Connect with us

Künstliche Intelligenz

Microsofts Souveränitäts-Debakel: Zwischen „blumiger Werbung“ und „keine Panik“


Eine simple Antwort schlägt hohe Wellen: Microsoft kann nicht unter Eid garantieren, dass Daten von EU-Kunden bei einer Anfrage nicht an US-Behörden übertragen werden. Obwohl sich die Anhörung auf die französische UGAP bezog, sind die potenziellen Auswirkungen weitaus größer – US-Cloud-Anbieter versuchen aktuell, mit Souveränitätsversprechen um Vertrauen in der EU zu werben. Eine solche Aussage konterkariert diese jedoch augenscheinlich. Um diese einzuordnen, haben wir zwei Meinungen von Experten eingeholt.


Dennis-Kenji Kipker

Dennis-Kenji Kipker

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen und arbeitet dort an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz.


Stefan Hessel

Stefan Hessel

Stefan Hessel ist Rechtsanwalt und Salary-Partner bei reuschlaw in Saarbrücken. Als Head of Digital Business berät er nationale und internationale Unternehmen zu Datenschutz, Cybersicherheit und IT-Recht.

Dennis Kipker, Research Director, cyberintelligence.institute, sieht die Befürchtungen bestätigt:

Das Zugeständnis von Microsoft kommt nicht überraschend – aber ist gleichwohl erkenntnisreich, denn Microsoft hat in der Vergangenheit explizit mit Maßnahmen geworben, die angeblich eine höhere Datensicherheit im transatlantischen Datenaustausch gewährleisten beziehungsweise Zugriffe nach Möglichkeit ausschließen sollen.

Jetzt stellt sich heraus, dass diese blumigen Werbeversprechen, die Diskussionen um Datengrenzen und teilsouveräne Clouds keine effektiven Schutzmechanismen darstellen. Das ist umso fataler, als von den Werbeversprechen Entscheidungen von Unternehmen wie auch staatlichen Einrichtungen für die sichere und souveräne Datenhaltung abhängen und sich nun herausstellt, dass die Sicherheitsversprechen von Microsoft auf Sand gebaut sind.

Zwar räumt Microsoft ein, dass es bislang noch nicht zu einem Zugriff gekommen sei. Das war aber bislang nicht der Gegenstand der öffentlich geführten Argumentation – stets ging es nämlich nur darum, wie durch rechtliche, technische und organisatorische Maßnahmen das Zugriffsrisiko gemindert oder ausgeschlossen werden soll. Und damit sind wir wieder bei der ganz alten Erkenntnis angelangt: Als US-amerikanisches Unternehmen muss sich Microsoft der US-amerikanischen Jurisdiktion beugen – egal, was die Werbeversprechen sagen.

Und auch wenn argumentiert wird, dass auch in der EU entsprechende Zugriffsbefugnisse seitens der Behörden existieren, die dem US-amerikanischen Recht vergleichbar sind, geht dies fehl. Denn immerhin haben wir in Deutschland und in der gesamten Europäischen Union ein Datenschutzgrundrecht, das verfassungsrechtlich verankert ist. So etwas gibt es in den USA in dieser Form nicht.

Deshalb ist es eigentlich umso besser, dass diese Enthüllung jetzt offiziell bekannt wurde, damit sich Unternehmen und Behörden in ihrer Risikoabwägung im Rahmen von Cloud-Beschaffungsentscheidungen darauf einstellen können.




Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E. In der nächsten Ausgabe geht’s ums Titelthema der August-iX: modernes Testmanagement.

Stefan Hessel, Rechtsanwalt bei reuschlaw, schätzt die Situation jedoch anders ein:

In der Aussage eines Microsoft-Managers, er könne nicht garantieren, dass die Daten vor einer Übermittlung in diese USA sicher seien, wird vielfach als Beleg für einen Kontrollverlust beim Einsatz von US-Cloudanbietern gesehen. Doch dieser Schluss greift zu kurz und lässt zentrale rechtliche Rahmenbedingungen außer Acht.

Zunächst liegt keine Drittlandsübermittlung vor, wenn im Cloudvertrag mit der EU-Tochtergesellschaft klar geregelt ist, dass die Daten ausschließlich im Europäischen Wirtschaftsraum verarbeitet werden. Der Fall ist also grundlegend anders als bei einer direkten Datenübermittlung in die USA oder an die US-Muttergesellschaft, wo ein direkter Zugriff durch die US-Behörden möglich ist. Im Kern geht es stattdessen um den CLOUD Act. Dieser verpflichtet US-Cloudanbieter, auf Anordnung einen Zugriff auf Daten einzuräumen, auch wenn diese nicht in den USA verarbeitet werden. Oft wird daraus geschlossen, dass US-Cloudanbieter ihre europäischen Tochtergesellschaften zur Herausgabe von Daten zwingen könnten.

Juristisch ist das jedoch nicht haltbar. EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden. Gemäß Art. 28 Abs. 3 DSGVO dürfen Cloud-Anbieter als Auftragsverarbeiter Daten ausschließlich auf Weisung des Kunden verarbeiten. Eine Ausnahme von diesem Grundsatz gilt nur, wenn sie durch das EU-Recht oder das Recht eines EU-Mitgliedstaats zu einer Verarbeitung verpflichtet sind.




Die Digitalisierung und der Einsatz von Cloud-Technologien stellen Unternehmen vor zentrale Fragen der Souveränität. Wie behalten sie die Kontrolle über Daten und Systeme, behalten dabei die Abhängigkeiten im Griff und erfüllen zudem regulatorische Anforderungen?

Dieser Workshop bietet einen kompakten Einstieg in das Thema Cloud-Souveränität, stellt unterschiedliche Cloud-Modelle vor und gibt einen Überblick über aktuelle Markttrends und Angebote. Die Chancen und Risiken von Multi-Cloud-Strategien werden praxisnah beleuchtet und die Teilnehmenden erarbeiten eine zukunftssichere IT-Strategie.

Anmeldung und Termine unter heise.de/s/nlrBA

Außereuropäische Gesetze wie der CLOUD Act dürfen dabei nicht berücksichtigt werden. Eine Offenlegung personenbezogener Daten gegenüber Behörden in Drittländern wie den USA darf gemäß Art. 48 DSGVO nur im Wege der Rechtshilfe erfolgen. Wenn dieses Verfahren eingehalten wird, ist es jedoch auch möglich, dass der Kunde keine Mitteilung über die Datenweitergabe erhält. Denn in Art. 28 Abs. 3 DSGVO ist auch geregelt, dass eine Benachrichtigung unterbleiben muss, wenn ein entgegenstehendes wichtiges öffentliches Interesse besteht.

EU-Töchter von US-Cloudanbietern dürfen Herausgabeaufforderungen ihrer Muttergesellschaft deshalb im Ergebnis nur nachkommen, wenn die Voraussetzungen der DSGVO erfüllt sind. Ob dies der Fall ist, können die europäischen Datenschutzaufsichtsbehörden und Gerichte voll überprüfen und etwaige Verstöße wirksam ahnden. Es besteht also kein Anlass zur Panik.


(fo)



Source link

Verwandte Themen:
Weiterlesen

Künstliche Intelligenz

Analyse: Das wahre Wasserproblem Deutschlands und welche Maßnahmen nötig sind


Sauberes Trinkwasser sprudelt hierzulande wie selbstverständlich aus dem Hahn. Und das soll auch so bleiben. Es wäre falsch zu behaupten, dass Wasser flächendeckend knapp ist in Deutschland. Doch steigende Temperaturen, Dürren und extreme Wetterereignisse bedrohen unsere Talsperren und Grundwasserreserven auf vielfältige Weise.

Laut Deutschem Wetterdienst war es hierzulande seit 1931 noch nie so trocken wie 2025 von Anfang Februar bis Mitte April. Da stellt sich durchaus die Frage, ob das mit dem Trinkwasser auch weiterhin so reibungslos klappt.

  • Wasser ist in Deutschland nicht knapp. Der Klimawandel und Stoffeinträge fordern aber eine Wasserwende.
  • Beginnender Grundwasserstress und saisonale Extreme erfordern eine intelligentere Infrastruktur, z. B. Speicher und Schwammstadt-Konzepte.
  • Wälder spielen eine Schlüsselrolle für die Wasserqualität, doch Waldsterben verschärft die Probleme; klimaresiliente Aufforstung ist ein zentraler Lösungsansatz.
  • Chemische Belastungen von Gewässern, insbesondere durch Nitrat und langlebige Schadstoffe (PFAS), treiben die Kosten der Trinkwasseraufbereitung massiv in die Höhe.
  • Politisches Handeln, wie das Verursacherprinzip und nachhaltige Managementstrategien, sind essenziell, um Wasserqualität und -verfügbarkeit zu sichern.

Der Artikel erklärt die direkten und indirekten Gefahren für unser Trinkwasser und zeigt auf, welche Lösungsansätze es gibt, um die Versorgung in Quantität und Qualität auch für zukünftige Generationen zu sichern.


Das war die Leseprobe unseres heise-Plus-Artikels „Analyse: Das wahre Wasserproblem Deutschlands und welche Maßnahmen nötig sind“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.



Source link

Weiterlesen

Künstliche Intelligenz

c’t-Webinar: Gamified Hacking – Lernen durch Spielen


Ihre Aufgabe führt Sie direkt in eine digitale Gruft. Mit Kali Linux und einer Portion Neugier jagen Sie versteckte Flaggen und treten am Ende gegen den Necromancer an. Hinter der Spielkulisse steckt ein intensives Hacking-Rätsel in einem abgeschotteten Netzwerk.

Im Webinar „Die Necromancer-Challenge“ führt c’t-Redakteur Wilhelm Drehling durch diese besondere CTF-Challenge (Capture The Flag).

Praxisnahe Einblicke in Hacking-Werkzeuge

Drehling hackt sich im Webinar durch alle elf Level. Um zum Ziel zu gelangen, greift er auf unterschiedliche Hacking-Tools zurück: Er klopft Server mit nmap ab, knackt Passwörter mit Hydra und analysiert den Netzwerkverkehr mit Wireshark. Dabei verzichtet er bewusst auf Fachchinesisch und trockene CVE-Tabellen. Sie gewinnen ein Gefühl dafür, wie man eine solche CTF-Challenge systematisch angeht und erfahren, wie Sie ein eigenes sicheres Hacking-Netzwerk aufsetzen.

Während des Webinars sollten Sie sich zunächst auf das Geschehen am Bildschirm konzentrieren und erst später selbst aktiv werden. Als Teilnehmer erhalten Sie Zugriff auf die Aufzeichnung sowie die begleitenden c’t-Artikel, um das Gelernte im eigenen Tempo nachzuvollziehen.

Vom Zusehen zum Selbermachen

Das c’t-Webinar richtet sich an alle Menschen, die sich fürs Hacken interessieren, egal ob Anfänger oder mit Vorkenntnissen. Sie entwickeln ein Gespür für Angriffsmethoden und lernen, Schwachstellen zu identifizieren. Wilhelm Drehling gibt zudem wertvolle Tipps zu Lernplattformen, Kali-Alternativen und hilfreichen Tools. Allgemeine Verständnisfragen können Sie jederzeit im Chat stellen.

  • Datum: 16. September 2025
  • Uhrzeit: 15:00 bis 18:00 Uhr
  • Preis: 69,00 Euro

Zur Teilnahme benötigen Sie lediglich einen aktuellen Browser. Alle weiteren Informationen sowie Details zur Anmeldung finden Sie auf der Webseite von heise academy.


(abr)



Source link

Weiterlesen

Künstliche Intelligenz

Contracts in C++26: Evaluations-Semantik | heise online


Nachdem ich in meinem letzten Artikel Contracts in C++26: Ein tiefer Einblick in die Verträge kurz die Details von Contracts vorgestellt habe, möchte ich mich nun näher mit der sehr interessanten Evaluations-Semantik befassen.


Rainer Grimm

Rainer Grimm

Rainer Grimm ist seit vielen Jahren als Softwarearchitekt, Team- und Schulungsleiter tätig. Er schreibt gerne Artikel zu den Programmiersprachen C++, Python und Haskell, spricht aber auch gerne und häufig auf Fachkonferenzen. Auf seinem Blog Modernes C++ beschäftigt er sich intensiv mit seiner Leidenschaft C++.

Wenn eine Contracts Assertion auftritt, wird eine der vier Bewertungssemantiken angewendet: ignore, observe, enforce und quick-enforce. Die Tabelle gibt einen Überblick über die vier Semantiken:



(Bild: Rainer Grimm)

Leider ist es derzeit nicht möglich, diese Evaluations-Semantiken in vollem Umfang zu sehen.

Checking-Semantik und Terminating-Semantik

Während die Checking-Semantik die Vertrags-Assertion nur auswertet, beendet die Terminating-Semantik auch das Programm.

Eine standardkonforme Implementierung muss nicht jede der vier genannten Evaluations-Semantiken implementieren. Sie kann auch ihre eigene Semantik anbieten.

Wie der Name schon sagt, ignoriert die ignore-Semantik die Auswertung des Prädikats. Dennoch muss das Prädikat syntaktisch korrekt sein.

Die observe-Semantik ist eine Checking-Semantik. Im Allgemeinen können drei Bedingungen zu einer Vertragsverletzung führen:

  • Die Auswertung des Prädikats gibt false zurück.
  • Die Auswertung des Prädikats verursacht eine Exception.
  • Die Auswertung des Prädikats erfolgt zur Compile-Zeit, aber das Prädikat ist kein konstanter Ausdruck.

Wenn zur Compile-Zeit eine Vertragsverletzung auftritt, wird eine Diagnose ausgegeben und die Kompilierung fortgesetzt.

Wenn eine Vertragsverletzung zur Laufzeit auftritt, wird der Vertragsverletzungs-Handler aufgerufen, der auf ein Objekt vom Datentyp const std::contracts::contract_violation verweist, das Informationen über die Vertragsverletzung enthält. Wenn der Vertragsverletzungs-Handler normal zurückkehrt, wird die Programmausführung fortgesetzt.

Die enforce-Semantik ruft den Vertragsverletzungs-Handler zur Laufzeit auf. Das Programm wird beendet, wenn der Contract-Violation-Handler normal zurückkehrt. Die enforce-Semantik ist eine sogenannte terminierende Semantik. Das bedeutet, dass im Falle einer Vertragsverletzung die Programmausführung beendet wird. Danach kann eine der folgenden Aktionen erfolgen:

  • Aufruf von std::terminate,
  • Aufruf von std::abort oder
  • sofortige Beendigung der Ausführung.

Zur Compile-Zeit wird die Kompilierung abgebrochen.

Die quick-enforce-Semantik ruft den Vertragsverletzungs-Handler zur Laufzeit nicht auf. Als terminierende Semantik beendet sie das Programm sofort. In diesem Fall wird beispielsweise __builtin_trap() verwendet.

Zur Compile-Zeit wird die Kompilierung abgebrochen.

Vertragsverletzungs-Handler

Der Vertragsverletzungs-Handler hat folgende Signatur:

void handle_contract_violation( std::contracts::contract_violation );

Die Implementierung stellt den Standard-Vertragsverletzungs-Handler bereit. Sie kann jedoch auch zulassen, dass dieser Standard-Vertragsverletzungs-Handler durch einen benutzerdefinierten ersetzt wird.

In seiner ausgezeichneten Präsentation Contracts for C++ auf der ACCU 2025 stellt Timur Doumler einige spannende Beispiele für benutzerdefinierte Vertragsverletzungshandler vor:


// Protokollierung
  
void handle_contract_violation( std::contracts::contract_violation violation ) {
    LOG(std::format("Contract violated at: {}\n", violation.location()));   
}

// Setze einen Haltepunkt
  
void handle_contract_violation( std::contracts::contract_violation violation ) {
    std::breakpoint();
}

// Warte, bis ein Debugger angeschlossen ist
  
void handle_contract_violation( std::contracts::contract_violation violation ) {
    
while (!std::is_debugger_present())
     /* spin */

    std::breakpoint();
}

// Stacktrace ausgeben
  
void handle_contract_violation( std::contracts::contract_violation violation ) {
    std::cout << std::stacktrace::current(1);
}

// An den Standard-Handler für Vertragsverletzungen übergeben
  
void handle_contract_violation( std::contracts::contract_violation violation ) {
    std::cout << std::stacktrace::current(1);
    std::contracts::invoke_default_contract_violation_handler(violation);
}


Abschließend möchte ich die Schnittstelle des Objekts std::contracts::contract_violation vorstellen, das der Vertragsverletzungs-Handler empfängt:

  • kind gibt die Art der Vertragsverletzung zurück.
  • semantic gibt die Evaluations-Semantik zurück, wenn die Vertragsverletzung auftritt.
  • is_terminating gibt zurück, ob die Evaluations-Semantik beendet wird.
  • detection_mode gibt den Grund für die Vertragsverletzung zurück.
  • evaluation_exception gibt einen std::exception_ptrzur zur Ausnahme zurück, die bei der Prädikatbewertung ausgelöst wurde.
  • comment gibt eine erklärende Zeichenfolge zur Vertragsverletzung zurück.
  • location gibt einen std::source_location zurück, der den Ort der Vertragsverletzung angibt.

Weitere Informationen zum std::contracts::contract_violation-Objekt finden sich auf der cppreference-Seite.

Wie geht es weiter?

In meinem nächsten Artikel werde ich mich auf die kleineren Features in C++26 konzentrieren. Ich beginne mit den kleinen Sicherheits-Features in der Kernsprache.


(rme)



Source link

Weiterlesen

Beliebt