb der Lösungen betreibt wusys mehrere Hochsicherheitsrechenzentren am Standort Frankfurt.

Im Rahmen der neuen Kooperation werden die beiden Unternehmen nun verstärkt den Mittelstand mit Cloud-Angeboten penetrieren. Mit Leistungen, die bedarfsbasierend bereitgestellt und verbrauchsbasierend abgerechnet werden.

Cloud Services werden gerade von Mittelständlern im Hinblick auf die Themen Datensicherheit und -schutz oft kritisch hinterfragt. Auch hier soll das neue IPsoft- und wusys-Angebot vollständige Transparenz schaffen. Zum einen wird eine Datenhaltung in Deutschland garantiert und zum anderen wird durch den IPsoft-Lösungsansatz einer weitgehenden Automatisierung von IT-Aufgaben sichergestellt, dass nur sehr wenige Provider-Mitarbeiter überhaupt Zugriff auf Kundenapplikationen oder -daten erhalten und der Kunde jederzeit volle Transparenz über den Status seines IT-Betriebs in Echtzeit erhält.


Bildquelle: http://www.konstantintrade.com



Google Apps erhält ISO-27001 Zertifizierung

Google hat seine Office Suite Google Apps von den Wirtschaftsprüfern Ernst & Young nach ISO-27001 zertifizieren lassen. Das teilt Google auf seinem Unternehmensblog mit und unterstreicht damit erneut das hartnäckige Ziel, auch Unternehmenskunden in seine Cloud begleiten zu wollen.

Google erhält damit die Bestätigung, dass sich Google Apps for Business an sämtliche Anforderungen für die "... Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken... " hält.

Einzelne Nutzer oder Startups schauen in erster Linie nicht darauf, ob ein Unternehmen eine ISO-Zertifizierung besitzt. Allerdings erhalten größere Unternehmen sowie Entscheider, die sich mit ihrer Unterschrift für den Vertrag verantworten müssen, ein stück weit Sicherheit und dass sie bedenkenlos Googles Cloud Lösung nutzen können.

Die weltweite gültige Zertifizierung wurde von Ernst & Young durchgeführt und ergänzt Google Apps for Government, die bereits die Zertifikate SSAE 16/ISAE 3402 und Fisma besitzt. Allerdings sollte man nicht vergessen, dass dieses Zertifikat keinen Freifahrtschein für die 100%ige Sicherheit der Anwendung ausstellt. Unternehmen die sich nach ISO-27001 zertifizieren lassen, setzen sich lediglich selbst hohe Maßstäbe, um eine hohe Sicherheit zu gewährleisten. Ihre Sicherheitsvorkehrungen und Prozesse dokumentieren sie zudem sorgfältig, um zu zeigen, wie sie den eigenen hohen Erwartungen gerecht werden.

Unternehmen sollten weiterhin zur Kenntnis nehmen, dass Google seinen Kunden weiterhin nicht die Möglichkeit gibt, selbst zu entscheiden, wo die Unternehmensdaten - bspw. in Europa - gespeichert werden.

Weitere Informationen zu den Sicherheits-Audits und Zertifizierung für Google Apps stehen im Dokument [PDF] "Google Apps for Business Audit & Certification Summary".