Der Kölner Übersetzungsdienst DeepL verarbeitet Kundendaten ab dem 20. Mai nicht mehr ausschließlich auf eigenen Servern in Deutschland und Island. Das Unternehmen ergänzt seine Infrastruktur künftig um die Cloud-Dienste des US-amerikanischen Anbieters Amazon Web Services (AWS). Die Änderung erlaube es dem Unternehmen, Daten in einem internationalen Maßstab zu verarbeiten, was seine „Zuverlässigkeit, Skalierbarkeit und technische Infrastruktur“ verbessere. DeepL hat seine Kunden bereits per E-Mail über den Schritt informiert.

Die neuen Nutzungsbedingungen gelten als akzeptiert, wenn Kunden nicht aktiv widersprechen. Nutzer, die der Einbindung von AWS widersprechen, können ihr Abonnement nur noch bis zum Ende ihres aktuellen Abrechnungszeitraums weiternutzen, maximal jedoch bis zum 31. Dezember 2026. In diesem Fall sollen die Daten der widersprechenden Nutzer bis zum Vertragsende auf der eigenen Infrastruktur belassen werden. Für neue Verträge und Verlängerungen wendet DeepL diese aktualisierten Infrastruktur-Bedingungen bereits seit Jahresbeginn an.

Standardmäßig verarbeitet DeepL die Inhalte der Anwender künftig weltweit in verschiedenen AWS-Regionen, darunter die EU, die USA und Japan. Nur Kunden mit speziellen Vertriebsverträgen, wie etwa Enterprise-Abonnenten, erhalten die Möglichkeit, eine feste Region für die Datenverarbeitung auszuwählen.

Technische Realität biete keine Alternativen

Der Wechsel in die Cloud von Amazon verdeutlicht das strukturelle Problem insbesondere europäischer Tech-Unternehmen, die für ein weltweites Wachstum auf die Infrastruktur großer US-Anbieter angewiesen sind. Auch etwa der auf Datenschutz bedachte verschlüsselte Messenger Signal nutzt die Rechenkapazitäten von Amazon. Die Chefin des Dienstes hatte die Nutzung im vergangenen Oktober verteidigt, da es für die infrastrukturellen Anforderungen solcher Plattformen schlicht keine Alternative zu AWS und anderen Hyperscalern gäbe.

Da Amazon ein US-amerikanisches Unternehmen ist, greift für die dort verarbeiteten Daten der dortige CLOUD Act. In der Kritik von Datenschützern stehen US-Clouddienste, weil das Gesetz den US-Behörden den Zugriff auf die gespeicherten Informationen erlaubt, selbst wenn sich die Server in Europa befinden.

Zusätzlich steht auch ein Urteil des Europäischen Gerichtshofs (EuGH) über die Zulässigkeit der Rechtsgrundlage für die Datenübertragung in die USA, das EU-US Data Privacy Framework, derzeit noch aus. Das Gericht hatte 2015 und 2020 bereits die Vorgängerabkommen Safe Harbor und Privacy Shield aufgehoben.

(egia)

Cyberangriffe beginnen häufig mit kleinen Fehlkonfigurationen, ungeschützten Diensten oder öffentlich verfügbaren Informationen über ein Unternehmen. Wer verstehen möchte, wie Angreifer vorgehen, kann die eigene IT-Infrastruktur gezielter absichern und Sicherheitslücken frühzeitig erkennen.

Ethical Hacking

Im iX-Workshop Sich selbst hacken – Pentesting mit Open-Source-Werkzeugen lernen Sie praxisnah, wie Angreifer Schwachstellen in Unternehmensnetzwerken identifizieren und ausnutzen. Dabei wechseln Sie die Perspektive und analysieren typische Angriffstechniken aus Sicht eines Pentesters.

Zu Beginn beschäftigen Sie sich mit Methoden der Open Source Intelligence (OSINT). Sie lernen, wie öffentlich verfügbare Informationen über Organisationen gesammelt und ausgewertet werden können und wie sich daraus potenzielle Angriffspunkte ableiten lassen – beispielsweise kompromittierte Zugangsdaten oder ungeschützte Dienste.

Darauf aufbauend arbeiten Sie mit verschiedenen frei verfügbaren Open-Source- und Audit-Werkzeugen, um Netzwerke zu analysieren, Webanwendungen zu überprüfen sowie Möglichkeiten zur Privilegieneskalation unter Windows und Linux zu identifizieren.

Das Gelernte praktisch anwenden

Ein besonderer Schwerpunkt des Workshops liegt auf der Analyse und Absicherung von Active Directory, einem der häufigsten Angriffspunkte in Unternehmensnetzwerken.

Sie lernen typische Schwachstellen und Fehlkonfigurationen kennen und erfahren, wie sich diese gezielt erkennen und absichern lassen. Darüber hinaus beschäftigen Sie sich mit Sicherheitsmaßnahmen wie Mehr-Faktor-Authentifizierung und differenzierter Rechtevergabe, um Unternehmensumgebungen besser gegen Angriffe zu schützen.

Anhand realer Fallbeispiele und praxisnaher Übungen werden die einzelnen Phasen eines Cyberangriffs nachvollzogen – von der Informationsbeschaffung bis zur Ausweitung von Berechtigungen. Dabei erhalten Sie auch Empfehlungen und Unterlagen, um die vermittelten Techniken nach dem Workshop eigenständig weiter zu vertiefen.

Von Erfahrungen aus der Praxis lernen

Sie profitieren von der direkten Anleitung durch Ihren Trainer Yves Kraft, Head of Security Academy bei der Oneconsult AG.

Als ehemaliger Penetration Tester und Security Consultant verfügt er über langjährige Erfahrung in der Schwachstellenanalyse und Angriffssimulation. Im Workshop vermittelt er praxisnahe Einblicke aus realen Sicherheitsprojekten und zeigt, wie sich offensive Methoden sinnvoll nutzen lassen, um die eigene IT-Infrastruktur nachhaltig abzusichern.

Für wen ist dieser Workshop geeignet?

Der Workshop richtet sich an Administratoren, IT-Sicherheitsverantwortliche und technisch interessierte Fachkräfte, die Angriffstechniken besser verstehen und ihre Systeme gezielt härten möchten.

(ilk)

Wer „souverän“ sagt, meint oft nur „europäisch gehostet“. Beim Thema Souveränität herrscht einerseits eine große Aufmerksamkeit, aber andererseits in der Umsetzung eine große Ahnungslosigkeit. Das nutzen einige Hersteller aus, um, wie das ZenDiS in einem Whitepaper anprangert, Souveränitäts-Washing zu betreiben und den Kunden damit Sand in die Augen zu streuen, statt für mehr Transparenz zu sorgen. Das ZenDiS-Whitepaper analysiert Tobias Haar, während Jörn Petereit den Sovereign Cloud Compass vorstellt, mit dem sich souverän vermarktete Cloud-Angebote vergleichen lassen. Dabei zeigt er unterschiedliche Strategien des Souveränitäts-Washing auf.

Nun legt das BSI erstmals ein hartes Prüfraster an Cloud-Dienste an. Die Criteria Enabling Cloud Computing Autonomy (C3A) reichen vom Eigentümer bis zum Betrieb im Verteidigungsfall. Der Katalog ergänzt den bereits etablierten Cloud Computing Compliance Criteria Catalogue C5 um die Dimension Souveränität.

Der C3A-Katalog lehnt sich an das EU Cloud Sovereignty Framework EU CSF an, das die Generaldirektion DIGIT ursprünglich für die EU-eigene IT entwickelt hatte. Darauf beziehen sich auch der Sovereign Cloud Compass und das Whitepaper des ZenDiS. Aus den acht Souveränitätszielen des EU CSF übernimmt das BSI sechs, die der Kasten „C3A-Kriterien im Überblick“ weiter aufschlüsselt. Die Ziele zur Sicherheits- und Compliancesouveränität sowie zur ökologischen Nachhaltigkeit lässt das BSI weg: Für Sicherheit und Compliance liefern C5, NIS2 und DORA bereits eigene, breitere Standards.

Das war die Leseprobe unseres heise-Plus-Artikels „C3A: Der neue BSI-Maßstab für souveräne Clouds im Überblick“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.