Aktuelles
In eigener Sache: Diese Webseite ist auf eine aktuelle Plattform umgezogen. Seit Juli 1999 lief die Web-Seite im bewährten Webhosting von 1&1 und später IONOS. Es war an der Zeit die Plattform zu modernisieren. Sie läuft jetzt auf einem virtuellen Server mit aktuellem Debian im IONOS Rechenzentrum. Das Zertifikat kommt jetzt nicht mehr von Sectigo sondern von Let's Encrypt. (18.3.)
Microsoft hat eine neue Version des Data Protection Addendums (DPA) mit Datum 18. Februar 2025 (internes Datum 16. Februar 2025) veröffentlicht. Derzeit (16. März) ist nur die englische Version verfügbar. Die anderen Sprachversionen sollen erscheinen, wenn sie verfügbar sind.
Neben Layoutänderungen zur besseren Lesbarkeit scheint es nur eine Änderung zu geben. Diese hat Relevanz für europäische Kunden. Im Abschnitt „Location of Customer Data“ (Seite 18 oben) lautet der zweite Satz: „For EU Data Boundary Online Services, Microsoft will store and process Customer Data and, Personal Data, and store Professional Services Data at rest within the European Union as set forth in the Product Terms.“
Die ruhenden (also die auf Datenträger gespeicherten) "Professional Service Data" werden auch in den EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“) gespeichert, aber möglicherweise außerhalb verarbeitet.
Als „Professional Services-Daten“ bezeichnet Microsoft „alle Daten, einschließlich sämtlicher Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft vom oder im Namen eines Kunden zur Verfügung gestellt werden (oder für die der Kunde Microsoft ermächtigt, sie von einem Produkt zu erlangen) oder die anderweitig von oder im Namen von Microsoft im Zuge einer Vereinbarung mit Microsoft über die Erlangung von Professional Services erlangt oder verarbeitet werden.“ (16.3.)
Update: Seit gestern ist auch die deutsche Version verfügbar. Der geänderte Satz lautet: "Für EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“) speichert und verarbeitet Microsoft Kundendaten kunden- und personenbezogene Daten und speichert ruhende Professional Services-Daten innerhalb der Europäischen Union, wie in den Produktbestimmungen beschrieben." Währen es im englischen Text bei dem Wort "Customer Data" bleibt, werden in der deutschen Übersetzung aus "Kundendaten" "kundenbezogene Daten". (19.3.)
Das Landeskabinett NRW hat am 9. Oktober den Entwurf eines Hochschulstärkungsgesetzes beschlossen. Dieses Gesetz ändert das Hochschulgesetz NRW. Im neuen § 8b werden Vorgaben zur Informations- und Cybersicherheit gemacht. Insbesondere soll die Bestellung eines CIO (Abs. 2) und eines CISO (Abs. 3) verpflichtend werden. Die Hochschulen sollen "ein angemessen hohes Niveau ihrer Informationsund Cybersicherheit sowie der Resilienz ihrer Informationsinfrastrukturen nach dem Stand der Technik" gewährleisten (Abs. 4). Ebenso soll ein ISMS (Abs. 5) eingerichtet werden. Abs. 6 sieht eine Meldepflicht an "das Ministerium" vor.
Gerade vor dem Hintergrund, dass der IT-Planungsrates in seinem Beschluss vom 3.11.2023 die Länder und den Bund gebeten hat, "von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf ... Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen" ein erfreulicher Gesetzentwurf. Hochschulen und Universitäten benötigen andere IT-Sicherheitsvorgaben als Unternehmen, aber ohne Vorgaben geht es auch nicht. Die anderen Bundesländer sollten nachziehen. (23.11.)
Heute das das Bundeskabinett den Regierungsentwurf des KRITIS-Dachgesetzes zum stärkeren Schutz kritischer Infrastrukturen beschlossen. Das Gesetz dient der Umsetzung der CER-Richtlinie in deutsches Recht und definiert die wichtigsten Sektoren und regelt Schutzstandards, Risikoanalysen und Störungsmonitoring. (6.11.)
Der Innenausschuss des Bundestages behandelt in eienr öffentlichen Anhörung am 4.11.2024 den Entwurf für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) - BT-Drs. 20/13184. Die GDD hat hierzu eine Stellungnahme abgegeben. (30.10.)
Mittlerweile ist eine Referentenentwurf des KRITIS-Dachgesetzes aus April 2024 bekannt geworden. (27.10.)
Das Bundeskabinett hat am 24.7.2024 den Regierungsentwurf für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen. Der Beschluss stützt sich auf den Entwurf von 22.7.2024. Ein neuer Entwurf eines KRITIS-Dachgesetzes soll zeitnah vorgelegt werden. (24.7.)
Das Bundesministerium des Innern hat am 24.6.2024 einen weiteren neuen Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) veröffentlicht. Ein Vergleich der Fassungen vom 5.7. und 24.6. gibt es hier. Einen neuen Entwurf eines KRITIS-Dachgesetzes gibt es nicht. (15.7.)
Das Buch "IT-Sicherheit für Dummies", das ich zusammen mit Sebastian R. Gerling geschrieben habe, ist jetzt erschienen und wir haben heute die ersten Exemplare erhalten. Damit können wir das Ergebnis der Arbeit der letzten eineinhalb Jahre buchstäblich in die Hand nehmen. Weitere Informationen - Inhaltsverzeichnis, Probeseiten und alle Links aus dem Buch - finden Sie auf der Web-Seite zum Buch. (20.4.22)
Ältere aktuelle Nachrichten sind hier archiviert
