Wirtschaftsprüfer, Rechtsanwälte, Steuerberater und Unternehmensberater: Vier Perspektiven. Eine Lösung. Weltweit. …
Wir prüfen Ihre Vergangenheit und beraten Sie bei der Umsetzung zukünftiger Anforderungen und Vorhaben. Erfahren …
Unsere Mandanten vertrauen uns ihre wichtigsten rechtlichen Angelegenheiten an. Erfahren Sie mehr über unsere …
Steuergesetze sind komplex und dynamisch. Wir stellen uns gemeinsam mit Ihnen der Herausforderung Steuerrecht – …
Wir unterstützen Sie mit individuellen Lösungen, damit Ihr Unternehmen auch in Zukunft erfolgreich am Markt agiert …
Gewerkschaft scheitert: Gericht lehnt Ausschluss aus Personalrat ab
Krankenhausreform: Neue Ausnahme von der Fusionskontrolle im Krankenhauswesen
Änderung der Rechtsform des Zuwendungsempfängers: Förderung adé?
In the News: Baker Tilly greift im Genossenschaftssektor an
Herausforderungen in der Unternehmensfinanzierung: Baker Tilly auf der Structured FINANCE 2024
Nachhaltigkeitsberichterstattung bei kommunalen Unternehmen: Änderung des Anwendungsbereichs zeichnet sich ab
Pillar 2: Registrierungspflichten bei Mindestbesteuerung zum Ende des Jahres
BEG IV: Umfassende Änderungen bei Verrechnungspreisdokumentationen
Vorsteuerabzug: Neue Regelungen für Kreditinstitute
Rechtssicherheit im Umgang mit Daten von Beschäftigten? Referentenentwurf für ein Beschäftigtendatengesetz
Immaterieller Schadensersatz: Facebook unterliegt beim BGH wegen Datenschutzverletzung
Digital-Gesetz: C5 für Cloud-Dienste im Gesundheitswesen
Branchenspezifische Kenntnisse sind unerlässlich, um die besten Voraussetzungen für individuelle Lösungen zu …
Aufgeheizte Stimmung im Fernwärmemarkt – Rahmenbedingungen, Preismechanismen und Klagen
Resilienz kritischer Infrastrukturen: Was Unternehmen jetzt über das KRITIS-Dachgesetz wissen müssen
Profitieren Sie von gebündelten interdisziplinären Kompetenzen, Experten-Teams und individuellen Lösungen. Erfahren …
Baker Tilly bietet ein breites Spektrum individueller und innovativer Beratungsdienstleistungen in an. Erfahren …
Baker Tilly beruft zwölf neue Partner aus eigenen Reihen
Baker Tilly Partner Dr. Alexander Fridgen als vorläufiger Insolvenzverwalter der CamperBoys GmbH bestellt
Baker Tilly Partner bestätigen Management Board
Ein spektakulärer Hackerangriff hat grundsätzliche Fragen zur Sicherheit der Cloudlösung von Microsoft aufgeworfen.
Zunächst völlig unbemerkt konnten Hacker auf bis dato sicher geglaubte geschäftliche und private E-Mails in Exchange Online und Outlook.com mehrerer Azure-Cloud-Kunden zugreifen. Erst nach über einem Monat entdeckte eine der betroffenen Organisationen selbst den Missbrauch. Daraufhin beseitigte Microsoft die Angriffsmöglichkeit, informierte per Blog Post die Öffentlichkeit und kündigte eine umfassende Aufklärung des Falles an. Dennoch wirft dieser Vorfall die Frage auf: Was können Nutzer von Cloud-Diensten tun, um ihre Daten angemessen zu schützen?Microsoft Azure Hack: Was ist passiert? Etwa 25 US-amerikanische Kunden sollen von dem Hack betroffen sein. Die Angreifer nutzten einen gestohlen Signaturschlüssel. Ein kompromittierter Signaturschlüssel hat weitreichendere Folgen für die Sicherheit als kompromittierte Zugangsdaten einzelner Nutzer, wie sie typischerweise durch Phishing erbeutet werden. Die vertrauenswürdige Prüfung digitaler Identitäten wird durch zuverlässige Verschlüsselungsmechanismen nicht nur geschützt, sondern überhaupt erst möglich. Der technische Ablauf: Die Partei, die sich für einen Datenzugriff authentisieren möchte, weist ihre Identität einem sogenannten Identitätsanbieter gegenüber nach. Dieser Identitätsanbieter prüft und bescheinigt mit seinem Prüfsiegel, dem Signaturschlüssel, den erfolgreichen Nachweis. Woraufhin der angefragte Server, hier Exchange Online und Outlook.com, dann der Partei den gewünschten Zugriff gewähren. Die Hacker konnten mit dem gestohlenen Signaturschlüssel ihre eigenen unlauteren Zugriffe autorisieren.
Warum ist der Azure Hack so schwerwiegend? Alle Identitäten, die durch den Identitätsanbieter geprüft werden, können vorgetäuscht werden. Dadurch ist der Zugriff auf alle Ressourcen, die den Identitätsanbieter und dessen Signaturschlüssel anerkennen, möglich. Im vorliegenden Fall, so das Cloud Security Unternehmen Wiz, waren alle Dienste die Microsoft OpenID v2.0 und persönliche Microsoft Konten nutzen, betroffen. Das hat Auswirkungen auf Microsoft Anwendungen wie Outlook, SharePoint, OneDrive, und Teams - aber auch spezifische Unternehmensanwendungen, die eine Anmeldung mit Microsoft unterstützen.
Laut Microsoft ist im konkret vorliegenden Fall die Gefahr gebannt. Microsoft hat den verwendeten Signaturschlüssel für ungültig erklärt. Dieser wird nicht mehr anerkannt. Problematisch bleibt: Nicht Microsoft erkannte die Kompromittierung, sondern eine der betroffenen Organisationen. Neben dem verwendeten Signaturschlüssel gibt es weitere (aktuell: sieben) mit gleicher Funktionalität. Microsoft hat nachvollzogen, wie die Hackergruppe in den Besitz des Signaturschlüssels gekommen ist: eine unglückliche Kombination fehlender Überprüfungen und unwirksamer Einschränkungen. Ob weitere Schlüssel kompromittiert sind, ist bisher nicht bekannt. Es ist für die Zukunft nicht auszuschließen, dass auch solche Schlüssel durch eine ähnlich bedauerliche Verkettung von Umständen in falsche Hände gelangen können.
Wie lässt sich die Cloud Security erhöhen? Dieses und Beispiele wie der Datenverlust der dänischen Cloudprovider CloudNordic und AzeroCloud zeigen, dass erhebliche Risiken auch bei der Nutzung von Clouddiensten verbleiben. In der Konsequenz empfiehlt es sich darüber nachzudenken, welche Sicherheitsmaßnahmen operativ oder auch strategisch ergänzt werden können und ob z. B. die Kosten eigener redundanter Datensicherungsmaßnahmen, zusätzliche Sicherheits-Auditierungen die Risiken von Unternehmen wirksam reduzieren können.
Auch im Hinblick auf die Vertragsbedingungen gilt es bei der Auswahl des Cloudanbieters große Sorgfalt walten zu lassen. Etwaige Haftungsrisiken gegenüber Endkunden hinsichtlich des Verlusts ihrer Daten lassen sich ggf. vertraglich auf den Cloudanbieter abwälzen und schon von vornherein dadurch verringern, dass letzterer besonders sorgfältig ausgewählt wird.
Daneben ist zu beachten, dass bei Verlust personenbezogener Daten Meldepflichten mit kurzen Fristen gegenüber Datenschutzbehörden gelten. Informiert ein Cloudanbieter nicht, nicht rechtzeitig oder unvollständig, kann das zur Versäumnis einer solchen Frist und schließlich zu Bußgeldern führen. Ob ein Cloudanbieter gegenüber seinen Kunden im Hinblick auf solche Bußgelder ganz oder teilweise haftet oder zur Freistellung verpflichtet ist, ergibt sich zum einen aus den jeweiligen Verträgen, zum anderen sind grundsätzlich gesetzliche Ansprüche denkbar, soweit diese nicht gerade vertraglich ausgeschlossen sind. Zudem können Cloudkunden ggf. erhöhte Sorgfaltspflichten bei der Überwachung bzw. Kontrolle des Cloudanbieters treffen, wenn bei diesem bereits sicherheitsrelevante Vorfälle bekannt sind oder wie im Fall Azure erst sehr spät vom Cloudanbieter mitgeteilt werden. Je nach Einzelfall mag ein Anbieterwechsel erforderlich sein. Dies alles hilft aber nicht gegen den Ärger, der durch etwaig abgegriffene sensible Daten wie Geschäftsgeheimnisse, vertrauliche Kommunikation etc. entsteht. Während der US-Kongress die Untersuchung der Ursachen und notwendiger Schlussfolgerungen vorantreibt, bleiben Reaktionen aus Europa bisher aus. In der Zwischenzeit ist es ratsam, bestehende Verträge mit Cloudanbietern in verschiedener Hinsicht zu prüfen und bei Neuabschluss ein besonderes Augenmerk auf folgende sicherheitsrelevante Punkte zu legen:
Außerdem sollten Cloudnutzer unabhängig vom Anbieter ein Notfallkonzept haben, damit im Ernstfall strukturiert und überlegt reagiert werden kann. Dem vorgelagert empfiehlt sich in jedem Fall die Schulung von Mitarbeitern im richtigen Umgang mit Daten und der Cloud-Umgebung und soweit sinnvoll möglich, die Verschlüsselung von Daten sowohl in transit als auch in der Cloud. Verschlüsselte Dateien, die per E-Mail versendet werden, bleiben auch bei Abgriff durch Hacker sicher. Obwohl es im vorliegenden Fall nicht geholfen hätte, sollte dennoch als wirkungsvoller Schutz gegen die Entwendung von Zugangsdaten eine Multi-Faktor-Identifizierung Standard sein.
Die Entscheidung für den Weg in die Cloud und die Sorgfalt bei der Auswahl eines Anbieters sind essentiell und mit der Erwartung eines entsprechenden Sicherheitsniveaus verbunden. Wenn aber - wie im vorliegenden Fall –die erforderliche Sicherheit, als Teil des Wertversprechens eines Anbieters, nicht gegeben ist, können die Folgen für Unternehmen existenzielle Ausmaße annehmen. Finden Sie jetzt heraus, was das interdisziplinäre Team von Baker Tilly für Ihre Cyber Security und Ihren Datenschutz tun kann.
Dr. Christian Engelhardt, LL.M.
Partner
Rechtsanwalt
Boris Ortolf
Director
Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP)
Jetzt Kontakt aufnehmen
Kontakt aufnehmen
Alle News anzeigen