Schlagwort-Archiv: Cloud

32. RDV-Forum: ein Tagungsbericht

Am 13.11.2013 fand im Maternushaus zu Köln unter der Leitung des Ehrenvorsitzenden des GDD Gesellschaft für Datenschutz und Datensicherheit  e.V. Prof. Peter Gola in seiner Funktion als Verantwortlicher Schriftleiter der Fachzeitschrift RDV das 32. RDV-Forum statt. Weiterlesen

Big Data Summit 2013 – ein Erfahrungsbericht

Zu Beginn dieser Woche hatte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zum Gipfeltreffen 2013 “Big Data” nach Bonn geladen. Der Einladung folgten über 600 Teilnehmer, die (laut Untertitel der Veranstaltung) auf der Suche waren nach Impulsen für ihr Business.

Um für den eiligen Leser das Fazit an dieser Stelle schon vorweg zu nehmen: Die Suchenden dürften wohl leer ausgegangen sein. Zwar wurden die Ideen und Konzepte, die zusammenfassend mit dem Schlagwort Big Data bezeichnet werden, zu Beginn der Veranstaltung durch einen kurzweiligen gespielten Dialog eines fiktiven Unternehmers mit seinem fiktiven IT-Abteilungsleiter in verständlichen Worten dargestellt und anschließend wissenschaftlich korrekt von Prof. Dr. Wrobel vom Fraunhofer IAIS aufbereitet. Danach ist Big Data die Fortschreibung von gegenwärtig vier vorhandenen Trends, u.a. Social Media und die damit verbundenen nutzergenerierten Inhalte. Aber vor der Mittagspause waren konkrete Handlungsvorschläge oder Beispiele Mangelware und die Ausführungen der Referenten erschöpften sich in “Heilsversprechen”. Dieses Wort hatte Dr. Thilo Weichert, Leiter des ULD Schleswig-Holstein, zuvor in seinem Beitrag in der Zeitschrift für Datenschutz (ZD) 2013, Seiten 251 ff im Rahmen seines Problemaufriss völlig zu Recht verwendet. Tenor der ersten Vorträge war, dass mit dem Einsatz von Big Data Werkzeugen alles besser und effizienter würde. Kosten ließen sich sparen, Umsätze steigern oder gar neue Quellen erschließen, etc. Kurz: Das Übliche bei vertriebsorientierten Vorträgen. Substantieller Vortrag fehlte derweil. Anders dagegen der Nachmittagsbereich. Nun kamen neben den klassischen Einsatzgebieten wie Wettervorhersage und Stauprognose, bzw. Navigationssysteme erste praktische Anwendungsbeispiele zur Sprache, die sich schon schemenhaft aus der Ankündigung der Referenten und ihrer Herkunft ergaben. Für den durchschnittlichen Mittelständler ergaben sich jedoch, unabhängig von der Branche, wohl keine konkreten Impulse fürs Geschäft.

Ganz im Gegenteil: Bezüglich des Themas Big Data, welches nun schon seit einiger Zeit durch die IT-Fachpresse geistert und sich nach Einschätzung der Referenten im Gartner-Hype-Cycle schon auf dem absteigenden Ast nach dem ersten Zenit befindet, wurde von einem referierenden Mittelständler konstatiert, dass der Einsatz entsprechender Methoden und Werkzeuge in seiner Branche derzeit nur bei den Big Five zu vernehmen ist. Der Markt sei hart umkämpft, der Einsatz neuer Methoden risikoreich. Sollten sich doch erst die Großkonzerne eine “blutige Nase” holen, solange die Verfahren noch in der Kinderschuhen stecken. Die Mittelständler würden entsprechende Methoden und Werkzeuge erst einsetzen, wenn diese sich bewährt haben.

Die Skepsis ist völlig zu Recht angebracht. Sämtliche Träume von Marketingabteilungen in Zusammenhang mit Big Data sind pure Illusion. Entsprechende Werkzeuge sind konzeptionell darauf ausgelegt, zunächst alle verfügbaren Daten zu erfassen und zu speichern. Danach erst beginnt zu einem späteren Zeitpunkt die Nutzung der Daten und damit auch erst die Festlegung des Zwecks der Verarbeitung. Soweit die erhobenen Daten nicht ausschließlich aus dem Bereich machine-to-machine (M2M) stammen, wo sicherlich lohnenswerte Einsatzmöglichkeiten zu finden sind, sind im Bereich der personenbezogenen Daten nahezu keine Einsatzmöglichkeiten erkennbar, die mit geltendem Recht in Europa vereinbar sind. Hier treffen einfach zwei Grundideen diametral aufeinander: Big Data vs. Datenvermeidung und Datensparsamkeit.

Dass sich Anwendungsbeispiele durchaus anhand us-amerikanischer Unternehmen aufzeigen lassen, ergibt sich schlicht aus dem dortigen Datenschutzrecht. Als Europäer darf man es aber durchaus für sehr bedenklich halten, wenn unter Geringschätzung der IT-sicherheitsrelevanten Gefahren, die großen Datensammlungen immanent sind, große Gefährdungen der Persönlichkeitsrechte in Kauf genommen werden. Der Schritt zum gläsernen Menschen ist nicht mehr weit, wenn mittels Big Data Verfahren individuelle Verhaltensvorhersagen ermöglicht werden, welche selbstverständlich für Marketingzwecke interessant sind. Wenn sodann die Technick noch entgegen bewährter Prinzipien der Statistik – Definieren eine These und validiere sie mittels Zahlen! – die Zahlen die These vorgeben (oder jedenfalls durch das Aufzeigen von Korrelationen das Formulieren der These stark beeinflussen), dann dürfte dem Thema doch tatsächlich mit Bedenken zu begegnen sein.

Nachlässiger Umgang mit Passwörtern ist gefährlich

Mehr als 50 Millionen Passwörter von Nutzern musste der Anbieter des Cloud-Dienstes Evernote zurücksetzen, nachdem unbekannte Kriminelle sich Zugang zu einer Datenbank des Diensteanbieters verschafft hatten, in der neben anderen personenbezogenen Daten der Nutzer auch deren Passwörter hinterlegt waren (mehr bei Heise).

Treffen solche Vorfälle mit der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang 2013 in einer Umfrage festgestellten Nachlässigkeit der Nutzer im Umgang mit ihren Passwörtern zusammen (siehe “Umfrage belegt: Deutsche Internetnutzer sind bei Passwörtern zu bequem“) schnell sensible Bereiche in Unternehmensnetzwerken kompromittiert.

Eine der wichtigsten Grundregeln für den Umgang mit Passwörtern ist deshalb:

Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.

Weiterlesen

ENISA veröffentlicht Studie zum “Critical Cloud Computing”

Die European Network and  Information Security Agency (ENISA) hat im Februar 2013 die im Dezember 2012 erstellte Studie “Critical Cloud Computing” (PDF, englisch) vorgestellt. Die Studie befasst sich mit den spezifischen Vor- und Nachteilen des Cloud Computing und unterstellt, dass in wenigen Jahren 80% aller öffentlichen Einrichtungen und privaten Unternehmen Cloud-Dienste nutzen und zumindest in Teilen ihrer Geschäftsprozesse von Cloud-Anwendungen abhängig sein werden.

Die Verfasser der Studie kommen zu dem Ergebnis, dass Cloud Computing wegen der damit erreichbaren Sicherheitsstandards und globalen Verfügbarkeit von Diensten und Inhalten erhebliche Vorteile biete, zugleich aber – insbesondere im Finanz-, Energie- und Transportbereich – kritisch sei, insbesondere wenn es um Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) gehe. Dabei folge die Kritikalität aus den Auswirkungen, die erfolgreiche Angriffe (Cyber Attacks) auf Millionen von Nutzer und geschäftsrelevante Anwendungen hätten, aber auch  aus denkbaren rechtlichen Auseinandersetzungen zwischen Anbieter und Anwender oder Aufsichtsbehörden. “Risk Assessment” (Risikoermittlung und Risikobewertung), “Security Measures” (Maßnahmen der Informations-/IT-Sicherheit) und “Incident Reporting” (Berichtspflichten bei Störungen/Notfällen) seien deshalb für die Nutzung des Cloud Computing von herausragender Bedeutung.

Neue EU-Studie: “Fighting cyber crime and protecting privacy in the cloud”

Unter dem TItel “Fighting cyber crime and protecting privacy in the cloud” hat das EU-Parlament eine neue Studie vorgestellt (PDF, englisch). Der Studie vorausgegangen war die Mitteilung der Kommission zur “Freisetzung des Cloud-Computing-Potenzials in Europa” vom 27.9.2012 (COM (2012) 529 final, PDF).

DIe Studie befasst sich mit den Auswirkungen der zunehmenden Nutzung von Cloud-Diensten in der EU. Im Mittelpunkt stehen die von der EU ergriffenen Maßnahmen zur Sicherung der Daten in der Cloud, insbesondere mit Blick auf den Datenschutz, das anwendbare Recht sowie die Verantwortlichkeit und Regulierung von Datenübermittlungen bzw. Auftragsdatenverarbeitungen in Drittstaaten außerhalb von EU/EWR.

Die Ergebnisse der Studie sind ernüchternd: Weder die Empfehlungen der Art. 29 Gruppe zum Cloud Computing (Opinion 05/2012/WP 196, PDF) noch die (geplanten) Regelungswerke der EU hätten/könnten dazu beigetragen, die Sicherheit der EU-Bürger in der Cloud bei Datentransfers in Drittstaaten zu erhöhen oder die offenen Rechtsfragen zu lösen.

So führen die Verfasser der Studie u.a. aus:

“Consumers’ rights are subsumed into a complex mesh of contracts among private entities. [...] Lack of legal certainty surrounding the concept of cybercrime and legal frameworks of cloud-based investigations, as well as inadequate tools to safeguard privacy and data protection increase the potential for misuses and abuses by law enforcement actors and agencies. European citizens’ data are not sufficiently protected in this regard.”

Cloud Computing ‘Made in Europe’ – Thesen zu IT-Sicherheit

Unser Geschäftsführer und externer Datenschutzbeauftragter Sascha Kremer hat auf dem Jahrestreffen der Softwareforen 2013 in Leipzig ein Streitgespräch zum “Cloud Computing ‘Made in Europe’ – Thesen zur IT-Sicherheit” geführt. Gemeinsam mit Dominik Birk, hauptberuflich als Account Manager im Bereich Information Security bei einer global agierenden Versicherung in Zürich tätig, wurden vier Thesen mit den Teilnehmern diskutiert.

Dabei ging es um die folgenden Thesen:

  • „Vollständiges sicheres Prozessieren von Daten in der (public) Cloud ist zum derzeitigen Stand nicht möglich – egal, was die Industrie verspricht.“ (Dominik Birk)
  • „Rechtssicher ist nur die private Cloud. Manchmal.“ (Sascha Kremer)
  • „Nicht nur Nutzer haben die Vorteile von Cloud Services erkannt – auch Angreifer werden vermehrt die Cloud in ihre zukünftigen Angriffe mit einbeziehen.” (Dominik Birk)
  • „Aufsichtsbehörden sind nicht böse. Sondern hilfreich.“ (Sascha Kremer)

Über die datenschutzrechtlichen Fragestellungen bei der Nutzung von Cloud-Lösungen, gleich ob “public” oder “private”, werden wir zukünftig auf unserer Website berichten.