Connect with us

Datenschutz & Sicherheit

Schweizer Kanton feuert CISO im Streit um Nutzung der Microsoft-Cloud


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: „Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft.“ Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Kritik von Politik und Datenschützern verhallt

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp („Marschhalt„) des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Der Datenschutzbeauftragte warnt bei Fortführung des Vorhabens vor dem Verlust der digitalen Souveränität durch Abhängigkeit von Microsoft („Vendor Lock-in“) und konstatiert schwere Eingriffe in das Grundrecht auf informationelle Selbstbestimmung.

Die Luzerner Regierung verteidigt den Entscheid laut Medienberichten. Danach beantwortet der Regierungsrat eine Anfrage von Kantonsrat Fabrizio Misticoni (Grüne), wonach die Daten ausschließlich auf Servern in der Schweiz gespeichert und innerhalb der EU verarbeitet würden. Dennoch seien Datentransfers in die USA nicht ganz auszuschließen. Entgegen der Bedenken will die Kantonsregierung aber an M365 festhalten.

Kantons-CISO muss gehen

An einem internen Kritiker der M365-Migration hat der Luzerner Regierungsrat allerdings nicht festgehalten. Das Online-Magazin Republik berichtet, der „Chief Information Security Officer (CISO) des Kantons sei wegen seiner Bedenken zum zeitlichen Fahrplan von Microsoft 365“ Anfang Juni freigestellt worden.

Der IT-Sicherheitschef habe den Luzerner Regierungsrat darauf hingewiesen, „dass der Kanton die erforderlichen Hausaufgaben zur IT-Sicherheit rund um das Projekt Microsoft Cloud noch nicht erfüllt habe, was wiederum verschiedene Quellen der Republik bestätigt haben“. Der CISO trat deshalb auf die Bremse. Doch die Kantonsregierung bestand auf ihrem Zeitplan, stattdessen musste laut Republik der Kritiker seinen Platz räumen.

„Bis heute hat das zuständige Finanzdepartement weder intern noch öffentlich über die Personalie informiert“, schreibt das Medium. Der IT-Sicherheitschef selbst war für eine Stellungnahme nicht erreichbar, so das Magazin, die Kantonsregierung dementierte derweil: „Der Weggang hat keinen Zusammenhang mit der Einführung von Microsoft 365 beim Kanton Luzern“.

M365-Einführung: Es brodelt hinter den Kulissen

Auch in anderen Kantonen zeigen sich ähnliche Vorgänge bei der Umstellung auf M365. Generell fehlt den Kritikern Transparenz, aber vor allem eine offene Diskussion über eine Exit-Strategie. Vendor-Lockin, digitale Souveränität und Selbstbestimmung stehen zur Debatte, blickt man auf die Politik der US-Regierung oder US-Gesetze wie der Cloud Act.

Doch das Bewusstsein für die inhärenten Probleme wächst. So will auch der Kanton Basel-Stadt ab Herbst 2025 M365-Services in seiner Verwaltung einführen. Die kantonale Datenschutzbeauftragte sprach sich gegen den Entscheid aus und fand politische Unterstützung: Auch im Parlament Basel-Stadt opponiert eine parteiübergreifende Gruppe gegen den geplanten Einsatz von M365. Gefordert werden neue gesetzliche Grundlagen, „ob und welche Personendaten in Clouds ausgelagert werden sollen“.

So lässt sich festhalten: Überall da, wo in der Schweiz gegenwärtig oder künftig M365 eingeführt wird, gibt es reichlich Bedarf an Debatten, Klarheit und Bemühungen um Alternativen. Nicht nur auf Kantonsebene brodelt es, auch beim Bund. Immerhin versuche die Bundeskanzlei, sich zumindest teilweise aus der Microsoft-Umklammerung zu lösen, schreibt Republik.

Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte verlangte, dass die Verhältnismäßigkeit einer cloudbasierten Bundeslösung geprüft und „mittelfristig einsetzbare Alternativen“ evaluiert werden müssen. Dies geschah bereits vergangenes Jahr in einer „Studie zu Open-Source-Alternativen von Microsoft Services“ – doch zwischenzeitlich ist der Rollout von M365 beim Bund schon sehr vorangekommen.

Seitdem im Sommer 2024 bei den ersten Abteilungen der Bundesverwaltung im Rahmen eines Pilotprojekts M365 eingeführt wurde, läuft derzeit die Umstellung von alten, bald nicht mehr unterstützten MS Office-Versionen auf Microsoft 365. Bei mehr als einem Drittel der 40.000 Arbeitsplätzen war Ende Februar der Rollout von M365 erfolgt. Bis Ende 2025 soll die Einführung vollbracht sein.


(cku)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

IT-Vorfall bei Center Parcs: Kundendaten betroffen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Zahlreiche Kunden, die ihren Urlaub bei Center Parcs gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien „einige Ihrer personenbezogenen Daten offengelegt“ worden, wie Center Parcs ausführt. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Center-Parcs-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. „Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen“, schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Center Parcs vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Center Parcs: Vom Datenleck betroffene Informationen

Das Datenleck betreffe „möglicherweise“ Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Center Parcs zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. „Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern“, erklärt Center Parcs weiter.

Betroffene sollen wachsam bleiben. Bislang wurde noch kein Missbrauch festgestellt. Dennoch könnten Kriminelle betrügerische E-Mails mit Zahlungsaufforderungen schicken, etwa mit dem Vorwand, dass eine Buchung unvollständig oder eine vorherige Zahlung fehlgeschlagen sei. Auch könnte es zu betrügerischen Anrufen oder SMS-Nachrichten kommen, in denen die Absender persönliche Informationen abfragen. Center Parcs ist wichtig zu betonen, dass das Unternehmen Kunden niemals in einer E-Mail mit einem Link zur Zahlung auffordert. Für offene Buchungen sollen Kunden sich auf der offiziellen Center-Parcs-Webseite oder in der MyCP-App auf dem Smartphone anmelden.

E-Mails mit solchen Zahlungsaufforderungen etwa mit einer Bankverbindung sollen Empfänger nicht nachkommen, sondern im MyCP-Konto nachschauen, ob gegebenenfalls noch ein Saldo vorliegt.

Datenlecks sind leider inzwischen alltägliche Vorkommnisse. Vergangene Woche hat etwa ein Mitglied des CCC beim Übernachtungsdienstleister Numa nächtigen wollen. Dabei stieß es jedoch auf eine vollständige Kundendatensammlung.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

The EU Commission’s vague plans for open source


The EU Commission has been funding open source projects for years. A programme called Next Generation Internet (NGI) is central to this by distributing money quickly and without red tape to promising projects – such as the decentralised microblogging service Mastodon, the video software PeerTube or Jitsi for videoconferencing.

But the Commission has been set on ending funding NGI for some time – despite prolonged criticism. Involved organisations have said that NGI works well and efficiently. Open source also plays a key role in protecting Europe from foreign actors – particularly important in the current geopolitical environment.

The Commission responded that the end of NGI is not meant to be the end of its open source funding. That is set to continue under a new name – initially the “Open Europe Stack”, now the “Open Internet Stack”. Important distinction: In spite of the new name, the programme is only indirectly related to the “EuroStack”.

Buzzword bingo

But what exactly is that supposed to mean? Why does the EU need a new programme at all? What changes will the new name bring? How much money should the new programme have? So far, all these questions go unanswered.

The new programme’s official description refers to a “publicly available and operational stack” focusing on “internet technologies for trust, transactions, connectivity, and decentralisation” and with the aim of creating a  “library of inclusive, trustworthy, interoperable, and human-centric applications and services”.

One of the points is actually new: The programme is set to be linked to a “Connected Collaborative Computing” network, or 3C network for short. This network is an EU Commission dream of an internet relying more heavily on telecommunications providers – one of the few tech sectors in which Europe still has a foothold. This idea is currently still very vague.

Thibault Kleiner, Director at the Commission’s Directorate-General for Communications, spoke more clearly today. “We’re at the stage where we need to move on”, he said at NGI’s annual event in Brussels. The work of NGI has been a big success, but is not resulting in enough business success: “We do the work, but we don’t monetise it.” The new focus, according to him, will be on building software that people will see as a credible alternative to big tech.

Decisions on the horizon

Further details on the Open Internet Stack can be found in an internal document written by a consultant for the Commission. A short version of the document has been published for the NGI event currently taking place in Brussels – we are publishing its full and confidential version.

The most concrete points in the paper concern the future programme’s budget. This is particularly important because Brussels will soon start negotiating the European Union’s next multi-year budget. This will roughly set out what the EU wants to spend money on from 2028 to 2034 – including its support for open source developers.

And how much money would you like?

The paper presents four scenarios for this period: No money at all, as much as before, a little more or twice as much. The author warns that if the Commission stops promoting open source all together, Europe could become even more dependent on non-European software. Experts could leave the continent.

The Commission could also continue the existing NGI funding model – which, according to the author, has so far proven successful. This option would cost the Commission a total of 35 million euros per year. It could also build on what NGI has achieved so far while continuing to reach small organisations with a low-barrier funding model.

As a third option, the document considers an annual budget of 50 million euros to boost Europe’s digital industry. The additional money could be channeled into the education sector or support new companies. Separate budgets should exist for technology that is considered  “critical” for Europe – whatever that means.

The fourth option would amount to up to 70 million euros per year. According to the obviously very optimistic author, this would allow Europe to “set the rules for the digital age”. Europe could become the first region to treat open source maintainers as personnel for critical infrastructure, he says, which could make digital infrastructure more resilient.

Many questions remain open

In terms of budget, the paper is relatively concrete – but apart from that, the plans remain vague. What will the new programme’s name mean for the NLnet Foundation, which distributes open source funding to developers? This is currently causing a few headaches for the Foundation’s employees, as it could potentially mean that it will have to stop its work completely.

Developers are also still asking a lot of questions about what the Open Internet Stack will mean for them. Even the best-known open source projects that have so far benefited from EU support are so far still in the dark.

The difficult topic of procurement

The paper also lists a number of other ideas for the EU’s open source policy. One key problem that open source developers have been pointing out for years is public procurement. They often face major problems selling their products to public authorities because their processes are set up for readily available software packages.

The paper calls on the EU to better align its procurement rules with open source. The personnel responsible for buying software should also be better educated on how open source software works – with the Commission setting a good example.

The proposals might come at just the right time. Yesterday Euractiv reported that the EU Commission is actively negotiating to switch its internal cloud services from Microsoft Azure to the French open source cloud provider OVH Cloud. The EU’s rules for public procurement are also currently being reformed.

Another idea is an EU legal form for open source organisations financed through donations. This legal form should be easy, the paper argues, and therefore accessible to developers. This could contribute to fixing problems faced for example by Mastodon, which was stripped of its charitable status by the German tax authorities.



Source link

Weiterlesen

Datenschutz & Sicherheit

Betrüger nutzen Briefpost zur Abzocke der Ledger-Wallet


Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Falsche Ledger-Webseite: Indizien für Betrug

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Auf unsere Anfrage konnte Ledger noch nicht unmittelbar antworten. Wichtig ist jedoch, dass Ledger-Besitzer ihre Recovery-Seeds niemals auf Anforderung von Dritten preisgeben.

Mitte 2023 geriet Ledger in die Kritik der Nutzerinnen und Nutzer, da das Unternehmen mit „Ledger Recover“ einen Backup-Dienst für die geheime Recovery-Phrase einführen wollte. Der kostenpflichtige Dienst soll die Möglichkeit schaffen, die Seedphrase bei Cloud-Anbietern zu speichern.


(dmk)



Source link

Weiterlesen

Beliebt