Die Orchestrierung und Automatisierung durch Kubernetes erfordert es, die große Angriffsfläche, Multi-Tenancy und die Integration mit CI/CD-Pipelines durch starke Security-Maßnahmen vor Angriffen zu sichern.

In unserem Workshop Advanced Kubernetes Security: Effektive Maßnahmen und Best Practices lernen Sie, wie Sie Ihre Kubernetes-Umgebungen vor Cyber-Angriffen schützen, die Compliance sicherstellen und effektive Gegenmaßnahmen gegen Fehlkonfigurationen ergreifen. Sie werden zentrale Sicherheitskonzepte kennenlernen, darunter RBAC, Admission Control, Laufzeitsicherheit sowie Best Practices für Kubernetes-Cluster. In einer praktischen Laborumgebung können Sie das Erlernte direkt anwenden und Ihre Kubernetes-Cluster gezielt absichern.

Interaktives Lernen in einer Übungsumgebung

Der zweitägige Praxis-Workshop vermittelt, wie Sicherheitspraktiken dabei helfen, Risiken wie Privilege Escalation, Data Leakage und Supply Chain Attacks in dynamischen Cloud-Native-Umgebungen zu minimieren. In kleinen Gruppen arbeiten Sie an praxisorientierten Übungen zu Themen wie der Durchsetzung von Sicherheitsrichtlinien, der Verwaltung von Zugriffskontrollen und der Absicherung containerisierter Workloads.

Dieser Workshop richtet sich an Kubernetes-Administratoren, Site Reliability Engineers (SRE), DevSecOps-Experten, Pentester und Red-Team-Mitglieder.

Ihr Trainer Benjamin Koltermann ist ein anerkannter Experte für Cloud- und Kubernetes-Sicherheit. Als CEO und Security Architect bei KolTEQ führt er Projekte für große, regulierte Unternehmen und begleitet sie bei der sicheren Transformation hin zu Cloud-Lösungen und Kubernetes.

(ilk)

Mittlerweile unterstützen insgesamt 30 Fluggesellschaften die Möglichkeit, über Apples „Wo ist?“-Findenetzwerk nach verlorengegangenem Gepäck zu suchen. In dieser Woche kam der saudische Flag-Carrier Saudia Airlines hinzu, wie lokale Medien berichteten. Dies sei Teil des „kontinuierlichen Engagements für die digitale Transformation“ der Fluggesellschaft, so Technikchef Abdulgader Attiah. Man wolle die Erfahrung der Fluggäste mit „modernster Technik und innovativen Lösungen“ stärken.

Erst User, dann auch Fluggesellschaften

Tatsächlich hilft die „Wo ist?“-Funktion Menschen dabei, mehr Einblick in die Gepäcksituation beim Reisen zu erhalten. Findet sich ein Tracker (es kann ein AirTag, aber auch ein kompatibles „Wo ist?“-Gerät sein, von denen es mittlerweile sehr viele gibt) im Aufgabegepäck, lässt sich etwa stets feststellen, ob die Koffer wirklich mitgekommen sind oder aber noch am Ausgangsflughafen stehen. Mit der sogenannten Präzisionssuche, sobald sich das Objekt in der Nähe befindet, lässt sich sogar feststellen, ob der Koffer bald vom Band rollt. Perfekt ist das Tracking zwar nicht immer, weil Apple-Geräte anderer Menschen zur Positionsweitergabe in der Nähe sein müssen (mit Ausnahme der Präzisionssuche im Nahfeld), doch sind diese bekanntermaßen weit verbreitet. Apple hat laut eigenen Angaben mittlerweile drei Milliarden iPhones verkauft.

Die seit dem vergangenen Jahr ausgerollte Erweiterung von „Wo ist?“ auf Airlines verbindet nun beide Welten: Die Systeme der Fluggesellschaften zum Auffinden verlorenen Gepäcks und die Daten aus AirTag und Co., die die Nutzer bereitstellen. Apple hat dazu in iOS und über ein Webportal eine Freigabe implementiert, mit der man einzelne Tracker für solche Suchen nutzen kann. Daten des Users bleiben dabei geschützt. Die Weitergabe der Informationen ist über die „Wo ist?“-Anwendung möglich, Mindestvoraussetzung sind iOS oder iPadOS 18.2 sowie macOS 15.2. Anschließend lässt sich auch ein Link teilen, bei dem die Ortsangabe automatisch aktualisiert wird.

Die Airlines, die „Wo ist?“ für Gepäck unterstützen

Die Liste der Gesellschaften, die „Wo ist?“ aktuell unterstützen, wird immer länger. Hier eine aktuelle Übersicht:

• AJet
• Aer Lingus
• Air Canada
• Air France
• Air India
• Air New Zealand
• American Airlines
• Austrian Airlines
• Breeze Airways
• British Airways
• Brussels Airlines
• Cathay Pacific
• China Airlines
• Delta
• Eurowings
• Finnair
• Iberia
• JetBlue
• KLM
• Lufthansa
• Porter Airlines
• Qantas
• Saudia
• Singapore Airlines
• SunExpress
• SWISS
• Turkish Airlines
• United
• Virgin Atlantic
• Vueling

Im Falle eines Gepäckverlustes sollte man im Rahmen der Meldung bei der Airline jeweils angeben, dass man „Wo ist?“-Nutzer ist. Dann wird der Link übergeben. Das Tracking wird automatisch gestoppt, sobald man sein Gepäck wieder hat.

(bsc)

Es ist ein Paradoxon: Mit fortschreitender Digitalisierung, Künstlicher Intelligenz und Cyberwar wären Datenschutz und Datensicherheit eigentlich immer wichtiger. Doch ausgerechnet jene, die sich von Amts wegen darum kümmern müssen, werden immer leiser.

Wann haben Sie zuletzt von den Datenschutzbeauftragten gehört? Heise-Meldungen gelten dafür nicht, aber auch unter diesen finden sich inzwischen zahlreiche eigentümliche Exemplare. Etwa die, dass der europäische Datenschutzbeauftragte Wojciech Wiewiórowski keine rechtlichen Einwände mehr gegen die Nutzung von Office 365 durch die Europäische Kommission vorbringt. Ein Thema, bei dem die deutschen Datenschutzaufsichtsbehörden seit fünf Jahren keine Lösung herbeigeführt haben — genau so wenig wie Anbieter Microsoft.

In der Debatte um die elektronische Patientenakte spielt das CCC-Umfeld eine ungleich wichtigere Rolle, beim Thema Digitale Identitäten ist das BSI weitgehend alleine unterwegs. Wie kann es sein, dass im Zeitalter angewandter künstlicher Intelligenz und damit der Auswertung und Verknüpfung großer Datenbestände ausgerechnet die Datenschutzbeauftragten auffallend leise sind? Müssten sie nicht derzeit mehr zu tun haben und präsenter sein, denn je zuvor?

Datenschutz wäre eigentlich immer relevanter

Der Datenschutz ist von einer theoretischen Diskussion über Machtpotenziale wie im Volkszählungsurteil längst zu einem ganz praktischen Thema geworden, das überall eine Rolle spielt. Es gibt mehr vernetzte Geräte als je zuvor. Und es gibt mehr Sensorik, die darin steckt, jede Menge Software, die irgendwelche Daten abgreift. Für Unternehmen und Organisationen gibt es kaum einen Grund, sie nicht einzusetzen.

Moderne Autos etwa stecken voller Sensorik, unter anderem Kameras. Und wohin diese Daten gehen, wie sie verarbeitet werden, durch wen und was mit diesen geschieht? Ein überaus alltagsrelevantes Thema. Und auch in Deutschland sitzt eine Vielzahl an Autoherstellern — oder europäische Firmenzentralen derselben, sodass deutsche Aufsichtsbehörden zuständig sind.

Doch von kritischer Draufsicht ist dort regelmäßig nichts zu sehen. Selbst wenn in anderen Ländern rund um den Globus die Thematik wie die der potenziellen Schnüffelautos aufgegriffen wird, die Erna und Dieter im Garten, am Zebrastreifen und beim Wildpinkeln filmen, deren Sensorik für Polizei eine Fundgrube wäre, von deutschen Aufsichtsbehörden hört man dazu: so gut wie nichts.

Da gibt Niedersachsens Beauftragte mal bekannt, sich in enger Abstimmung mit Volkswagen und anderen Aufsichtsbehörden zu befinden. Aber tatsächliches handeln? Nur in den seltensten Fällen passiert etwas.

Sprechen ist wie Aufsicht, nur billiger

Das liegt auch an den Datenschutzaufsichtsbehörden. Die haben über die Jahre zwar mehr Personal bekommen. Aber dass sie tatsächlich ihr Gebiss poliert und kräftig zugebissen hätten, kann nicht seriös berichtet werden. Wer sollte es Unternehmen oder Behörden also verdenken, dass sie im Wissen darum, dass die Aufsichtsbehörden zwar maulen, am Ende aber doch vor einer härteren Gangart meist zurückschrecken, auf nichts Substanzielles verzichten würden?

Talk is cheap, heißt es in der Politik. Und aufsichtsbehördliches Handeln ist teuer: das wäre mit Papierkrieg, Zeitaufwand und möglicherweise auch zu verlierenden Gerichtsprozessen verbunden.

Natürlich lässt sich hervorragend darüber streiten, inwieweit Deutschlands Datenschutzdiskussionen teils etwas artifiziell geraten sind. Immerhin gibt es kein Land auf diesem Planeten mit mehr juristischen Fachzeitschriften, in denen selbst die absonderlichsten und interessengeleiteten Interpretationen des Datenschutzrechts breit ausgewalzt werden, um dann im Diskurs als veröffentlichte und somit absolut seriöse Argumente vorgetragen zu werden. Wer mit Anwälten spricht, die vom Fach sind, bekommt schnell ein Gefühl dafür, wie viele der Debatten primär dazu da sind, Verfahren jeder Art in die Länge ziehen zu können und Rechtsklarheit zu vermeiden.

Doch es gehört zu den wundersamen deutschen Eigenschaften, daran zu glauben, dass Deutschland im digitalen Raum von besonders scharf durchgreifenden und die Beteiligten verunsichernden Aufsichtsbehörden stranguliert würde. Irgendwie scheint dieses Narrativ immer noch zu verfangen.

Dabei gibt es wirklich erstaunliche Fälle: Der Hessische Datenschutzbeauftragte etwa wurde verklagt, weil er meinte, dass er Bürgerbeschwerden nicht scharf nachgehen müsse. Und bekam vor dem EuGH Recht: das sei durchaus die Rechtslage.

Ein absurder Fall: Bürger verlangen von Aufsichtsbehörden, Verstöße schärfer zu ahnden – und die wollen das auf keinen Fall müssen. Auch in anderen Fällen werden inzwischen Datenschutzaufsichtsbehörden verklagt, weil sie zu wenig tun.

Schuld trägt vor allem die Politik

Diese Situation ist nur zum Teil das Verschulden der oftmals eher spröden und nicht gerade als Karrieresprungbrett für Beamte bekannten Behörden. Der Großteil der Misere ist politisch gewollt — und längst bis in weite Teile der Grünen hinein hat sich die Überzeugung durchgesetzt, dass Datenschutz der Digitalisierung im Weg stehen würde.

Ein Grund, warum etwa die grün-schwarze Landesregierung in Hessen weder etwas gegen die IP-Vorratsdatenspeicherung noch gegen Palantirs Analysesoftware bei der Landespolizei einzuwenden hat. Und die FDP? Die hatte damit in Teilen auch schon lange ihre Probleme. Mit ihrem bundespolitischen Ausscheiden allerdings ist ihre Bedeutung derzeit vernachlässigbar. Doch auch sie frönte zuletzt einem Narrativ, das von CSU bis Grünen gepflegt wird: Es braucht einen ganz anderen Ansatz, um Digitalisierung und Datenschutz zusammenzubekommen.

Statt knallharter behördlicher Aufsicht, die Verfehlungen ahndet, soll ein Wischi-Waschi-Beratungsauftrag erfüllt werden. Und nur bei den ganz, ganz unbelehrbaren soll wirklich einmal durchgegriffen werden. Vielleicht aber besser auch nur dann, wenn das nicht der Wirtschaft schadet. Denn es ist ja auch alles schrecklich kompliziert, vom Datenschutz über die KI-Verordnung und den Data und Data Governance Act bis hin zum Digital Services Act greifen Regelungen ineinander und teilweise aneinander vorbei, regeln ähnliche Sachverhalte und erlauben und verbieten ganz unterschiedliche Dinge.

Und wenn die Politik so komplizierte Geflechte in die Welt setzt, was läge da näher, als, man ahnt es bereits, deren Anwendung im Nachhinein abzuschwächen? Indem aus einer Aufsicht mit Kontrollfunktion eher eine Pausenaufsicht wird, die pädagogisch wertvoll den Kindern bei der Einhaltung der Regeln unter die Arme greift und nur im Ausnahmefall Sanktionen ergreift?

Unabhängig, aber bitte nicht zu kritisch

Die Politik erklärt Unternehmen, Behörden und Organisationen seit Jahren in gewisser Weise für zu blöd, Regeln zu verstehen und einzuhalten, nachdem diese über Jahre die ach so große Komplexität beklagt haben. Kein Phänomen des Datenschutzes alleine, aber hier ist es besonders auffällig: seitdem Datenschutz politisch stärker unter Druck steht und zum Sündenbock für die sowohl von Politik, Behörden und Unternehmen an vielen Stellen schlicht nicht oder falsch angegangene Digitalisierung erklärt wurde, agieren diese immer vorsichtiger.

Auch deshalb, weil Vertreter einer härteren Linie unter den Datenschutzbeauftragten von der Politik zuletzt mehrfach abgesägt wurden oder die Stellen schlicht über Monate und Jahre gar nicht mehr besetzt wurden, sind die heutigen Datenschutzaufsichtsbehörden in weiten Teilen als Verwaltungsaufsichten besetzt – die formelle Unabhängigkeit, die die Datenschutzgrundverordnung vorschreibt, endet schnell.

Eine Möglichkeit: die Zuständigkeiten zu verschieben. Das droht etwa bei der Datenschutzaufsicht über die Nachrichtendienste schon seit einer ganzen Weile: Egal wie freundlich die Datenschützer mit den Diensten umgehen, egal, wie wenig sie real kontrollieren oder einwenden, die Kontrollkompetenz wollte schon der ehemalige Kanzleramtsminister Wolfgang Schmidt (SPD) lieber an eine andere Stelle auslagern, den Unabhängigen Kontrollrat, der die Nachrichtendienstarbeit auch sonst kontrolliert.

Dass spätestens da, wo Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und der Militärische Abschirmdienst mit dem Bundesamt für Migration und Flüchtlinge, mit Landesämtern für Verfassungsschutz oder dem Bundeskriminalamt interagieren dann doch wieder die jeweiligen Datenschutzaufsichtsbehörden ins Spiel kommen: in der politischen Debatte lässlich. Denn es ginge ja darum, den Datenschutz „zurechtzustutzen“.

Ein ähnliches politisches Signal: bei staatlichen Vorhaben wird in Gesetzen vom sogenannten „Einvernehmen“ auf ein „Benehmen“ reduziert. Sprich: Statt dass die Datenschutzaufsicht grünes Licht geben müsste, reicht es, dass sie ihre Bedenken zu Protokoll gegeben hat. Datenschützer nerven und damit sollen sie aufhören, egal ob Vorratsdatenspeicherung, Gesundheitsdaten oder KI-Einsatz bei Videoüberwachung durch Polizei oder in anderen Kontexten.

Nicht nur Datenschutzaufsicht unter Beschuss

Damit sind die Datenschützer am Ende nicht allein. Exakt das gleiche Schicksal droht derzeit in anderen Bereichen: Weil die KI-Verordnung kompliziert ist, soll die zuständige Behörde viel weniger sanktionieren als vielmehr protegieren. Und weil das auch für die Cybersicherheit gilt, soll natürlich auch bei der NIS2-Richtlinie das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor jedem Eingreifen doch bitte möglichst die Hand reichen, um darbende deutsche Unternehmen bei der Regeleinhaltung zu unterstützen. Der Präsident der Bundesnetzagentur hat viele Male öffentlich betont, wie wichtig die Beratungsfunktion bei der deutschen Umsetzung der KI-Verordnung ist. Als ob Aufsichtsbehörden Consultingfirmen wären.

Digitalpolitik ist Machtpolitik heißt es im Koalitionsvertrag zwischen CDU, CSU und SPD. Und genau das ist es, worum es derzeit an vielen Stellen geht: Statt einem behördlichen Aufsichtsregime soll eine Art Digitalisierungsförderung stehen. Gegen letzteres spricht eigentlich auch wenig – aber es ist eine völlig andere Aufgabe, die in Aufsichtsbehörden wenig verloren hat. Niemand käme auf die Idee, etwa die Wirtschaftsförderung eines Bundeslandes mit der Bau-, Lebensmittelaufsicht oder den finanzbehördlichen Aufgaben zu betrauen. Aber vielleicht ist das auch nur noch eine Frage der Zeit, bis die Steuerfahndung als Steuerberater für darbende deutsche Unternehmen tätig werden soll?

So ist es fast schon als Glücksfall zu betrachten, dass sich zumindest beim Datenschutz ein anderer Zweig der Rechtsdurchsetzung inzwischen alternativ herausgebildet hat: Immer häufiger müssen sich Unternehmen Massenverfahren beim immateriellen Schadenersatz stellen. Die jeweils eingeklagten Summen pro Fall sind in der Regel marginal – doch je mehr Betroffene diese Rechte geltend machen, umso höher sind die Risiken, die mit Schlamperei beim Datenschutz verbunden sind.

Zumindest solange, bis die Politik auch hier ein Risiko für die Wirtschaft sieht und die rechtlichen Regeln dafür wieder abändert. Die Datenschutzaufsichtsbehörden können sich über die Entlastung freuen. Und weiter in Arbeitskreisen Positionspapiere schreiben, warum es auf den Einzelfall ankommt, ob die datenschutzrechtliche Bewertung des Einsatzes dieser oder jener Software zu kritisieren wäre.

Vielleicht ist es also einfach an der Zeit, einzusehen, dass Digitalisierung nur dann Regeln folgt, wenn die Bürger in allen Feldern die Möglichkeit bekommen, böswillige oder schlampende Akteure in Grund und Boden zu klagen – dann können die staatlichen Aufsichtsbehörden sich auf die politisch derzeit gewünschte Beratungsleistung konzentrieren.

(nen)