Datenweitergabe: E-Evidence vs Confidential Computing

Confidential Computing

Beitrag teilen

Datenweitergabe nach E-Evidence vs Confidential Computing: Werden ganze Berufsgruppen von der Cloud-Nutzung ausgeschlossen?

Mit E-Evidence schickt sich ein neues, internationales Regelwerk an, Daten über Landesgrenzen hinweg für Behörden verfügbar zu machen. Fordert beispielsweise die Justizbehörde in Griechenland die Nutzerdaten eines deutschen Kunden an, so soll es zukünftig möglich sein, den deutschen Cloud-Anbieter zur Herausgabe dieser Daten zwingen zu können. Davon betroffen sind alle Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen: Angefangen von den gespeicherten Inhalten bis hin zu den Metadaten bezüglich des Zeitpunkts der Datenübertragung, IP-Adresse des Absenders sowie den Empfänger der Datenpakete.

Dieser Entwurf mag für eine effektive internationale Strafverfolgung hilfreich sein – doch die Forderung wirft grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf.

Cloud-Anbieter können auf Kundendaten zugreifen

Denn technisch ist der Zugriff auf Nutzerdaten – Inhaltsdaten sowie Metadaten – durch den Anbieter prinzipiell möglich! Viele Anbieter von Cloud-Diensten können auf die in der Cloud gespeicherten Daten ihrer Kunden zugreifen. Das bedeutet, dieser Zugriff kann grundsätzlich auch ohne behördliche Anordnung erfolgen. Gerade, wenn Unternehmen mit sensiblen Daten hantieren, ist das eine unangenehme Vorstellung. Wenn der Cloud-Betreiber jederzeit auf die Daten seiner Kunden zugreifen kann – wer kann das dann noch alles?

Die Möglichkeit zur Kenntnisnahme stellt für manche Berufsgruppen (Träger von Berufsgeheimnissen nach §203 StGB, wie z.B. Anwälte und Ärzte) sogar eine Offenbarung von Geheimnissen im Sinne des StGB dar. „So schließt man mit der Forderung nach der Möglichkeit des behördlichen Zugriffs gewisse Berufsgruppen von vornherein von der Nutzung von Cloud-Diensten aus und setzt sie den wirtschaftlichen Nachteilen aus, die sich daraus ergeben“, argumentiert Ulrich Ganz, Director Software Engineering bei der Münchner TÜV SÜD-Tochter uniscon.

Confidential Computing: Technologie vs Anordnung

Unternehmen, die Zugriffe durch Dritte – auch durch den Dienstbetreiber – zuverlässig verhindern wollen, setzen bereits jetzt auf Dienste, die das Prinzip des Confidential Computing umsetzen. Dabei werden sensible Daten nicht nur bei der Speicherung und Übertragung verschlüsselt, sondern bleiben auch während der Verarbeitung geschützt. Ziel des Confidential Computing ist neben einer allgemeinen Verbesserung der Datensicherheit auch, die Vorteile des Cloud Computing auch denjenigen Branchen zugänglich zu machen, die schützenswerte Daten verarbeiten.

Bei uniscons hochsicherer Business-Cloud idgard® wird der Confidential-Computing-Ansatz durch die Sealed-Cloud-Technologie realisiert. Hier schließen eine gründliche Datenverschlüsselung und ein Satz ineinander verzahnter technischer Maßnahmen in speziell abgeschirmten Server-Käfigen jeglichen unbefugten Zugriff zuverlässig aus. Nur der Kunde ist im Besitz des dazugehörigen Schlüssels.

Datenverschlüsselung verhindert Zugriff

Eine Anfrage von Dritten nach Zugriff auf diese Daten ist somit zwecklos, da auch der Betreiber keinen Zugang dazu hat. Diese Technologie erlaubt somit Berufsgruppen die Nutzung von Cloud-Diensten, die sonst davon ausgenommen wären, etwa Ärzte und Kliniken, aber auch Steuerberater, Wirtschaftsprüfer und viele mehr.

Es ist wichtig, dass gesetzgeberische Maßnahmen nicht mehr Schaden anrichten, als sie Nutzen generieren. Eine grenzübergreifende Auslieferung von Daten ist daher mit großer Skepsis zu betrachten und sollte auf keinen Fall überstürzt verabschiedet werden.

Mehr dazu bei uniscon.com

 


Über uniscon – Ein Unternehmen der TÜV SÜD Gruppe

Die uniscon GmbH ist ein Münchner Anbieter von DSGVO-konformen Cloud- und Datenraum-Lösungen für Unternehmen und einer der führenden Secure-Cloud-Provider in Europa. Die Produkte von uniscon greifen Hand in Hand: uniscons Sealed Platform® bietet eine sichere Ausführungsumgebung für Webanwendungen mit hohem Sicherheitsbedarf bzw. hohen Datenschutzanforderungen.


 

Passende Artikel zum Thema

Cloud-Speicher: Sichere und einfache Datenverwaltung

Ein Anbieter für Datensicherung lanciert seinen neuen Zero-Trust Cloud-Speicher, der in sein Backup-System integriert ist und auf Microsoft Azure basiert. ➡ Weiterlesen

NIS2-Richtlinie: Viele Unternehmen planen noch

Im Oktober diesen Jahres soll die NIS2-Richtlinie in Kraft treten. Bisher erfüllt nur ein Drittel der deutschen Unternehmen die Richtlinie ➡ Weiterlesen

Verfälschte Ergebnisse durch KI-Poisining

Seit der Veröffentlichung von ChatGPT stellt sich Cybersicherheitsexperten die Frage, wie sie die Verfälschung der GenKI durch Poisining kontrollieren sollen. ➡ Weiterlesen

E-Mail-Sicherheit: Effektiverer Schutz durch KI

Ein Anbieter von Sicherheitslösungen hat seine Plattform für E-Mail-Sicherheit weiterentwickelt. Die KI-gestützte Lösung ergänzt Microsoft 365 und verbessert den Datenschutz. ➡ Weiterlesen

KRITIS: Fernzugriff von OT-Geräten ist ein Sicherheitsrisiko

Der zunehmende Fernzugriff von OT-Geräten bringt eine größere Angriffsfläche und ein höheres Ausfallrisiko kritischer Infrastrukturen mit sich. Dies kann sich ➡ Weiterlesen

Risiken cyber-physischer Systeme reduzieren

Klassische Schwachstellenmanagement-Lösungen erkennen nicht alle Risiken von cyber-physischen Systemen (CPS). Das neue Exposure Management von Claroty ist speziell auf CPS-Risiken ➡ Weiterlesen

Negative Trust als Ergänzung zu Zero Trust

Negative Trust als Weiterentwicklung von Zero Trust: Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr. ➡ Weiterlesen

Schnelleres und platzsparendes Backup & Recovery

Mit der Unterstützung von Fast Clone unter Veeam Backup & Recovery lassen sich Dauer und Speicherbedarf für Backups dramatisch reduzieren. ➡ Weiterlesen