compliance

erdgeist schreibt in »CCC fordert von Dobrindt klare Kante gegen Chatkontrolle« Die Ende-zu-Ende-Verschlüsselung ist ein unverzichtbares Fundament für die digitale Sicherheit. Sie schützt die vertrauliche Kommunikation aller Menschen, Unternehmen und Behörden und sichert die Integrität demokratischer Institutionen. Wer die Verschlüsselung absichtlich schwächt, untergräbt das Vertrauen in digitale Infrastrukturen – und öffnet Angriffsvektoren für staatliche und kriminelle Akteure.

Das Zentrum für Digitale Souveränität (ZenDiS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben ein gemeinsames Strategiepapier vorgelegt, das aufzeigt, wie Deutschland digitale Souveränität durch sichere Softwarelieferketten stärken kann. Kern des Konzepts ist die Open-Source-Plattform openCode, die Transparenz, Sicherheit und Nachvollziehbarkeit in der Softwarebereitstellung schaffen soll. Geplant ist der Aufbau einer souveränen Container-Registry mit geprüften Softwarepaketen, die unabhängig von nicht-europäischen Anbietern funktioniert. Ergänzt wird dies durch automatisierte Sicherheitsprüfungen, einheitliche Qualitätsstandards und ein öffentlich einsehbares Bewertungssystem – das sogenannte Badge-Programm. Behörden sollen künftig nicht nur warnen, sondern konkret betroffene Systeme identifizieren und gezielt reagieren können. ...

Dr. Rüdiger Berlich schreibt in »FOSS Backstage: So abhängig ist kommerzielle Softwareentwicklung von Open Source« für heise.de Eine Risikoeinschätzung beginnt mit einer ausführlichen Analyse des Unternehmenscodes, der wiederum eine Software Bill of Materials (SBOM) zugrunde liegt, also eine Zusammenstellung aller direkten und indirekten Abhängigkeiten von Softwareprojekten, einschließlich zugehöriger Versionen und Lizenzen.

Stefan Krempl schreibt in » Google und BSI arbeiten an sicheren Cloud-Lösungen für die öffentliche Hand« für heise.de Alle großen US-Hyperscaler werben bereits mit „souveränen“ Cloud-Lösungen zusammen mit deutschen Partnern. Google kündigte 2021 den Aufbau einer solchen Lösung für hiesige Unternehmen und Behörden zusammen mit T-Systems an. Amazon will mit der AWS European Sovereign Cloud punkten, die aus mindestens drei Rechenzentren in einer eigenen Region an geheimen Orten in Brandenburg bestehen soll. Microsoft kooperiert für die Delos-Cloud mit SAP und Arvato. Kritiker monieren, dass sich die Vereinigten Staaten mit dem Cloud Act aber weiter den Zugriff auf Daten in der Cloud weltweit sicherten, solange US-Firmen irgendwie involviert seien. ...

Leider ist auch der folgende Artikel hinter einer Paywall, aber ich zitiere mal einen schönen Satz daraus. tagesspiegel.de schreibt in »Cloud: Microsoft stellt EU-Datengrenze fertig - Tagesspiegel Background« Trotz regionaler Speicherung können bestimmte sicherheitsrelevante Daten in Ausnahmefällen mit globalen Schutzmaßnahmen übertragen werden. Microsoft betont, dass man durch Verschlüsselung und strenge Zugriffskontrollen höchste Sicherheitsstandards einhalte. Nur zur Klarstellung: Die globalen Schutzmaßnahmen werden von den USA definiert, aber immerhin erfolgt das Abfließen der Daten verschlüsselt. Souverän wäre das jedoch nur, wenn man mitentscheiden könnte oder zumindest darüber informiert würde. ...