Datenweitergabe: E-Evidence vs Confidential Computing

Confidential Computing

Beitrag teilen

Datenweitergabe nach E-Evidence vs Confidential Computing: Werden ganze Berufsgruppen von der Cloud-Nutzung ausgeschlossen?

Mit E-Evidence schickt sich ein neues, internationales Regelwerk an, Daten über Landesgrenzen hinweg für Behörden verfügbar zu machen. Fordert beispielsweise die Justizbehörde in Griechenland die Nutzerdaten eines deutschen Kunden an, so soll es zukünftig möglich sein, den deutschen Cloud-Anbieter zur Herausgabe dieser Daten zwingen zu können. Davon betroffen sind alle Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen: Angefangen von den gespeicherten Inhalten bis hin zu den Metadaten bezüglich des Zeitpunkts der Datenübertragung, IP-Adresse des Absenders sowie den Empfänger der Datenpakete.

Dieser Entwurf mag für eine effektive internationale Strafverfolgung hilfreich sein – doch die Forderung wirft grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf.

Cloud-Anbieter können auf Kundendaten zugreifen

Denn technisch ist der Zugriff auf Nutzerdaten – Inhaltsdaten sowie Metadaten – durch den Anbieter prinzipiell möglich! Viele Anbieter von Cloud-Diensten können auf die in der Cloud gespeicherten Daten ihrer Kunden zugreifen. Das bedeutet, dieser Zugriff kann grundsätzlich auch ohne behördliche Anordnung erfolgen. Gerade, wenn Unternehmen mit sensiblen Daten hantieren, ist das eine unangenehme Vorstellung. Wenn der Cloud-Betreiber jederzeit auf die Daten seiner Kunden zugreifen kann – wer kann das dann noch alles?

Die Möglichkeit zur Kenntnisnahme stellt für manche Berufsgruppen (Träger von Berufsgeheimnissen nach §203 StGB, wie z.B. Anwälte und Ärzte) sogar eine Offenbarung von Geheimnissen im Sinne des StGB dar. „So schließt man mit der Forderung nach der Möglichkeit des behördlichen Zugriffs gewisse Berufsgruppen von vornherein von der Nutzung von Cloud-Diensten aus und setzt sie den wirtschaftlichen Nachteilen aus, die sich daraus ergeben“, argumentiert Ulrich Ganz, Director Software Engineering bei der Münchner TÜV SÜD-Tochter uniscon.

Confidential Computing: Technologie vs Anordnung

Unternehmen, die Zugriffe durch Dritte – auch durch den Dienstbetreiber – zuverlässig verhindern wollen, setzen bereits jetzt auf Dienste, die das Prinzip des Confidential Computing umsetzen. Dabei werden sensible Daten nicht nur bei der Speicherung und Übertragung verschlüsselt, sondern bleiben auch während der Verarbeitung geschützt. Ziel des Confidential Computing ist neben einer allgemeinen Verbesserung der Datensicherheit auch, die Vorteile des Cloud Computing auch denjenigen Branchen zugänglich zu machen, die schützenswerte Daten verarbeiten.

Bei uniscons hochsicherer Business-Cloud idgard® wird der Confidential-Computing-Ansatz durch die Sealed-Cloud-Technologie realisiert. Hier schließen eine gründliche Datenverschlüsselung und ein Satz ineinander verzahnter technischer Maßnahmen in speziell abgeschirmten Server-Käfigen jeglichen unbefugten Zugriff zuverlässig aus. Nur der Kunde ist im Besitz des dazugehörigen Schlüssels.

Datenverschlüsselung verhindert Zugriff

Eine Anfrage von Dritten nach Zugriff auf diese Daten ist somit zwecklos, da auch der Betreiber keinen Zugang dazu hat. Diese Technologie erlaubt somit Berufsgruppen die Nutzung von Cloud-Diensten, die sonst davon ausgenommen wären, etwa Ärzte und Kliniken, aber auch Steuerberater, Wirtschaftsprüfer und viele mehr.

Es ist wichtig, dass gesetzgeberische Maßnahmen nicht mehr Schaden anrichten, als sie Nutzen generieren. Eine grenzübergreifende Auslieferung von Daten ist daher mit großer Skepsis zu betrachten und sollte auf keinen Fall überstürzt verabschiedet werden.

Mehr dazu bei uniscon.com

 


Über uniscon – Ein Unternehmen der TÜV SÜD Gruppe

Die uniscon GmbH ist ein Münchner Anbieter von DSGVO-konformen Cloud- und Datenraum-Lösungen für Unternehmen und einer der führenden Secure-Cloud-Provider in Europa. Die Produkte von uniscon greifen Hand in Hand: uniscons Sealed Platform® bietet eine sichere Ausführungsumgebung für Webanwendungen mit hohem Sicherheitsbedarf bzw. hohen Datenschutzanforderungen.


 

Passende Artikel zum Thema

Drahtlose Sicherheit für OT- und IoT-Umgebungen

Drahtlose Geräte nehmen immer mehr zu. Dadurch erhöhen sich die Zugangspunkte über die Angreifer in Netzwerke eindringen können. Ein neuer ➡ Weiterlesen

Professionelle Cybersicherheit für KMU

Managed Detection und Response (MDR) für KMU 24/7 an 365 Tagen im Jahr.  Der IT-Sicherheitshersteller ESET hat sein Angebot um ➡ Weiterlesen

Bösartige Software am Starten hindern

Ein Cyberschutz-Anbieter hat seine Sicherheitsplattform um eine neue Funktion erweitert. Sie verbessert die Cybersicherheit indem sie den Start bösartiger oder ➡ Weiterlesen

Pikabot: tarnen und täuschen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit ➡ Weiterlesen

Ransomware-resistente WORM-Archive zur Datensicherung 

Ein Datenarchiv ist ein Muss für jedes Unternehmen. Nur wenige wissen: Ein aktives WORM-Archiv kann helfen, die Datensicherung zu verschlanken, ➡ Weiterlesen

Gefahr der Manipulation von Wahlen durch Cyberangriffe

Cyberangreifer versuchen, weltweit Wahlen zu beeinflussen und machen sich dabei Generative KI-Technologie zunutze. Die neuesten Ergebnisse des Global Threat Report ➡ Weiterlesen

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen