Sichere Identitäten

Passwortmanager orientiert sich an deutschen Datenschutzstandards

| Autor: Manfred Klein

KI soll den Datenschutz erhöhen – auch in Behörden
KI soll den Datenschutz erhöhen – auch in Behörden (© Boris Zerwann – stock.adobe.com)

In Zeiten wachsender Cyberkriminalität benötigen Kommunen und Behörden ein starkes Identity- und Access-Management (IAM). Die großen Anbieter kommen aus den USA. Fühlen diese sich dem deutschen Datenschutz verpflichtet? Ein Gespräch zu Datensicherheit und Datenschutz mit Gerald Beuchelt, Chief Security Manager(CISO) bei LogMeIn.

Lösungen für Identitäts- und Accessmanagement unterstützen Behörden bei ihren Initiativen für mehr Datensicherheit. Die meisten SaaS-Anbieter aus diesem Bereich kommen aus den USA, die am Privacy Shield Abkommen teilnehmen, sich aber durchaus der DSGVO verpflichtet fühlen – nicht zuletzt, um wettbewerbsfähig zu bleiben.

Einer der führenden IAM-Anbieter, LogMeIn, hat für seinen Passwortmanager LastPass vor kurzem das C5-Testat des BSI erhalten und zudem die LastPass-Produktfamilie um ein sicheres Identifikationsmanagement in der Cloud erweitert. Die neue Lösung aus Passwort-Manager, Single Sign-On (SSO) und Multifaktoren Authentifizierung (MFA) kombiniert Kontrolle, die IT-Verantwortliche benötigen mit der einfachen Handhabe, die Benutzer erwarten.

Im Interview mit eGovernment Computing spricht Gerald Beuchelt, CISO bei LogMeIn, über die Sicherheitskultur in dem US-amerikanischen Unternehmen und was LastPass-Kunden, vor allem Behörden, in punkto Datensicherheit erwarten.

Die großen amerikanischen Unternehmen wie Google, Amazon oder Facebook werden immer wieder wegen ihrer Monopolstellung und ihrem Umgang mit Daten kritisiert. In Deutschland gelten Datenschutzpraktiken US-amerikanischer Unternehmen daher zumeist pauschal als unzureichend. Merken Sie bei LastPass diesen Gegenwind? Was können US-Unternehmen tun, um Vertrauen zurückzugewinnen?

Geralt Beuchelt, CISO bei LogMeIn
Geralt Beuchelt, CISO bei LogMeIn (© LogMeIn)

Beuchelt: Es gibt sicherlich eine Verschiebung in der Art und Weise, wie diese großen Akteure und Unternehmen in den USA und weltweit in Bezug auf ihre Datenschutzpraktiken betrachtet werden. Die mangelnde Priorisierung der Sicherheits- und Datenschutzbemühungen für Millionen von Benutzern dieser Unternehmen dämpft das Vertrauen. Viele ihrer Aktivitäten haben die staatliche Datenschutz- und Kartellgesetzgebung erst ausgelöst und beschleunigt – wenn auch langsamer als von Sicherheitsexperten empfohlen.

Die gute Nachricht: Sowohl Unternehmen als auch die Regierung können aktiv dazu beitragen, das Vertrauen ihrer Aktionäre, ihrer Industriepartner und der Öffentlichkeit generell zurückzugewinnen. Ein erster Schritt wäre, dass Anbieter Cloud-basierter Lösungen Unternehmen und Verbrauchern transparent zeigen, was mit Daten geschieht und welche Verbesserungen ihrer Sicherheitsmaßnahmen sie angestoßen haben, anstatt sich nur zu entschuldigen und Besserung zu geloben.

LogMeIn geht diesen Weg der Transparenz: Unsere Sicherheits- und Datenschutzposition ist in unserem Trust Center jederzeit für unsere Kunden und Interessenten einsehbar und nachvollziehbar.

Wir haben unser Datenschutz- und Sicherheitsprogramm unter Berücksichtigung der DSGVO und anderen geltenden Datenschutzbestimmungen entwickelt: Mit der Teilnahme an Privacy Shield dokumentieren wir unser Engagement für die EU-Datenschutzbestimmungen. Wir bieten allen Kunden einen Standard-Datenschutzzusatz an, der die von der Artikel 29-Datenschutzgruppe vorgeschlagenen Musterklauseln enthält.

Vor kurzem hat LogMeIn die C5-Zertifizierung des BSI erhalten. Fördert dies das Vertrauen in Ihr Produktportfolio?

Beuchelt: Als global agierendes Unternehmen hat LogMeIn in fast allen Ländern der Welt Kunden, die uns ihre Daten anvertrauen. Deren Schutz hat für uns höchste Priorität, nur dadurch bleiben wir erfolgreich. Wir überprüfen ständig unsere bestehenden Datenschutz-, Sicherheits- und Betriebsprozesse und arbeiten daran, dass sie die Anforderungen der aktuellen, anwendbaren Datenschutzstandards wie die EU-USA- und Swiss Privacy Shield-Zertifizierung, TRUSTe Verified Privacy und die DSGVO vollständig erfüllen oder übertreffen.

Es war uns ein Anliegen, für alle Hauptprodukte, darunter auch der Passwortmanager LastPass, die C5-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erhalten. Wir sind eines der ersten zertifizierten Cloud-Unternehmen in diesem Bereich. Die Zertifizierung bestätigt klar unser Engagement für Sicherheit und Datenschutz – und zwar nicht nur für regulatorische Anforderungen, sondern auch für freiwillige Compliance-Standards.

Was können Sie deutschen Behörden bieten, was andere Wettbewerber nicht können?

Beuchelt: LogMeIn bemüht sich nicht nur um die fortlaufende Erneuerung von Zertifizierungen wie das BSI C5-Testat. Wir investieren auch stark in Deutschland als wichtigen Forschungs- und Entwicklungsstandort. Viele Wettbewerber entwickeln sich ausschließlich in geografischen Regionen außerhalb Europas. LogMeIn hat selbst deutsche und europäische Wurzeln. In Karlsruhe haben wir ein großes Entwicklungszentrum. Global aufgestellte Unternehmen wie LogMeIn sollten die Vorzüge einer internationalen Belegschaft nutzen und F&E- und Sicherheitsprogramme dort entwickeln, wo ihre Kunden zuhause sind.

Sollte der Datenschutz Ihrer Meinung nach ein globales Anliegen sein, das ähnlich wie der Klimaschutz universelle Gültigkeit haben sollte? Welchen Unterschied könnte ein Zusammenschluss von gleichgesinnten Unternehmen machen?

Beuchelt: Das Vertrauen in digitale Technologien und den Datenschutz muss ein globales Anliegen sein, damit sich echte Veränderungen einstellen können. Wir leben in einer global vernetzten Welt, in der die Hälfte der Weltbevölkerung online ist, Häuser mit potenziell Dutzenden von IoT-Geräten verbunden werden und Unternehmen mit außergewöhnlichen Datenmengen hantieren. Sicherheits- und Datenschutzstandards müssen neben strengeren gesetzlichen Vorschriften bei jedem Unternehmen und jeder Organisation ganz oben auf der Agenda stehen.

Wichtige Akteure der Branche haben oft Einfluss auf staatliche Vorschriften und können dazu beitragen, Vorbild und Zukunft unseres aktuellen Cybersicherheits- und Datenschutzstatus zu sein. Das bedeutet auch, öffentliche Verpflichtungen einzugehen und die Öffentlichkeit über die Auswirkungen aufzuklären. Globale Branchenführer dazu zu bringen, diese Bemühungen zu leiten, kann helfen, sie zu beschleunigen. Dies muss jedoch jetzt beginnen, da die Sicherheitsbedrohungen mit alarmierender Geschwindigkeit zunehmen.

Was unternimmt LogMeIn, um die Öffentlichkeit für Cloud-basierte Unternehmensprodukte und deren Verwundbarkeit durch Cyberkriminalität zu sensibilisieren?

Beuchelt: Wir sind der Transparenz gegenüber unseren Kunden verpflichtet und nutzen unter anderem Konferenzen weltweit, um über sichere Identitäten in der Cloud zu referieren und über das Thema Datensicherheit aufzuklären. Das schließt auch Partnerschaften mit Verbänden wie dem European Cyber Security Month (ECSM) ein, wie auch die proaktive Kommunikation mit Kunden, um sie auf potenzielle Sicherheitsbedrohungen aufmerksam zu machen.

Die Investition in Künstliche Intelligenz (KI) ist ein weiterer Schritt hin zu höherer Datensicherheit. Wir bauen KI in fast alles ein, was wir bei LogMeIn tun. Über alle Funktionen und Produkte hinweg kann ein durchdachtes Machine-Learning- und KI-Programm neue Funktionen und auch mehr Sicherheit bieten, indem es Maschinen zur Unterstützung komplexer und datenreicher Aufgaben einsetzt. Unser KI-Kompetenzzentrum in Herzliya, Israel, konzentriert sich darauf, wie wir unsere Investitionen in die KI-Technologie funktionsübergreifend nutzen können. Letztlich zahlt auch das auf den besseren Schutz von Daten ein.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46004750 / Kommunikation)