Die Reise- und Kontaktbeschränkungen zur Eindämmung des Corona-Virus haben zu einer Veränderung der Arbeitswelt geführt. U.a. besteht ein erhöhter Bedarf zur Nutzung von Webinar-, Videokonferenz- und Matchmaking-Diensten. Bei der Auswahl und Nutzung solcher cloudbasierten Dienste sind eine ganze Reihe von Datenschutzanforderungen zu beachten, die in dem Vortrag vorgestellt werden.

Database systems hosted in the cloud often lack sufficient security precautions. In this talk we present our framework for encrypted data storage in cloud databases that enables the cloud provider to offer certain NoSQL database systems "off-the-shelf" while still being able to perform selection and range queries on the encrypted data. We compare different advanced encryption schemes and discuss requirements for future extensions.

Cloud Computing stellt auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) eine erhebliche Herausforderung dar. Vor allem Fragestellungen rund um Drittlandtransfers sind angesichts des für ungültig erklärten Privacy Shields, des Brexits und der neuen EU-Standardvertragsklauseln so aktuell wie selten zuvor. Zugleich herrscht gerade beim Einsatz von Cloud-Dienstleistern eine hohe Unsicherheit in Bezug auf die Anwendbarkeit der DSGVO und die spezifischen Anforderungen von Datentransfers mit Bezug zu Großbritannien, den USA und weiteren Drittstaaten.

Durch die (teilweise) Verlagerung von Daten und Diensten in die Cloud verschwimmen die Grenzen, ein klares Innen und Außen ist nicht mehr erkennbar. Der Vortrag befasst sich mit den neuen Herausforderungen, die auf Cloud-Betreiber, -Nutzer und Pentester zugekommen sind. Es geht primär um die Unterschiede zum 'klassischen' Penetrationstest, die neuen Angriffsflächen und möglichen Auswirkungen von Attacken.

Niemand kann verhindern, dass Daten gestohlen werden. Ein Verschlüsselungsgateway kann jedoch verhindern, dass Angreifer die Daten nutzen können. Nicht erst seit dem sogenannten Schrems II Urteil des Europäischen Gerichtshofs im Juli 2020 herrscht eine weitreichende Skepsis gegenüber amerikanischen Cloud-Diensten wie bspw. Microsoft. Neben der allgemeinen Funktionsweise eines proxybasierten Verschlüsselungsgateways sowie dessen Einschränkungen, werden konkrete Kundenbeispiele aus den Bereichen Outsourcing im Bankenbereich, Cloud Nutzung im öffentlichen Sektor, Privacy Preserving Analytics, IoT Security, Data Residency Herausforderungen und Testdatengenerierung vorgestellt. Dabei geht es um Datenschutz nach dem aktuellen „Stand der Technik“ mit Verschlüsselung und Tokenisierung – unabhängig davon, welche Anwendung genutzt wird und wo die Daten verarbeitet werden.

Der funktionale und wirtschaftliche Mehrwert von Cloud-Dienstleistungen ist unbestritten. Durch die Auslagerung von IT-Dienstleistungen in die Cloud können Firmen und Privatkunden ihre Effizienz deutlich steigern. Inhärent ist damit immer auch eine Reduktion der Souveränität verbunden, denn die Anwendungen laufen nicht mehr im eigenen Hause, werden nicht mehr von einem Administrator betreut, den man persönlich kennt, sondern werden von professionellem Personal auf fremder Hardware verwaltet. Auf der anderen Seite wünschen sich Nutzer, möglichst viel Souverenität zu behalten, sei es, weil sie sich um die Vertraulichkeit personenbezogener Daten sorgen, den Verlust intellektuellen Eigentums befürchten oder andere schutzbedürftige Daten in die Cloud geben. Mit diesem immer vorhandenen Spannungsfeld beschäftigt sich die Podiumsdiskussion.