IT-Sicherheit:
Für Alternativen offen sein


[10.12.2020] Beim Homeoffice sowie beim Homeschooling muss die Datenschutz-Grundverordnung (DSGVO) beachtet werden. Das ist praktisch nicht möglich, wenn bekannte Anwendungen von US-Unternehmen genutzt werden – doch es gibt Alternativen.

Im Homeoffice sind Lösungen mit hohem Schutzniveau gefragt. Im Juli 2020 wurden viele kalt erwischt: Mitten in einer Pandemie, die viele Arbeits- und Schulplätze in die eigenen vier Wände brachte, wird das Privacy-Shield-Abkommen vom europäischen Gerichtshof (EuGH) für ungültig erklärt. Als Begründung gaben die Richter an, dass das europäische Datenschutzniveau von den amerikanischen Unternehmen nicht eingehalten werden kann. Jedoch ist bei einer Datenverarbeitung in Drittländern genau das die Anforderung. Das lässt sich nach Meinung von verschiedenen Datenschutzbehörden nicht heilen. Hintergrund sind Regularien, nach denen US-Unternehmen solche Daten an unterschiedliche Institutionen und Behörden herausgeben müssen – unter Umgehung der EU-Gesetzgebung. In der Folge kamen auch schon die ersten Abmahnungen. Bereits 101 Unternehmen wurden aufgrund von Verstößen verklagt.

Strenge Regeln für die Datenverarbeitung in Drittländern

Schon vor einigen Jahren war so das Safe-Harbor-Abkommen geplatzt. Dennoch scheint im Großteil von Europa der Eindruck zu herrschen, dass die nächste Ausnahmeregel vor der Tür steht und eine Änderung der IT-Struktur ein unnötiger Aufwand sei. Der EuGH bemängelt jetzt die Übertragung von Nutzer-, Telemetrie-, Meta- und weiteren Daten an die Server der US-Unternehmen. Die Erhebung solcher Daten kann nach der Datenschutz-Grundverordnung (DSGVO) aufgrund von Einwilligung stattfinden, jedoch wird es problematisch, wenn die Anbieter ihren Hauptsitz oder ihre Server in den USA haben. In diesem Fall gibt die DSGVO strenge Regeln für die Datenverarbeitung in Drittländern vor. Diese Regeln konnten durch das Privacy-Shield-Abkommen erfüllt werden. Nun ist die Verarbeitung von personenbezogenen Daten durch amerikanische Anbieter de facto illegal.

Öffentliche Source-Codes ermöglichen Transparenz

Die Daten, die übermittelt werden, zählen zu den personenbezogenen Daten, sie gelten somit als besonders schützenswert. Eine Verarbeitung unterliegt also strengen Richtlinien, die von der DSGVO vorgegeben werden. Nun wird immer bemängelt, dass es keine Lösungen gibt, die komfortabel und schnell sind, gleichzeitig aber über ein hohes Schutzniveau verfügen. Dadurch wird deutlich, wie hoch die Abhängigkeit von amerikanischen Unternehmen hierzulande ist. Trotz der Aussagen der EU-Kommission, die Datenhoheit zurückerlangen zu wollen, wird dieses Vorhaben bislang nicht umgesetzt. Dabei sind das Wissen und die Lösungen in Deutschland vorhanden, es muss nur Offenheit gegenüber Veränderungen bestehen.
Die bekannten Anwendungen können nach einem Lizenzerwerb sofort genutzt werden. Neben On-Premises-Lösungen bieten vor allem Abo-Cloud-Dienste wie Microsoft 365 und Google Workspace einen schnellen Einstieg. Dieser wird jedoch durch das Brechen der DSGVO erkauft. Wird eine sichere Lösung angestrebt, führt kein Weg an auf eigenen Servern installierter kommerzieller Software und Open Source Software vorbei. Die öffentlichen Source-Codes ermöglichen Transparenz und eine Kontrolle von unterschiedlichen Instanzen.

Angebot an Programmen ist vielseitig

Diese Transparenz führt dazu, dass Lücken schnell erkannt und Fehler zügig behoben werden können. Die Offenheit macht die Software auch unabhängig von einzelnen Unternehmen, Funktions- und Sicherheitsupdates können immer weiter entwickelt und veröffentlicht werden. Das Angebot an Programmen ist vielseitig. Für jede Office Suite gibt es ein LibreOffice, für jedes Zoom ein Jitsi Meet, für jedes WhatsApp oder Teams ein Element/Matrix und für jedes Outlook ein Thunderbird. Daneben existieren unzählige weitere Produktivlösungen, wie zum Beispiel Nextcloud.
Im Kern können Abo-Cloud-Dienste auch als Managed Cloud Service aufgefasst werden. Obwohl die Skepsis nicht zuletzt durch den Verlust von Daten bei Konferenzlösungen oder dem generellen Verlust des Privacy Shields gegenüber der Cloud groß ist, steigen die Nutzerzahlen stetig an. Um Sicherheitsbedenken auszumerzen, ist der Fokus auf Private Cloud Server wichtig. Im Gegensatz zu den Abo-Cloud-Diensten werden keine Public Server genutzt, sondern die Private Cloud befindet sich auf eigener Hardware, die nicht geteilt werden muss. Der schnelle, komfortable und sichere Weg ist also ein Managed Private Cloud Service. Ein deutscher Anbieter wie Cloud1X mit zertifiziertem deutschen Rechenzentrum macht das Bild komplett und gewährleistet eine 100-prozentige Compliance-Fähigkeit.

Plattformübergreifende Kommunikation

Für die tägliche Arbeit, im Büro oder in der Schule sind zum Beispiel Software-Angebote von Cloud1X Meet basierend auf Jitsi Meet und dem Messenger Element, der auf dem Matrix-Protokoll aufgebaut ist, geeignete Lösungen. Cloud1X Meet powered by Jitsi legt den Fokus auf Videokonferenzen, während Cloud1X Meet Element je nach Wunsch auf unterschiedliche Arten genutzt werden kann. In der Anwendung Element besteht auch die Möglichkeit, Unterhaltungen über Cloud1X Meet zu starten, um vom schriftlichen zum sprachlichen Austausch zu wechseln. Über Element können zudem Verbindungen zu anderen Messengern aufgebaut werden, was eine plattformübergreifende Kommunikation ermöglicht. Die von der EU-Kommission geforderte Protokoll-Interoperabilität und Offenheit kann somit schon heute in großen Teilen umgesetzt werden.
Weitere Services für Schulen und Kommunen, Tools für Verbands- und Gremiensitzungen, Streaming-Dienste und Portale runden das Portfolio ab. Wer die Zeit und den Aufwand in Kauf nehmen will, kann die Dienste auf seiner eigenen Infrastruktur hosten. Der Kosten-Nutzer-Faktor ist beim Kauf eines Managed Private Cloud Services jedoch deutlich höher, als beim Betrieb auf eigenen Servern.

Rechenzentrum im europäischen Wirtschaftsraum

Ein guter Managed Private Cloud Service kann anhand einiger weniger Faktoren identifiziert werden: Der Beauftrage ist Betreiber der Cloud Server und erhält einen Auftragsverarbeitungsvertrag (AV-Vertrag) vom Anbieter. Das ermöglicht die DSGVO-konforme Arbeit und erhöht die Transparenz. Der Anbieter verfügt zudem über mehrere Zertifikate, wie etwa ISO 27001. Das Rechenzentrum befindet sich im europäischen Wirtschaftsraum und die Server haben eine hohe Leistung. Die Bandbreite beträgt mindestens ein Gigabit, damit eine stabile Verbindung auch bei 2.000 Teilnehmern auf dem Server garantiert ist. Des Weiteren sollte geklärt werden, wie das Gesamtpaket aussieht und welche weiteren Funktionen möglich sind.
Der richtige Weg in die Zukunft ist die Nutzung von Private Cloud und Open Source Software. Das haben schon viele Landkreise in Baden-Württemberg und Bayern sowie anderen Teilen Deutschlands erkannt und sind auf Dienste von Cloud1X umgestiegen, um intern und extern einfach und sicher kommunizieren und arbeiten zu können. Statt auf neue Sonderregeln zu hoffen, ist jetzt der beste Zeitpunkt, um die Digitalisierung voranzutreiben. Die Lösungen sind da, sie müssen nur genutzt werden.

Andres Dickehut ist Geschäftsführer der Consultix GmbH, Bremen.

https://www.consultix.de
Dieser Beitrag ist in der Ausgabe Dezember 2020 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, Cloud1X, Consultix, Datenschutz-Grundverordnung (DSGVO), Open Source, Private Cloud

Bildquelle: muchmania/stock.adobe.com

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Nordrhein-Westfalen: Cybersicherheitsstrategie vorgestellt
[23.4.2021] Nordrhein-Westfalen hat eine neue Cybersicherheitsstrategie. Vorgesehen sind mehr Cyber-Cops, Warnungen vor Cyber-Attacken durch den Verfassungsschutz und eine Online-Plattform der im Innenministerium angesiedelten Koordinierungsstelle Cyber-Sicherheit. mehr...
Bayern: Leitfaden zum IT-Outsourcing
[31.3.2021] Einen Leitfaden mit Hilfestellungen zum datenschutzgerechten Outsourcing kommunaler IT hat jetzt der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht. mehr...
Interview: Unter digitalem Verschluss Interview
[25.3.2021] Früher waren sensible Akten unter Verschluss. Heute werden digitale Informationen mithilfe von Zugriffsrechten geschützt. Andreas Ahmann, Experte für Informationsmanagement, spricht über die Vorteile digitaler Rechtekonzepte für mobiles Arbeiten. mehr...
Andreas Ahmann
Initiative Sicherer Bürgerdialog: Webinar zu E-Mail-Verschlüsselung
[11.3.2021] Mit einem kostenlosen Webinar-Tag richtet sich die Initiative Sicherer Bürgerdialog von Net at Work und D-TRUST am 18. März an IT-Verantwortliche in den öffentlichen Verwaltungen. Thematisiert wird die sichere Kommunikation zwischen Bürgern und Behörden. mehr...
Die neue Initiative sensibilisiert für die E-Mail-Verschlüsselung in Behörden.
Homeoffice: Leitfaden für Kommunen Bericht
[1.3.2021] Phishing, Ransomware und unsichere Passwörter – auch in Zeiten von Homeoffice suchen Cyber-Kriminelle nach Schwachstellen im Netzwerk der Verwaltungen. Wer die Risiken kennt, kann jedoch effektiv gegensteuern. mehr...
Ein Leitfaden der ekom21 unterstützt Verwaltungsmitarbeiter beim sicheren Arbeiten im Homeoffice.
Suchen...

 Anzeige



 Anzeige

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 5/2021
Kommune21, Ausgabe 4/2021
Kommune21, Ausgabe 3/2021
Kommune21, Ausgabe 2/2021

Cloud1X
28195 Bremen
Cloud1X
ColocationIX GmbH
28195 Bremen
ColocationIX GmbH
Consultix GmbH
28195 Bremen
Consultix GmbH
ProCampaign®
28195 Bremen
ProCampaign®
Aktuelle Meldungen