Was macht Microsoft mit deinen Daten?

von Willy | Okt. 2, 2025 | Allgemein, Branchen-Info, Cloud, Datenschutz, Internet, Rechtliches, Sicherheit

Microsoft-Cloud: Datenhoheit bleibt ein ungelöstes Problem

Die Versprechen von Microsoft klingen überzeugend: Daten sollen in der Region gespeichert werden, die Kunden selbst wählen können. So soll Vertrauen geschaffen werden, dass sensible Informationen nicht unkontrolliert über den Globus wandern. Doch aktuelle Enthüllungen zeigen erneut: Die Realität sieht anders aus.

Globale Zugriffe trotz regionaler Speicherung

Das Thema ist wegen einem Fall aus Schottland aufgegriffen worden. Dort kam ans Licht, dass Polizeidaten, die eigentlich nur im Vereinigten Königreich verarbeitet werden sollten, aus über 100 Ländern weltweit abrufbar waren.

Selbst wenn Daten technisch in einer bestimmten Region gespeichert sind, heißt das nicht automatisch, dass der Zugriff auch regional begrenzt ist. Microsoft gab frei heraus, dass keine vollständige Garantie für die Datenhoheit gegeben werde können. Dasselbe sagte Microsoft auch schon den französischen Senat.

Verteilte Verantwortung, intransparente Risiken

Die Enthüllungen werfen ein Schlaglicht auf ein strukturelles Problem der Hyperscaler-Clouds: Der Betrieb stützt sich auf eine Vielzahl von Subunternehmern, Service-Providern und global verteilten Teams. Laut Analyse des Sicherheitsexperten Owen Sayers haben Microsoft-Mitarbeiter:innen und Subunternehmer in 105 Staaten Zugriff auf Daten – verteilt auf 148 Firmen.

Rechtliche Risiken für Behörden

Für die betroffenen Polizeieinheiten sind die Konsequenzen erheblich: Wenn sich nicht ausschließen lässt, dass personenbezogene Daten außerhalb des Vereinigten Königreichs verarbeitet wurden, drohen rechtliche Probleme. Schon die begründete Befürchtung, dass Daten unrechtmäßig ins Ausland geflossen sind, reicht nach aktueller Rechtsprechung aus, um Schadenersatzforderungen geltend zu machen.

Microsoft verweist zwar darauf, alle geltenden Gesetze einzuhalten, geht auf die konkreten Vorwürfe jedoch nicht ein. Police Scotland betont, man arbeite eng mit Aufsichtsbehörden zusammen. Dennoch warnen Beobachter wie der frühere britische Regierungs-CISO Bill McCluggage: Solange Microsoft Daten global verteilt, bleibt unklar, wer im Ernstfall Zugriff auf welche Informationen hat.

Bedeutung über Schottland hinaus

Der Fall betrifft nicht nur die schottische Polizei. Auch andere Behörden in Großbritannien, die Microsoft-Dienste einsetzen, müssen sich nun fragen lassen, ob sie die Kontrolle über ihre Daten wirklich behalten. Gleiches gilt für die EU: Die Enthüllungen verdeutlichen einmal mehr, dass Public-Cloud-Infrastrukturen globaler Anbieter nicht dafür ausgelegt sind, sensible Daten mit voller Rechtssicherheit zu schützen.

Die neue Richtlinie: NIS 2.0!

von Willy | März 8, 2024 | Allgemein, Branchen-Info, Datenschutz, IT Sicherheit, Rechtliches, Sicherheit, Tipp

Neue Herausforderungen für Unternehmen!

Die EU-Richtlinie NIS 2.0. hat richtige Wellen geschlagen – und auch viele Fragen aufgeworfen, wie zum Beispiel: „Wer ist davon betroffen?“, „Was muss ich tun, um NIS 2.0 konform zu sein?“, „Was ist sonst noch nötig?“.

Was ist die Richtlinie NIS 2.0?:

NIS 2.0 steht für Netzwerk- und Informationssicherheit und soll den Sicherheitsstandard der betroffenen Unternehmen anheben, sodass es Hacker schwerer haben, das Firmennetz zu infiltrieren und Daten zu stehlen.

Die Regelung tritt am 18. Oktober 2024 in Kraft – bis dahin muss jeder Betroffene alle möglichen Maßnahmen bereits implementiert haben!

Was muss ich tun, um NIS 2.0 konform zu sein?:

Risikomanagement:

Das Erkennen potenzieller Risiken und Gefahren und gleichzeitig Maßnahmen zur Abwehr und Vorsorge gegen diese Risiken.

Zum Beispiel, wo möglich, die Zwei-Faktoren Authentifizierung zu benutzen.

Verantwortung übernehmen:

Führungskräfte sind zuständig dafür, dass alle benötigten Sicherheitsmaßnahmen, nicht nur umgesetzt, sondern auch weiterhin gepflegt und immer auf dem neusten Stand sind.

Einen Plan für den Fall eines Cyberangriffs:

Falls das Unternehmen von einem Hackerangriff verschlüsselt worden ist, muss es Backups von den verschlüsselten Daten geben, damit die Geschäftstätigkeit des Unternehmens nicht zu einem kompletten Stillstand kommt.

Und es muss einen geregelten Ablauf geben, zum Beispiel: Alle Passwörter müssen regelmäßig geändert werden und es darf niemals ein altes Passwort wiederverwendet werden.

Meldewesen:

Falls das Unternehmen Opfer eines Angriffs wurde, muss es diesen innerhalb von 24 Stunden melden!

Mitarbeiter schulen:

Gewährleisten, dass alle Mitarbeiter wissen und verstehen welche Maßnahmen für NIS 2.0 notwendig sind.

Sicherheitslücken bei Lieferanten identifizieren:

Das hier ist der komplizierteste- und aufwändigste Punkt der ganzen Verordnung.

Nämlich, um die Sicherheit der Lieferkette zu garantieren, muss auch jeder Lieferant NIS 2.0 konform sein.

Um Nachzuweisen, dass der Lieferant auch wirklich die Sicherheitsvorgaben erfüllt, können Zertifizierungen verlangt oder Audits durchgeführt werden!

Wer ist davon betroffen? Und was passiert bei Nichteinhaltung?:

Wesentliche Einrichtungen sind große Unternehmen in den Sektoren:

Energie
Verkehr
Bankwesen
Finanzmarkt
Gesundheit
Trinkwasser
Abwasser
Verwaltung von IKT-Diensten
Weltraum

Mittlere Unternehmen dieser Sektoren sind Wichtige Einrichtungen!

Wichtige Einrichtungen:

Post und Kurier
Abfall
Chemie
Lebensmittel
Produktion
Digitale Dienste
Forschung

Ab wann gilt ein Unternehmen als groß oder mittel oder klein?

Größenklasse	Beschäftigte (VZÄ)	Jahresumsatz	Jahresbilanzsumme
Kleines Unternehmen (KU)	< 50 und	≤ 10 Mio. Euro oder	≤ 10 Mio. Euro
Mittleres Unternehmen (MU)	< 250 und	≤ 50 Mio. Euro oder	≤ 43 Mio. Euro
Großes Unternehmen (GU)	≥ 250 oder	> 50 Mio. Euro und	> 43 Mio. Euro

Was passiert bei Nichteinhaltung der Richtlinie?:

Haftung:

Ab dem 17. Oktober 2024, haften Geschäftsführer und Vorstände persönlich, bei Nichteinhaltung der NIS 2.0 Voraussetzungen!

Strafen:

bei wesentlichen Einrichtungen: bis zu EUR 10 Mio. und 2% des Gesamtjahresumsatzes des Konzerns

bei wichtigen Einrichtungen: bis zu EUR 7 Mio. und 1,4 % des Gesamtjahresumsatzes des Konzerns

Natürlich können wir helfen, um die geeigneten Maßnahmen mit minimalem Aufwand zu finden.

Bitdefender bietet viele einfache und effektive Lösungen wie zum Beispiel:

Bitdefender GravityZone Endpoint Security bietet zuverlässigen Schutz vor Ransomware, Phishing und anderen Bedrohungen aus dem Netz. Endpoint Security verwendet eine hochentwickelte KI mit erweiterten Risikoanalysen, Inhalts- und Gerätesteuerung sowie Netzwerkschutz und Exploit-Abwehr, um die Sicherheit von Servern und Arbeitsplatzrechnern zu gewährleisten.
GravityZone Advanced Threat Security bietet frühzeitigen Einblick in verdächtige Aktivitäten und schützt so vor neuen Bedrohungen.
Bitdefender EDR Cloud erkennt komplexe Bedrohungen in Echtzeit. Eine durchgehende Überwachung der Endpoints ist gewährleistet. Sicherheitsereignisse werden in einer Prioritätenliste zusammengefasst. Bitdefender EDR liefert visuelle Darstellungen, Bedrohungsanalysen
Bitdefender MDR Foundations for MSPs verschafft Ihnen Zugang zu unserem hochkarätigen Team aus Cybersecurity-Experten. Der Dienst umfasst 24/7-Überwachung und -Reaktion, proaktive
GravityZone XDR (Identitäts- + Produktivitätssensoren) for MSP ermöglicht es, überflüssige und zeitraubende Warnmeldungen zu reduzieren, damit Sie schneller auf Sicherheitsvorfälle reagieren können.
Full Disk Encryption (FDE) Verschlüsselt die Festplatten Ihrer Endpoints und senkt so das Risiko, dass Daten ungewollt gelöscht oder gestohlen werden.

Wir hoffen, dass das die Fragen um NIS 2.0 zumindest ein bisschen beantwortet hat!

Wenn jedoch noch Unklarheiten bestehen, dann melde dich doch bei uns! Wir helfen dir gerne weiter.

Euer Team von Purple-Tec

NEU – Nordpass Passwortmanager – NEU

von Willy | Juli 7, 2023 | IT Sicherheit, Produktempfehlung, Rechtliches, Sicherheit

Heute wollen wir euch endlich unser neues Produkt vorstellen – wir haben es auf diversen Veranstaltungen schon anklingen lassen, aber jetzt ist es nun so richtig so weit.

Nachdem das Passwortthema ein sehr breites, aber auch ein sehr wichtiges Thema ist, haben wir für euch nach einem Produkt gesucht, das nicht kompliziert zu verwalten und gut in den Alltag integrierbar ist.

Ein Passwortmanager ist eine Anwendungssoftware mit höchster Sicherheitsstufe, die es erlaubt, Passwörter zu speichern, zu verwalten und zu verwenden. Wir kennen dieses Problem doch wirklich ALLE, zu viele Benutzerkonten, zu viele Passwörter, lauter Passwortregeln (groß, klein, Sonderzeichen, Ziffer, … ) – natürlich ist das wichtig, wichtiger denn je – aber wir können uns halt nun einmal auch nicht alles merken. Wir können uns jedoch das Werkzeug organisieren, das uns dabei hilft, dass der Arbeitsalltag nicht zur Qual wird, weil wir dauernd Passwörter suchen oder zurücksetzen. Oder vielleicht noch mit Post-it am Bildschirm geklebt und keiner weiß für welches Benutzerkonto das denn jetzt wieder war.

Nordpass ist ein Online Password Manager von Nord Security, dem Hersteller, der etwas bekannteren Lösung, Nord VPN. Es gibt zwei verschiedene Varianten, die Business und Enterprise Subscription, die sich in ihren Features, und somit auch preislich, unterscheiden.

Hast du Interesse? Wir versorgen dich gerne mit diversen Materialien, Angeboten und sonstigem Know-How, damit du weißt, wie du das am besten angehst und in deiner Firma ressourcensparend einsetzen kannst. Melde dich gerne bei uns.

Dein Team von Purple-Tec

Facebook nutzt Sicherheitslücke auf iPhones

von Mary | Apr. 25, 2018 | Cyber-Kriminalität, Datenschutz, Mobile, Rechtliches, Sicherheit, Software, Telekommunikation

Facebook greift wegen fehlender Whatsapp-Verschlüsselung auf Datenbank zu

Ein Entwickler von Mac-Tools zur Verwaltung von iPhone-Daten hat bestätigt, dass Facebook durch ein technisches Schlupfloch verschlüsselte Daten von Whatsapp auslesen kann. Da Facebook und Whatsapp zum gleichen Anbieter gehören, können diese Daten einfach untereinander austauschen.

Prinzipiell sei es laut des Entwicklers kein Problem die lokal entschlüsselt vorliegende Whatsapp-Datenbank an Facebook weiterzugeben. Auch wenn der Entwickler nicht behauptet, dass dies tatsächlich geschieht – sicher sein kann man da nicht. Feststeht auf alle Fälle, dass Facebook und Whatsapp trotz iO-Sandbox Daten austauschen können, sobald beide Apps auf einem iPhone installiert sind.

Auch wenn iOS-Apps normalerweise durch die Sandbox vom System, als auch voneinander abgeschottet sind, macht Apple wohl eine Ausnahme für Apps, die von demselben Entwickler stammen. Wenn Programme zur gleichen „App Group“ gehören, teilen sich diese ein gemeinsames Verzeichnis („group.com.facebook.family“). Also ist WhatsApp nach dem Abkauf durch Facebook zur App-Gruppe des sozialen Netzwerks hinzugefügt worden und darf nun auch Daten austauschen.

Obwohl per Whatsapp versendete Nachrichten per End-to-End-Verschlüsselung verschlüsselt sind, ändert das nichts an dem Zustand, dass wichtige Daten dennoch ausgelesen werden. Auf einem entsperrten iPhone lässt sich die komplette Datenbank der App erfassen – und das wortwörtlich im Klartext!

Einer der Gründe: Whatsapp selbst könnte die Nachrichten sonst nicht verarbeiten…

In der frei zugänglichen Datenbank sind dann theoretisch alle notwendigen Informationen enthalten, um die gesamte Chat-Historie zu rekonstruieren. Das betrifft sensible Daten, wie Namen, Telefonnummern, Zeitmarkierungen, die Inhalte der Nachrichten inklusive Verweise auf Anhänge. Bereits im Jahr 2015 hat heise Security bereits die Umsetzung der Whatsapp-Verschlüsselung geprüft und festgestellt, dass diese im Alltag de facto unwirksam ist. Laut des Mac-Entwicklers, benutze Facebook die Ausrede der End-to-End-Verschlüsselung, um die Nutzer in falscher Sicherheit zu wiegen. Die Behauptung Mark Zuckerbergs, dass der Konzern keine Whatsapp-Inhalte sehen und diese somit auch nicht zu Werbe- oder sonstigen Zwecken analysieren könne, ist laut des Mac-Entwicklers einfach nicht richtig.

Fit für die DSGVO??

von Mary | Apr. 13, 2018 | Branchen-Info, Datenschutz, IT Technik, Rechtliches, Sicherheit, Tipp

Großes allgemeines Umsetzungs-Defizit: Jedes dritte Unternehmen noch nicht im Ansatz auf die DSGVO vorbereitet

Da es voraussichtlich weiterhin Thema bleiben wird – vor allem wohl nach Einführung – wollen wir nun auch mal einen kleinen Beitrag zur DSGVO bringen. Man muss ja dem Trend folgen…

DSGVO – gut gemeint, aber…

Ab Ende Mai ist es soweit: Die besorgniserregende Datenschutz-Grundverordnung tritt in Kraft und wird große Auswirkungen in Form eines EU-weit geltenden Datenschutzrechts haben. Die Absicht dahinter mag ja positiv sein: Ein besserer Schutz der persönlichen Daten in Zeiten von wachsender Digitalisierung, Social Media wie Facebook, WhatsApp etc. Soweit sogut.

Für uns Unternehmen ist das alles eine reine Tortur bzgl. Verwaltungsarbeit, wenn jedes noch so kleine Detail in Form von Verarbeitungsverzeichnissen (vorher: Verfahrensverzeichnis) festgehalten werden muss. Außerdem zählen ja nicht nur die Kundendaten zu den personenbezogenen Daten. Da gibt es ja noch die Mitarbeiter und alle Geschäftspartner, sowie Personen, mit denen man schon lange nichts mehr zu tun hat. Der Anwendungsbereich der DSGVO ist enorm, weil selbst IP-Adressen zu schützen sind.

„Brauchen wir eigentlich Verfahrens-Verzeichnisse für unsere Verfahrens-Verzeichnisse??!“ (klenner.at)

Es besteht nun bald (oder eigentlich schon jetzt) ein gewaltiger Mehraufwand, da alle Prozesse und Verträge genauestens durchleuchtet, oder komplett neu organisiert, sowie umfassend dokumentiert werden müssen. Die neuen Dokumentations- und Transparenzpflichten verlangen das. Man muss sogar festhalten WIE man personenbezogene Daten erhebt. Und die paar Ausnahmen, die in der Verordnung gemacht werden, betreffen praktisch fast niemanden…

Angesichts der Dimension die das „Projekt DSGVO“ angenommen hat, ist die Zeit bis zum 25. Mai 2018 mehr als knapp bemessen. Besonders problematisch ist es oft für die kleineren KMUs unter uns, die nichtmal genügend Manpower haben, um das alles innerhalb kürzester Zeit umzusetzen.

Noch schlimmer gestaltet sich die Situation für diejenigen Unternehmen, die sich bisher noch gar nicht damit auseinandergesetzt haben – in deren Haut wir nicht stecken möchten. klenner.at hat auch schon einiges unternommen, um für die DSGVO sogut es eben geht gewappnet zu sein und in keine großen Fettnäpfchen zu tappen, sollte die Verordnung wirklich mit aller Härte durchgeboxt werden. Man weiß es ja leider nicht. Bei unzureichender Datensicherheit drohen Bußgelder bis zu 4% des gesamten weltweiten Jahresumsatzes.

Aber wie immer wollen wir auf Nummer Sicher gehen – und das nicht nur bzgl. Virenschutz oder Backups!

Datenschutz von vornherein

Hier sind die „TOMS“ (den technischen und organisatorischen Maßnahmen) wichtig, die dem Stand der Technik entsprechen müssen. Dazu gehört u.a. die Belastbarkeit der IT-Systeme. Damit hängt auch die Entwicklung von neuen Produkten, Diensten und Anwendungen zusammen, die mit den Datenschutz-Grundsätzen übereinstimmen müssen („privacy by design“). Software soll nur noch soviel Daten erheben, wie es zur Zweckerfüllung notwendig ist (Daten-Minimierung).

Interne Kommunikation im B2B – Datenschutz fängt bei den Mitarbeitern an

Die Wahl der Systeme und Anwendungen gilt es also zu beachten. Aber was heißt das? Oft kommunizieren Mitarbeiter über eine breite Palette an Lösungen, welche eigentlich nicht für den professionellen bzw. geschäftlichen Einsatz konzipiert sind. Gerade für Mitarbeiter, die keinen festen Arbeitsplatz haben oder oft unterwegs sind, sind Facebook, Whatsapp etc. willkommene Hilfsmittel im Arbeitsalltag. Einige von euch werden das sicher auch kennen.

Für die vertrauliche, interne Kommunikation muss in Zukunft definitiv eine andere Lösung gefunden werden, da hier keine Datensicherheit gewährleistet werden kann. Whatsapp und Co. Übermitteln laufend Daten zwischen Sender- und Empfängergeräten. Dabei gelangen Adressbücher, Statusanzeigen und Infos über das Nutzerverhalten direkt an Server in den USA. Das ist so ziemlich das Gegenteil von dem, was die DSGVO im Sinne hat.

Bei den gängigen Social Media Tools fehlen oft MDM (Mobile Device Management) Optionen oder Schnittstellen für entsprechende Integrationslösungen. Kurz gesagt: Ab Ende Mai sollten Mitarbeiter solche Anwendungen besser nicht mehr geschäftlich nutzen und am besten erst gar nicht auf dem Smartphone haben, insofern Sie darauf geschäftliche Daten verwalten. Arbeitgeber sollten daher über Firmen-Handys nachdenken.

Wenn man nicht ernsthaft ins Visier der Datenschützer geraten will, empfiehlt es sich als Alternative unternehmensinterne Kommunikationsplattformen einzusetzen. Es gibt professionelle Mitarbeiter-Apps, die die gesamte interne Kommunikation in einer datenschutzkonformen Anwendung bündelt, externe Systeme integriert und die Kommunikation aus privaten Social-Media-Kanälen ins Unternehmen personalisiert zurückholt.

Anforderungen an eine datenschutzkonforme Mitarbeiter-App bzw. die interne Kommunikation findet ihr unter diesem Link.Eine gute Übersicht bzw. die empfohlene Herangehensweise für Unternehmen bei diesem Thema ist in diesem Artikel von SearchSecurity beschrieben.