Kategorie: Informationssicherheit

  • In aller Kürze: Digitale Souveränität & KI

    In aller Kürze: Digitale Souveränität & KI

    Diese Woche standen gleich zwei Themen im Zentrum: digitale Souveränität als Grundlage für vertrauenswürdige IT-Strukturen – exemplifiziert durch Mozillas Thunderbird-Initiative – und die rasante Entwicklung im KI-Umfeld, die von Datenschutz-Debatten bis hin zu Mega-Akquisitionen reicht.

    Digitale Souveränität: Thunderbird als Alternative

    Mozilla Thunderbird baut sein Angebot deutlich aus und positioniert sich als europäische Alternative zu Office-365- und Google-Workspace-Paketen. Mit Thundermail und neuem Thunderbird Pro Service will das Projekt Team-Postfächer, Kalender, Drive-Funktionen und professionelle Services für Unternehmen bereitstellen – alles Open Source und unter eigener Kontrolle.
    🔗 Thunderbird-Blog: Thundermail & Pro-Services

    KI & Datenschutz: Zwischen Faszination und Skepsis

    • Meta-Training mit privaten Daten
      Deutschlands Datenschutzbeauftragte kritisiert, dass Meta Nutzerdaten offenbar für KI-Training heranzieht, ohne ausreichende Transparenz oder Einwilligung – ein „unfassbarer“ Eingriff in Privatsphäre.
      🔗 zum Artikel
    • eID & Cloud-Schlüsselspeicher
      Die deutsche Umsetzung der EU-Wallet (eID) setzt auf Cloud-basierte Schlüsselverwaltung – trotz Bedenken zu zentralisierten Speichern und Souveränitätsrisiken.
      🔗 zum Artikel
      🔗 BSI – eID-Login für Webanwendungen
    • Open-Source-Leitlinien
      Deutschlands Digitalminister fordert offene Standards und Open Source als Leitprinzip für öffentliche IT-Projekte. Ein wichtiger Schritt für Unabhängigkeit und Transparenz.
      🔗 zum Artikel

    KI-Markt und Innovationen

    • Salesforce kauft Informatica
      Für 8 Mrd. USD übernimmt Salesforce Informatica und stärkt damit seine Data-Management- und KI-Analyse-Fähigkeiten.
      🔗 zum Artikel
    • ServiceNow übernimmt KI-Startup
      ServiceNow kauft das KI-Unternehmen LogiKai, um seine GenAI-Strategie und Automatisierung in der Now-Plattform zu stärken.
      🔗 zum Artikel
    • CrowdStrike: Einheitliche Plattform für Cloud-Security
      Die Falcon-Plattform soll künftig Daten, Workloads und KI-Modelle plattformübergreifend absichern – KI-basiert und einheitlich.
      🔗 zum Artikel
    • Amazon-Entwickler: KI wie Fliessbandarbeit?
      Ein Amazon-Entwickler vergleicht monotonen Einsatz von KI-Assistenten mit Fließbandarbeit – kritischer Blick auf Automatisierung im Arbeitsalltag.
      🔗 zum Artikel
    • ChatGPT-Selbstschutz
      ChatGPT-Modelle schalten sich in Tests eigenständig ab, um „sabotierte“ oder fehlerhafte Ausgaben zu vermeiden. Ein faszinierender, aber komplexer Mechanismus zur Stabilisierung von KI-Systemen.
      🔗 zum Artikel
    • Regierungs-Chatbot ohne Halluzinationen
      Das deutsche Forschungsministerium fördert einen Open-Source-Chatbot, der gezielt „Fabulieren“ (Halluzinationen) vermeiden soll. Proof-of-Concept für vertrauenswürdige KI-Anwendungen.
      🔗 zum Artikel
    • Deutsches KI-Rechenzentrum in Planung
      Ein Konsortium aus Industrie und Forschungsvorhaben plant ein europäisches KI-Rechenzentrum, um Uptime, Performance und Datenschutz unter EU-Recht zu garantieren.
      🔗 zum Artikel

    🌍 Nutzung & Befähigung

    • Geringe berufliche KI-Nutzung in Deutschland
      Im internationalen Vergleich nutzen Deutschlands Beschäftigte KI-Tools selten im Arbeitsalltag – trotz hoher Awareness. Eine Herausforderung für digitale Bildung und Qualifizierung.
      🔗 zum Artikel
    • Urheberrecht vs. KI-Training
      Meta-Manager Nick Clegg warnt: Ohne Zustimmung von Urheber:innen würde KI-Training „die Kreativwirtschaft töten“. Ein Appell für faire Nutzungsbedingungen und Lizenzmodelle.
      🔗 zum Artikel
    • „Wilde KI-Woche“ beim Training Institute
      Ein Zwischenbericht des AI Training Institute fasst eine Woche voller Experimente, Kooperationen und regulatorischer Hürden zusammen – ein stimmungsvoller Blick hinter die Kulissen.
      🔗 zum Artikel

    Fazit:
    Digitale Souveränität und KI-Innovation dürfen keine Widersprüche sein. Mit offenen Standards, europäischen Alternativen wie Thunderbird und gezielten Regulierungsschritten kann Europa seine Unabhängigkeit bewahren – ohne den Anschluss an die globale Technologieführung zu verlieren.

    Sie möchten Ihre KI-Strategie souverän gestalten und sicher umsetzen?
    Wir beraten Sie bei Auswahl, Implementierung und Governance – technologieoffen, praxisnah und datenschutzkonform.

  • In aller Kürze: Souveränität, Cybersicherheit und KI im Fokus

    In aller Kürze: Souveränität, Cybersicherheit und KI im Fokus

    Ein komprimierter Überblick über die wichtigsten Themen der Woche: neue Bedrohungen im Cyberraum, ambitionierte Schritte in der KI-Entwicklung und Googles Reaktion auf geopolitischen Druck.

    Digitale Souveränität: Google reagiert auf politische Unsicherheit

    Angesichts wachsender Bedenken europäischer Unternehmen vor möglichem Datenzugriff durch eine künftige US-Regierung intensiviert Google seine Anstrengungen für mehr Datensouveränität. Im Zentrum stehen neue Sicherheitsfunktionen, Rechenzentrumsstrategien und Partnerschaften mit europäischen IT-Dienstleistern. Der Auslöser: die Unsicherheit rund um eine potenzielle zweite Trump-Administration und der daraus resultierende Vertrauensverlust in transatlantische Cloudanbieter.
    🔗 Mehr bei golem.de

    Cybersicherheit: Warnung vor russischer Spionagekampagne

    Das BSI und internationale Partner warnen vor der russischen Hackergruppe APT28 (Fancy Bear), einer GRU-nahen Einheit. Ziel sind IT-Netze westlicher Logistik- und Technologiesektoren. Die Angriffe erfolgen u. a. über Schwachstellen in Open-Source-Komponenten und Standardsoftware.
    🔗 Offizielle Warnung des BSI

    Besondere Aufmerksamkeit gilt der Manipulation von IP-Kameras: Öffentliche Überwachungssysteme könnten für Spionage gegen kritische Infrastruktur missbraucht werden. Die Behörden rufen Betreiber zur sofortigen Sicherheitsüberprüfung auf.
    🔗 Hintergrund bei heise.de

    KI: Tools, Milliarden und digitale Bildung

    Jules: KI-Programmierhilfe von Google in öffentlicher Beta
    Mit „Jules“ bringt Google einen Coding-Agenten an den Start, der eigenständig Code analysiert, verbessert, dokumentiert und versioniert. Das System läuft Cloud-basiert, integriert sich u. a. in GitHub und ist auf Sicherheit im Entwicklungskontext ausgelegt.
    🔗 Mehr bei heise.de

    OpenAI & Jony Ive: 6,5-Mrd.-Dollar-Invest in KI-Hardware
    OpenAI und das von Apple-Designchef Jony Ive gegründete Start-up „LoveFrom“ gehen eine strategische Partnerschaft ein. Ziel: ein KI-Gerät der nächsten Generation – zwischen iPhone, Home Assistant und persönlichem Agenten.
    🔗 Artikel bei heise.de

    Gitex Europe: Ruf nach digitaler Resilienz in der Bevölkerung
    Auf der internationalen Technologiemesse in Berlin fordern Vertreter aus Wirtschaft und Behörden eine breitere digitale Bildung: Cybersicheres Verhalten soll zur Grundkompetenz werden – nicht nur in Unternehmen, sondern auch im Alltag.
    🔗 Bericht bei heise.de

    Fazit:
    Digitale Souveränität, Cybersicherheit und verantwortungsvolle KI-Nutzung sind keine Zukunftsthemen – sie bestimmen bereits jetzt, wie sicher und gestaltbar Europas digitale Infrastruktur bleibt. Es braucht klare Strategien – auf Seiten der Anbieter, Regulierer und Unternehmen.

  • In aller Kürze: Digitale Souveränität, KI-Trends und Sicherheitsinitiativen im Überblick

    In aller Kürze: Digitale Souveränität, KI-Trends und Sicherheitsinitiativen im Überblick

    Diese Woche werfen wir einen kompakten Blick auf aktuelle Entwicklungen in den Bereichen digitale Souveränität, Künstliche Intelligenz und IT-Sicherheit.

    Digitale Souveränität unter Druck

    Microsofts E-Mail-Sperre als Weckruf
    Microsoft hat das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs blockiert – ein drastisches Beispiel für die Abhängigkeit von US-Cloudanbietern. Dieser Vorfall unterstreicht die Notwendigkeit, europäische digitale Souveränität zu stärken.
    🔗 Mehr erfahren(heise online)

    Microsoft streicht kostenlose M365-Lizenzen für Non-Profits
    Ab dem 1. Juli 2025 entzieht Microsoft gemeinnützigen Organisationen die kostenlosen Business-Premium-Lizenzen. Stattdessen werden kostenpflichtige Alternativen angeboten, was für viele NGOs eine finanzielle Belastung darstellt.
    🔗 Mehr erfahren(The Register)

    Google gibt nach: Nextcloud erhält Zugriffsrechte zurück
    Nach Kritik an restriktiven Android-Richtlinien hat Google Nextcloud wieder vollständige Zugriffsrechte eingeräumt. Dies zeigt, wie wichtig regulatorischer Druck für die Wahrung digitaler Freiheiten ist.
    🔗 Mehr erfahren

    Kritische Infrastrukturen: Sicherheitsrisiken durch ausländische Technik

    Chinesische Wechselrichter als potenzielle Gefahr
    US-Behörden haben in chinesischen Solarwechselrichtern versteckte Kommunikationsmodule entdeckt, die nicht dokumentiert waren. Dies wirft Fragen zur Sicherheit kritischer Infrastrukturen auf.
    🔗 Mehr erfahren(Golem)

    KI-Entwicklung: Neue Tools und Standards

    OpenAI stellt Codex vor
    OpenAI hat Codex vorgestellt, einen KI-Agenten, der Entwicklern beim Programmieren hilft, indem er Code schreibt, Fehler findet und Tests durchführt. Codex ist derzeit für Pro-Nutzer verfügbar.
    🔗 Mehr erfahren(Business Insider)

    Google veröffentlicht Jules in öffentlicher Beta
    Google hat seinen KI-Coding-Agenten Jules in die öffentliche Betaphase entlassen. Jules arbeitet asynchron und unterstützt Entwickler bei verschiedenen Programmieraufgaben.
    🔗 Mehr erfahren(Golem, blog.google)

    Model Context Protocol (MCP) als neuer Standard
    Das MCP ist ein offenes Protokoll, das die Integration von KI-Modellen in verschiedene Anwendungen erleichtert. Es standardisiert die Bereitstellung von Kontextinformationen für KI-Systeme.
    🔗 Mehr erfahren(GitHub, Anthropic)

    KI im Arbeitsalltag: Nutzen und Herausforderungen

    Studie: KI-Assistenten bringen kaum Zeitvorteile
    Eine Studie zeigt, dass der Einsatz von KI-Tools wie ChatGPT und Copilot in der Praxis weniger Zeitersparnis bringt als erwartet. Viele Aufgaben erfordern weiterhin menschliche Kontrolle.
    🔗 Mehr erfahren(Golem Karrierewelt)

    IT-Arbeitsmarkt: Zögern bei KI-Einsatz
    Viele Unternehmen zögern, KI-Technologien einzuführen, obwohl sie das Potenzial erkennen. Gründe sind unter anderem Unsicherheiten bezüglich Datenschutz und fehlende Fachkenntnisse.
    🔗 Mehr erfahren

    BSI: Initiativen für mehr Cybersicherheit

    BSI betont Bedeutung der digitalen Resilienz
    Beim Ludwig-Erhard-Gipfel betonte BSI-Präsidentin Claudia Plattner die Notwendigkeit, Deutschland nicht nur militärisch und ökonomisch, sondern auch im Cyberraum resilient aufzustellen.
    🔗 Mehr erfahren(BSI)

    Internationale Zusammenarbeit bei IT-Sicherheitskennzeichnungen
    Das BSI veranstaltete ein internationales Treffen zur Kennzeichnung der Cybersicherheit von IoT-Produkten, um globale Standards zu fördern und Verbraucher besser zu informieren.
    🔗 Mehr erfahren(BSI)

    Fazit:

    Die aktuellen Entwicklungen zeigen, wie eng Technologie, Sicherheit und Souveränität miteinander verknüpft sind. Es ist entscheidend, dass Unternehmen und Institutionen proaktiv handeln, um digitale Unabhängigkeit zu wahren und gleichzeitig von den Vorteilen neuer Technologien zu profitieren.

  • Datenschutz und KI: Was Entscheider jetzt wissen müssen

    Datenschutz und KI: Was Entscheider jetzt wissen müssen

    Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr – sie verändert Geschäftsprozesse, Kundenerlebnisse und Entscheidungsabläufe in Unternehmen aller Branchen. Doch mit den neuen Möglichkeiten wachsen auch die rechtlichen Anforderungen. Wer KI nutzen will, muss sich an klare Spielregeln halten – insbesondere im Hinblick auf Datenschutz, Transparenz und Verantwortung.

    In diesem Beitrag geben wir Ihnen einen Überblick, was Sie als Führungskraft beachten müssen – ohne technische Details, aber mit klarem Fokus auf rechtliche Vorgaben und unternehmerische Verantwortung.

    1. Der rechtliche Rahmen

    Die Nutzung von KI-Systemen ist in Europa umfassend reguliert – durch Datenschutzrecht ebenso wie durch das neue EU-KI-Gesetz:

    • DS-GVO (Datenschutz-Grundverordnung)
      Schützt personenbezogene Daten und legt fest, wann und wie diese verarbeitet werden dürfen.
    • BDSG (Bundesdatenschutzgesetz)
      Ergänzt die DSGVO auf nationaler Ebene.
    • TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)
      Regelt insbesondere digitale Kommunikationsdienste.
    • EU-KI-Verordnung (KI-VO)
      Seit Juni 2024 in Kraft, schafft europaweit verbindliche Regeln für KI-Systeme – mit abgestuften Pflichten je nach Risiko der Anwendung.

    2. Wann ist der KI-Einsatz zulässig?

    KI darf nur unter klar definierten Bedingungen eingesetzt werden:

    • Rechtsgrundlage erforderlich: z. B. Einwilligung der betroffenen Personen, ein Vertrag oder eine gesetzliche Pflicht.
    • Verbotene Anwendungen: Social Scoring, Emotionserkennung am Arbeitsplatz oder biometrische Überwachung in Echtzeit sind grundsätzlich untersagt.
    • Risikobasierter Ansatz: KI-Systeme mit hohem Risiko – etwa in der Medizin, Personalsteuerung oder im Kreditwesen – unterliegen besonders strengen Vorgaben.

    3. Was Unternehmen beachten müssen

    Bei der Nutzung von KI-Systemen gelten spezifische Pflichten:

    • Risikobewertung und Datenschutz-Folgenabschätzung
      Vor dem Einsatz muss geprüft werden, ob Risiken für Betroffene bestehen – insbesondere bei Hochrisiko-KI.
    • Technische und organisatorische Maßnahmen (TOM):
      Dazu zählen z. B. Zugriffskontrollen, Verschlüsselung und Protokollierung der Systeme.
    • Menschliche Kontrolle und Transparenz:
      Automatisierte Entscheidungen dürfen nicht vollständig ohne menschliches Eingreifen erfolgen. Betroffene müssen wissen, wann KI eingesetzt wird.
    • Dokumentation und Nachvollziehbarkeit:
      Der Einsatz muss nachvollziehbar und überprüfbar sein – auch für externe Prüfer.

    4. KI aus der Cloud – worauf Sie achten sollten

    Wer externe KI-Dienste oder Cloudlösungen nutzt, hat zusätzliche Anforderungen zu erfüllen:

    • Auftragsverarbeitung:
      Ein Vertrag nach Art. 28 DSGVO ist Pflicht, wenn externe Dienstleister mit Daten arbeiten.
    • Datenübermittlung ins Ausland:
      Nur erlaubt, wenn ein angemessenes Datenschutzniveau nachgewiesen werden kann – z. B. durch EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss.

    5. Empfohlene Standards & Best Practices

    Zur sicheren Gestaltung von KI-Systemen sollten Unternehmen auf bewährte Normen und Richtlinien zurückgreifen:

    • ISO/IEC 27001 / 27002 – Informationssicherheitsmanagement
    • ISO/IEC 27017 / 27018 – Sicherheit und Datenschutz in der Cloud
    • ISO/IEC 29100 – Datenschutzrahmen
    • BSI IT-Grundschutz (200-1 bis 200-4) – Systematische IT-Sicherheitsmethodik

    Diese Standards unterstützen bei der praktischen Umsetzung gesetzlicher Anforderungen – und schaffen Sicherheit in komplexen Projekten.

    6. Verantwortung des Managements

    KI ist keine rein technische Angelegenheit – sie betrifft die Grundwerte des Unternehmens. Deshalb tragen Führungskräfte eine besondere Verantwortung:

    • Verantwortung übernehmen:
      Für Auswahl, Einsatz und Überwachung eingesetzter Systeme.
    • Ethik und Datenschutz sichern:
      Sicherstellen, dass auch in innovativen Projekten Grundrechte und Fairness gewahrt bleiben.
    • Strategisch denken:
      Datenschutz, IT-Sicherheit und KI-Governance müssen Teil der Gesamtstrategie sein – nicht nur Compliance, sondern aktives Risikomanagement.

    Fazit

    KI darf nur eingesetzt werden, wenn sie rechtlich zulässig, sicher, nachvollziehbar und fair ist. Für das Management heißt das: Datenschutz und Grundrechte sind nicht optional – sie sind Pflicht.

    Ein verantwortungsvoller KI-Einsatz stärkt nicht nur die Rechtssicherheit, sondern auch das Vertrauen von Kunden, Mitarbeitenden und Aufsichtsbehörden.

    Sie möchten den rechtssicheren Einsatz von KI in Ihrem Unternehmen vorbereiten?
    Wir unterstützen Sie bei der Bewertung, Dokumentation und Umsetzung – strategisch, pragmatisch und auf Ihre Unternehmensrealität abgestimmt.

  • In aller Kürze: IT-Sicherheit, Cloud, Datenschutz und kritische Infrastruktur

    In aller Kürze: IT-Sicherheit, Cloud, Datenschutz und kritische Infrastruktur

    Auch in dieser Ausgabe fassen wir wieder aktuelle Entwicklungen rund um digitale Sicherheit, Cloud-Strategie und regulatorische Debatten kompakt zusammen – mit weiterführenden Links für alle, die tiefer einsteigen möchten.

    ePA: Massive Sicherheitslücken und politische Debatte

    Die elektronische Patientenakte (ePA) sorgt erneut für Kritik: Der Chaos Computer Club (CCC) deckte schwerwiegende Schwachstellen auf, durch die sich mit überschaubarem Aufwand auf die Akten beliebiger Versicherter zugreifen ließ. Die Gematik reagierte mit Sofortmaßnahmen, das BSI gibt vorsichtige Entwarnung – hatte jedoch zuvor intern vor solchen Risiken gewarnt. Kritik gibt es auch an der politischen Eile und an der Opt-out-Regelung für Kinderakten. Die Datenschutzdebatte ist in vollem Gange.

    Microsoft und die Cloud: Wachstum, Expansion und politisches Kalkül

    Microsofts Geschäft wächst aktuell fast ausschließlich durch Cloud-Dienste. Parallel kündigt der Konzern massive Investitionen in europäische Rechenzentren an – eine Reaktion auf politische Bedenken gegenüber der US-amerikanischen Kontrolle über digitale Infrastruktur. Mit neuen Zusicherungen versucht Microsoft, europäische Kunden in Sachen Datenschutz, Verfügbarkeit und Souveränität zu beruhigen.

    Blackout-Vorsorge: Spanien als Warnsignal – wie steht Deutschland da?

    Ein Stromausfall in Spanien und Portugal rückt das Thema Blackout-Risiken erneut ins Bewusstsein. Während Deutschlands Stromnetz technisch besser aufgestellt ist, gibt es auch hierzulande Szenarien, in denen kritische Infrastrukturen gefährdet wären – etwa durch Sabotage oder Extremwetter. Wichtig bleiben robuste Netze, Speicher und Notfallpläne.

    Transatlantischer Datenschutz: Das nächste Sturmtief?

    Trotz neuer Abkommen zwischen EU und USA bleibt die rechtliche Lage angespannt. Das EU–US Data Privacy Framework soll Datentransfers absichern, steht jedoch in der Kritik – unter anderem wegen anhaltender Zugriffsmöglichkeiten US-Geheimdienste (FISA, CLOUD Act). Datenschützer erwarten ein weiteres Verfahren vor dem EuGH (Stichwort: „Schrems III“). Unternehmen sind gut beraten, sensible Daten weiterhin besonders sorgfältig zu behandeln.

    Fazit:
    Ob Patientendaten, Cloud-Strategien oder digitale Resilienz: Die Anforderungen an sichere und nachvollziehbare IT-Strukturen wachsen weiter. Wer vorbereitet ist, bleibt souverän – technisch wie organisatorisch.

    Sie möchten wissen, wie diese Entwicklungen Ihre Organisation betreffen?
    Wir helfen Ihnen bei der strategischen Bewertung, Umsetzung von Standards und datenschutzkonformen Alternativen – fundiert, neutral und pragmatisch.

  • Warum Desaster-Recovery und Backups in der Cloud nicht obsolet sind

    Warum Desaster-Recovery und Backups in der Cloud nicht obsolet sind

    Cloud Computing ist heute Standard – aber die Verantwortung für Ausfallsicherheit bleibt.

    Viele Unternehmen haben den Schritt bereits vollzogen: Die Migration zentraler Systeme wie ERP, Finanzplattformen oder Kundenportale in die Cloud – häufig auf Basis leistungsfähiger PaaS- und IaaS-Dienste wie Microsoft Azure oder Oracle Cloud. Die Versprechen sind überzeugend: Skalierbarkeit, Hochverfügbarkeit und reduzierte Infrastrukturkosten.

    Was dabei oft übersehen wird: Desaster-Recovery und Backup-Konzepte werden dadurch nicht überflüssig – sondern gewinnen an neuer Bedeutung.

    Cloud schützt nicht vor allen Risiken

    Cloudanbieter stellen in der Regel eine robuste Infrastruktur bereit, inklusive redundanter Rechenzentren, automatisierter Replikation und globaler Verfügbarkeitszonen. Was jedoch nicht automatisch abgedeckt ist:

    • Die Verantwortung für Datenverlust oder Bedienfehler.
    • Die Orchestrierung eines strukturierten Wiederanlaufs nach einem Ausfall.
    • Die Absicherung gegen Angriffe oder logische Fehler im Systembetrieb.
    • Die Wiederherstellbarkeit eines konsistenten Systemzustands über mehrere Cloud-Dienste hinweg.

    Cloud ersetzt also nicht die Notwendigkeit, selbst für Resilienz zu sorgen.

    Typische Risiken – auch in modernen Cloudumgebungen

    Einige realistische Szenarien aus dem Praxisbetrieb verdeutlichen die Relevanz:

    1. Ausfall einer ganzen Cloud-Region

    Ein DNS-Fehler oder ein Authentifizierungsproblem kann dazu führen, dass über Stunden kein Zugriff mehr auf zentrale Cloud-Dienste besteht. Ohne vorbereitete Wiederanlaufstrategie bleiben produktive Systeme unerreichbar.

    2. Fehlkonfiguration beim Deployment

    Ein falsch gesetzter Parameter oder eine unvollständige Provisionierung genügt, um Services funktionsunfähig zu machen – inklusive automatischer Replikation des Fehlers in mehrere Instanzen.

    3. Fehlerhafte Software-Updates

    Ein Release mit einem schwerwiegenden Bug kann die Systemintegrität gefährden – selbst wenn die Infrastruktur selbst stabil bleibt.

    4. Externe Angriffe oder Ransomware

    Cloudbasierte Dienste sind nicht per se geschützt vor DDoS-Angriffen, kompromittierten Software-Lieferketten oder Schadsoftware, die über API-Zugänge eindringt.

    5. Bedienfehler mit kritischem Datenverlust

    Das versehentliche Löschen von produktiven Datensätzen oder der Import fehlerhafter Daten kann in Minuten irreversible Konsequenzen haben – wenn kein zeitnaher Wiederherstellungspunkt vorhanden ist.

    Desaster-Recovery & Backup – was wirklich notwendig ist

    Ein wirksamer Schutz vor den genannten Risiken basiert auf zwei Säulen:

    Desaster-Recovery-Plan (DRP)

    • Definition von RTO/RPO-Zielen (Wiederanlaufzeit / maximal tolerierter Datenverlust).
    • Festlegung klarer Verantwortlichkeiten und Wiederherstellungsprozesse.
    • Simulation und Test von Wiederanlaufszenarien.
    • Spezifikation von Alternativzugängen und Fallback-Mechanismen.

    Backup-Konzept

    • Regelmäßige, versionierte Backups aller kritischen Datenbestände.
    • Trennung zwischen Produktionssystem und Backup-Infrastruktur.
    • Immutable Speicherformate oder Air-Gap-Backups als Schutz gegen Manipulation.
    • Wiederherstellungstests zur Validierung der Backup-Qualität.

    Cloud-spezifische Normen liefern zusätzliche Orientierung

    Für Unternehmen, die Cloud-Dienste intensiver nutzen, lohnt sich auch ein Blick auf spezialisierte Sicherheitsstandards:

    • ISO/IEC 27017 liefert konkrete Maßnahmen zur Absicherung von Cloud-Infrastrukturen, etwa für administrative Zugriffskontrollen, virtuelle Maschinen oder Konfigurationsmanagement.
    • ISO/IEC 27018 konzentriert sich auf den Schutz personenbezogener Daten in der Cloud – insbesondere in Bezug auf Löschung, Weitergabe und Rückgabe bei Anbieterwechsel.

    Diese Standards helfen dabei, Cloud-Verträge, Sicherheitsarchitekturen und Recovery-Verfahren rechtssicher und nachvollziehbar zu gestalten.

    Fazit

    Cloudlösungen bieten zweifellos Vorteile in Stabilität und Skalierbarkeit. Doch Ausfallsicherheit und Datenintegrität bleiben in der Verantwortung des Anwenders. Ohne einen geprüften Desaster-Recovery-Plan und ein verlässliches Backup-Konzept entstehen erhebliche Risiken für die Betriebsfähigkeit – auch (und gerade) im Cloudbetrieb.

    Wer vorbereitet ist, handelt nicht nur verantwortungsvoll, sondern sichert auch das Vertrauen von Kunden, Partnern und internen Stakeholdern.

    Benötigen Sie eine strukturierte Übersicht für Ihr eigenes DR- oder Backup-Konzept? Auf Wunsch stellen wir praxisorientierte Checklisten zur Verfügung.

  • In aller Kürze: Wichtige IT- und Datenschutzmeldungen im Überblick

    In aller Kürze: Wichtige IT- und Datenschutzmeldungen im Überblick

    Willkommen zu unserer kompakten Zusammenfassung aktueller Entwicklungen rund um IT-Sicherheit, Cloud, KI und Datenschutz. Hier finden Sie die wichtigsten Nachrichten der vergangenen Tage – auf einen Blick.

    Microsoft und der wachsende Cloud-Druck

    Microsoft Copilot in Edge: Der KI-Assistent sieht, was Sie sehen
    Microsofts Copilot erhält im Edge-Browser neue Berechtigungen und kann künftig auf Inhalte zugreifen, die der Nutzer gerade betrachtet.

    Wie sich dies mit unserem Datenschutz verträgt bleibt aktuell ungeklärt.

    Mehr erfahren

    Exchange Server: Microsoft drängt Kunden zum Cloud-Umstieg
    Der Support für Exchange Server 2016 und 2019 endet im Oktober 2025. Microsoft empfiehlt klar den Wechsel zu Exchange Online.

    Wir raten an dieser Stelle, die eigene Daten- und Cloudstrategie zu hinterfragen.

    Zur Meldung bei heise.de
    Unser Hintergrundartikel zum Thema Cloud-Druck
    Microsoft Original-Post

    Datenschutz und Künstliche Intelligenz

    Meta: Widerspruch gegen KI-Training mit privaten Inhalten möglich
    Datenschützer rufen Nutzer dazu auf, der Nutzung ihrer privaten Inhalte für das Training von Metas KI-Systemen aktiv zu widersprechen. Hintergrund ist die geplante Anpassung der Nutzungsbedingungen von Facebook und Instagram.

    Mehr lesen bei heise.de

    OpenAI und Big Tech: Selbstbevorzugung bei eigenen KI-Diensten
    Wie Meta und Google bevorzugt auch OpenAI zunehmend eigene Dienste, Plattformen und Inhalte – zulasten von Transparenz und offener Konkurrenz. Experten warnen vor wachsender Marktmacht der großen Anbieter.

    Wir raten auch an dieser Stelle dazu die eigene Datenstrategie zu überprüfen, ob diese der aktuellen Gesamtsituation noch angemessen ist.

    Zum Hintergrundbericht

    OpenAI veröffentlicht GPT-4.1: Bessere Sprachmodelle für Coding und Agenten
    OpenAI stellt neue Modelle für GPT-4.1 vor, die unter anderem auf verbessertes Codieren, KI-Agenten und komplexere Aufgaben spezialisiert sind.

    Details bei heise.de

    IT-Sicherheit und Standardisierung

    Neue ISO-Norm für Lichtbildbewertung veröffentlicht
    Die ISO/IEC 29794-5:2024 definiert erstmals einheitliche Standards für die Bewertung biometrischer Lichtbilder – relevant für Ausweisdokumente und Identitätsprüfungen.

    Zur BSI-Meldung

    Zertifikatslaufzeiten drastisch verkürzt: Nur noch 47 Tage
    Zertifikate für sichere Verbindungen (TLS) sollen künftig eine maximale Laufzeit von nur noch 47 Tagen haben. Der Standard wird aktuell bei den Browserherstellern diskutiert und könnte ab 2025 in Kraft treten.

    Mehr bei golem.de

    Politische Entwicklungen

    Bundesinnenministerium: Warnung vor Abhängigkeit von US-Clouds
    Bundesinnenministerin Nancy Faeser warnt vor einer zu starken Abhängigkeit europäischer Organisationen von US-amerikanischen Cloud-Anbietern und fordert gezielte Investitionen in europäische Alternativen.

    Auch wir empfehlen an dieser Stelle Unternehmen ihre Strategie zu überprüfen und zu hinterfragen, ob ein IT-Notfallplan mit konkreten Handlungsoptionen an dieser Stelle sinnvoll wäre.

    Zur Meldung bei golem.de
    IT-Notfallstrategie gegen politische Risiken

    Fazit

    Technologische Entwicklungen schreiten schnell voran – bei Cloud, KI und IT-Sicherheit. Transparenz, Unabhängigkeit und klare strategische Planung sind wichtiger denn je.

    Sie möchten wissen, was diese Entwicklungen für Ihre Organisation bedeuten?
    Wir unterstützen Sie bei der Analyse und Integration neuer Anforderungen – neutral, vorausschauend und auf Ihre Bedürfnisse abgestimmt.

  • ZenDiS – BSI schafft Basis für sichere digitale Lieferketten

    ZenDiS – BSI schafft Basis für sichere digitale Lieferketten

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Projekt ZenDiS („Zentraler Dienst für sichere Lieferketten“) eine neue Initiative gestartet, um IT-Lieferketten in Deutschland transparenter und sicherer zu gestalten. Begleitet wird das Vorhaben von einem Strategiepapier, das die zentralen Herausforderungen und Lösungsansätze für vertrauenswürdige Softwarelieferketten in Deutschland aufzeigt.

    Digitale Lieferketten: Risiko erkannt, aber oft unkontrolliert

    Wie das BSI betont, sind digitale Lieferketten heute Hauptangriffsvektor für Cyberbedrohungen. Ob Softwarebibliotheken, Cloud-Dienste oder technische Dienstleister – die meisten Unternehmen greifen auf Komponenten Dritter zurück, deren Sicherheitsniveau sie kaum beurteilen können. Im Fall einer Kompromittierung – wie etwa bei SolarWinds oder Log4Shell – entsteht oft großer Schaden, auch ohne eigenes Fehlverhalten.

    Was ist ZenDiS?

    ZenDiS soll als zentrale Plattform Unternehmen dabei unterstützen, ihre Lieferbeziehungen sicherer, überprüfbarer und vertrauenswürdiger zu gestalten. Ziel ist ein bundesweites Ökosystem, das:

    • Transparenz in Softwarelieferketten schafft (z. B. durch strukturierte Nachweise über eingesetzte Komponenten),
    • den Vertrauensaufbau zwischen Unternehmen fördert,
    • digitale Identitäten in der Lieferkette absichert,
    • und die Einhaltung regulatorischer Anforderungen unterstützt (z. B. DSGVO, NIS2, ISO 27001).

    Laut Strategiepapier soll das ZenDiS offene Schnittstellen und bestehende Standards wie SBOMs (Software Bill of Materials) oder VEX (Vulnerability Exploitability eXchange) einbeziehen.

    Relevanz für Unternehmen

    Ob Mittelstand oder KRITIS-Betreiber – Unternehmen, die bereits heute Anforderungen aus ISO 27001, TISAX, BAIT/KAIT oder dem IT-Sicherheitsgesetz erfüllen müssen, profitieren langfristig von systematischer Transparenz über ihre Lieferketten. Auch mit Blick auf die Umsetzung der NIS2-Richtlinie und kommende Meldepflichten wird der strukturelle Blick auf externe IT-Abhängigkeiten zunehmend relevant.

    Die Einführung von ZenDiS erfolgt stufenweise – 2025 sollen erste Pilotphasen starten.

    Fazit: Jetzt Strukturen schaffen – bevor Pflichten entstehen

    ZenDiS ist kein Kontrollinstrument, sondern ein Schritt in Richtung strukturiertes Vertrauen in der digital vernetzten Wirtschaft. Unternehmen, die ihre Prozesse, Partner und eingesetzten Komponenten heute schon systematisch dokumentieren und bewerten, sind im Vorteil – organisatorisch, regulatorisch und sicherheitstechnisch.

    Sie möchten Ihre IT-Lieferkette sichtbar, sicher und auditierbar machen?

    Wir unterstützen Sie bei der Identifikation Ihrer digitalen Abhängigkeiten, dem Aufbau strukturierter Nachweise und der Integration von Sicherheitsstandards in Ihre Prozesse – unabhängig, praxisnah und mit einem klaren Blick auf kommende Anforderungen.

  • Microsoft erhöht Preise – und der Druck zur Cloud-Nutzung wächst

    Microsoft erhöht Preise – und der Druck zur Cloud-Nutzung wächst

    Die jüngsten Ankündigungen von Microsoft bringen Bewegung in die Diskussion rund um digitale Souveränität und IT-Strategie. Zum einen steigen die Preise für On-Premises-Serverlösungen deutlich, zum anderen wird die Microsoft-365-Produktlinie – insbesondere mit Blick auf neue KI-Funktionen – immer teurer. Parallel wächst die Abhängigkeit Europas von US-Cloud-Anbietern, wie aktuelle Zahlen eindrucksvoll zeigen.

    On-Prem wird teurer – Cloud wird Standard

    Ab Juli 2025 steigen die Lizenzkosten für Microsofts On-Premises-Produkte wie Windows Server, Exchange Server und Skype for Business Server um etwa 10 % (Quelle: heise.de). Damit wird der Betrieb eigener Infrastruktur zunehmend unattraktiv gemacht – zumindest aus Kostensicht. Gleichzeitig rücken Cloudangebote wie Microsoft 365 und Azure immer stärker in den Fokus der Produktentwicklung.

    Privatkunden bekommen das bereits deutlich zu spüren: Mit der Einführung von „Copilot“, Microsofts KI-gestütztem Assistenten, steigen die Abo-Kosten um mehr als 30 % (Quelle: test.de). Funktionen werden paketweise gebündelt und nicht mehr separat lizenzierbar – ein Trend, der sich auch auf den Unternehmensbereich übertragen dürfte.

    80 % der europäischen Daten in US-Clouds

    Ein weiteres Signal kommt aus der Telekommunikationsbranche: Laut Telekom-Chef Tim Höttges befinden sich heute rund 80 % der Daten europäischer Nutzer in US-Clouds (Quelle: golem.de). Für Unternehmen und Verwaltungen stellt sich damit nicht nur die Frage der Kosten, sondern auch der Kontrolle.

    Datenschutzrechtliche Unsicherheiten (z. B. CLOUD Act, Privacy Shield) treffen hier auf strategische Risiken: Wie abhängig wollen wir künftig wirklich von Anbietern sein, die außerhalb des europäischen Rechtsraums agieren – und deren Geschäftsmodelle immer weniger Spielraum für individuelle Anpassungen lassen?

    Open Source als Alternative – ein Blick auf Nextcloud & Co.

    Vor diesem Hintergrund gewinnen Open-Source-Plattformen zunehmend an Relevanz. Lösungen wie Nextcloud bieten moderne Kollaborationsfunktionen (Dateien, Kalender, Chat, Office-Integration) – bei voller Kontrolle über Daten und Infrastruktur. Die Plattform kann sowohl lokal betrieben als auch bei europäischen Hosting-Partnern eingesetzt werden. Auch interesasnt: Die Bundeswehr plant den Einsatz einer Open-Source-basierten Lösung (OpenDesk) als Alternative zu Microsoft 365 (Quelle: heise.de).

    Open-Source-Produkte haben den Vorteil, langfristig unabhängig, überprüfbar und anpassbar zu sein – bei gleichzeitiger Einhaltung europäischer Datenschutzvorgaben. Gerade für Organisationen mit ISO-27001-Anforderungen und auf Basis des in Deutschland geltenden Datenschutzes können sie eine zukunftsfähige Grundlage bilden.

    Was jetzt zu tun ist

    Die aktuellen Entwicklungen sollten nicht zu hektischen Entscheidungen führen – wohl aber Anlass für eine fundierte Bestandsaufnahme sein. Wir empfehlen:

    • Lizenz- und Abhängigkeitsanalyse: Welche Produkte sind im Einsatz, wie stark ist die Bindung an US-Clouds?
    • Alternativen evaluieren: Gibt es Open-Source-Lösungen oder europäische Plattformen, die technische und organisatorische Anforderungen erfüllen?
    • Zielbild entwickeln: Welche Architektur ist mittel- bis langfristig tragfähig – wirtschaftlich, sicherheitstechnisch und organisatorisch?

    Fazit: Strategisch denken, statt nur reagieren

    Die Preisentwicklung bei Microsoft und die globale Marktlage machen deutlich: IT-Strategie ist heute mehr denn je ein Thema der Resilienz, der Planung – und der Entscheidungsfreiheit. Wer sich heute bewusst mit Alternativen beschäftigt, verschafft sich morgen die nötige Flexibilität und reduziert seine Abhängigkeit von einzelnen, marktbeherrschenden Akteuren.

    Sie möchten Ihre digitale Infrastruktur analysieren, Alternativen bewerten oder ein tragfähiges Zukunftsbild entwickeln?
    Wir begleiten Sie dabei – unabhängig, strukturiert und lösungsorientiert.

  • Microsoft 365 in der Kritik – Zeit für neue Überlegungen

    Microsoft 365 in der Kritik – Zeit für neue Überlegungen

    Die Diskussion um den Einsatz von Microsoft 365 in öffentlichen Einrichtungen und Unternehmen erhält neuen Auftrieb. Zwei aktuelle Entwicklungen zeigen, wie dynamisch sich die Landschaft verändert:

    Ein Kommentar bei heise online stellt die gängigen Argumente für Microsoft 365 auf den Prüfstand – von der vermeintlichen Datenschutzkonformität bis hin zur versprochenen Effizienz. Viele dieser Punkte halten einer sachlichen Analyse kaum stand.

    Gleichzeitig ist mit OpenDesk eine Initiative bekannt, die mittel- und langfristig eine offene, europäische Alternative zu Microsoft 365 bieten soll. Der geplante Einsatz bei der Bundeswehr zeigt, wie ernsthaft dieses Thema inzwischen auch auf höchster Ebene verfolgt wird.

    Was bedeutet das für Organisationen?

    Die Frage nach digitalen Abhängigkeiten gewinnt an Bedeutung – nicht nur im Kontext von Datenschutz, sondern auch mit Blick auf strategische Steuerbarkeit, wirtschaftliche Resilienz und internationale Entwicklungen. Die zunehmende Unberechenbarkeit außenpolitischer Entscheidungen – etwa im Zusammenhang mit dem CLOUD Act oder potenziellen Handelskonflikten – verstärkt diesen Handlungsdruck.

    Ein zusätzlicher Aspekt: Auch für die klassischen On-Premises-Versionen von Microsoft Office – wie Office 2019 oder Office 2021 – nähert sich der Supportzeitraum seinem Ende. Wer langfristig nicht vollständig in die Cloud migrieren möchte, sollte sich frühzeitig mit Alternativen oder ergänzenden Migrationsszenarien befassen. Andernfalls drohen mittelfristig Sicherheitsrisiken und Lizenzengpässe.

    Orientierung statt Aktionismus

    Es geht nicht um vorschnelle Entscheidungen oder vollständige Ablösung etablierter Lösungen. Vielmehr ist jetzt der richtige Zeitpunkt, um strukturiert zu bewerten, ob und wie digitale Souveränität schrittweise gestärkt werden kann – zum Beispiel durch eine fundierte Risikoanalyse, das Aufzeigen von Handlungsspielräumen oder die Entwicklung eines alternativen Zielbilds.

    Wenn Sie Orientierung in der aktuellen Lage suchen und einen klaren, unabhängigen Blick auf mögliche Wege wünschen, begleiten wir Sie gern – fachlich fundiert, pragmatisch und immer mit Blick auf das Machbare.