EINLEITUNG.
Die Fähigkeiten moderner Datenschutzverteidigung auf Basis von Cybersicherheit und KI sind proaktiv (antizipatorisches Handeln statt passiv-reaktives, schnelleres Eingreifen auf Angriffsflächen für Datenschutz-Cyberangriffe mithilfe von AMTD-Technologie (Automated Moving Target Defense), dynamischen, nomadischen Honeypot-artigen Ködern, die weltweit eingesetzt werden, „Täuschungstechnologie“, Sandboxing usw.), prädiktiv (mit Inferenz basierend auf KI-FDL/LLMs-Large Language Models/DL/ML), präventiv, mit einem hohen Reifegrad (z. B. durch externe Akkreditierung/Auditierung mit NIST-CSF) und sehr hoher Cyberresilienz/Härtung (mit Standards wie denen der EU wie DORA, CORE Model, NIS2 usw.). Sie antizipieren, blockieren, hemmen, neutralisieren, annullieren und verhindern alle Arten von Eingriffen, schädlichen Aktivitäten und Cyberangriffen auf die Privatsphäre (bösartige Überwachung, Watchbots, Malware, kollaborative generative KI, Chatbots, Tracker, Cyberangriffe/Super-Cookies usw.), bevor diese auftreten. Moderner Datenschutz muss nach internationalen und nationalen Standards wie ISO 27001, ISO 22301, NIST-CSF, Sarbanes-Oxley, FDA, ENS 2022 und DSGVO von akkreditierten externen Prüf-, Audit- und Qualifizierungsstellen wie AENOR, ENAC (Nationale Akkreditierungsstelle Spaniens), Leet Security, Pinakes usw. zertifiziert sein. Moderner Datenschutz arbeitet standardmäßig mit einem vollständig isolierten Root of Trust (RoT), um alle Arten von Daten, Entitäten, Personen, Maschinen und kritischen Gerätefunktionen zu schützen und ihnen eine eindeutige, kryptografisch/tokenbasierte, verifizierbare Identität zu verleihen. Organisationen, Nutzer und Akteure müssen sich keine Sorgen um Datenschutz oder Cybersicherheit machen, da dieses System maximalen Schutz und Cyberresilienz bietet, generiert und gewährleistet (mit Hyperautomatisierung für höhere Geschwindigkeit, KI-nG usw.). Moderner Datenschutz ist systembedingt in allen IT/OT-Ökosystemen integriert (einschließlich Mobilfunknetzen wie 2G, 3G, 4G, LTE, 5G und 6G; IoT-Kommunikation wie Sigfox, Zigbee, LoRaWAN, Ethernet, OTA, Bluetooth und Wi-Fi; sowie Feldbussen wie CAN usw.), Geschäftsprozessen und dem Alltag. Er integriert ZT-ZK-PUT-Technologie usw. Er muss ein wesentlicher Bestandteil aller bestehenden und zukünftigen Entwicklungen und Funktionen sein, auch solcher, die auf fortschrittlicher und generativer künstlicher Intelligenz (KI) basieren. Moderner Datenschutz integriert Cybersicherheit und KI, um seine Aufgaben effektiver zu erfüllen. Moderner Datenschutz bündelt alle Anstrengungen, um maximalen Schutz und maximale Cybersicherheit zu gewährleisten. Umfassender Datenschutz ermöglicht Schutz über den gesamten Informationslebenszyklus hinweg. Er basiert auf einem datenzentrierten Ansatz und schützt Daten direkt, indem er deren Vertraulichkeit, Genauigkeit und Verfügbarkeit gewährleistet. Daten werden durch verschlüsselte Token ersetzt. Selbst wenn ein Cyberangreifer verschlüsselte Token erfasst, sind diese wertlos, da der Token nach der Entschlüsselung keine Daten mehr, sondern lediglich deren Repräsentation darstellt. Die eigentlichen Daten bleiben somit auf einer anderen Wertebene geschützt. Bei jeder Aktivität oder Operation (Erfassung, Übermittlung, Verarbeitung, Speicherung usw.) werden verstärkte Verteidigungs- und Schutzmaßnahmen generiert. Daten werden am Ende ihres gesamten Lebenszyklus gelöscht. Datenschutz zeichnet sich durch Transparenz und Nachvollziehbarkeit aus. Er nutzt die Zero-Threshold-Technologie (ZT), sodass Vertrauen erst nach vollständigem Verständnis und gründlicher Überprüfung entsteht. Geschäftspraktiken und die eingesetzten Technologien müssen kontinuierlich überwacht und verifiziert werden, um sicherzustellen, dass sie alle Ziele eines modernen, cyberresilienten, ausgereiften und qualitativ hochwertigen Datenschutzes erfüllen. Datenschutz muss stets einen vollständig nutzerzentrierten Schutzansatz für Unternehmen, Nutzer und Maschinen bieten. Es müssen starke Standard-Schutzmaßnahmen vorhanden sein, die echten und umfassenden Nutzersupport ohne Täuschung gewährleisten. Zu den Bedrohungen der Privatsphäre zählen der zunehmende unbewusste Missbrauch von KI, Desinformations-/DMM-Cyberangriffe, unkontrollierte Digitalisierung, menschliches Versagen, ausgenutzte Altsysteme in allen Arten von Ökosystemen (IT, OT/CPS usw.), Cyberangriffe auf Lieferketten (Software, Hardware, Firmware (PCs, Smartphones, SOMs – System-on-Modules, SoCs/System-on-Chip usw.), Ressourcen, Cloud-/Edge-Dienste usw.), Fachkräftemangel und Täuschungen – Deepfakes, zunehmender Autoritarismus analoger/digitaler Überwachung und Verlust der Privatsphäre, mangelnde Kontrolle über weltraumgestützte Infrastrukturen und Objekte/Spionagesatellitennetzwerke, Überwachung aller Arten von Smart Devices usw. Die moderne Privatsphäre muss nach dem Motto „Warum wollen Sie das wissen?“ geschützt werden, d. h. nach dem „Need-to-know“-Prinzip. Gibt es keine überzeugende, schlüssige und mathematische Antwort, darf die betreffende Stelle keine Informationen preisgeben.

Abb. 2 – CybersicherheitDIMENSIONEN DES MODERNEN DATENSCHUTZES.
Die folgenden fünf Dimensionen lassen sich im modernen Datenschutz in Bezug auf alle Arten von Dateneinheiten (Maschinen, Programme, Einzelpersonen, Subjekte, KI-Systeme, Computer usw.) identifizieren:
1) Das „Was?“ (Vertraulichkeit/Geheimhaltung/Verbergen/Stealth/subliminale Kanäle/Anonymität/Verschleierungsschemata/Täuschungsmechanismen/Fragmentierung von Geheimnissen/Post-Quanten-Verschlüsselung/Datentokenisierung/Faraday-Fälle usw.). Dies bezieht sich auf den umfassenden Schutz von Daten/Informationen, also von allem, was gesagt, geschrieben, geäußert, kommentiert, übertragen, gespeichert, ausgeführt wird, von Verhaltensweisen, Handlungen, Transaktionen usw. in allen Medien: Internet/Metaverse, soziale Netzwerke, Instant Messaging, Telefon, SMS/MMS, E-Mail, Chat, Freizeit, auf der Straße/Videoüberwachung, am Arbeitsplatz in verschiedenen geschlossenen und offenen Räumen usw. Jede Entität (Person, Einplatinencomputer, Computer-on-Module, System-on-Chip, Roboter, Cyber-Physical System usw.) erzeugt Inhalte, die robust, effektiv und cybersicher geschützt werden müssen (Kontonummern, biometrische Daten, Daten zum geistigen Eigentum wie die Formel eines revolutionären Medikaments usw.), beispielsweise durch die Anwendung zertifizierter und akkreditierter Post-Quanten-Vertraulichkeitstechniken mit Datenverschlüsselung/Tokenisierung usw.
2) Wer? (Die Identität der Entitäten – Nutzer, Maschinen, Akteure und Daten – innerhalb von Ökosystemen ist die Menge individueller Attribute, die eine Entität beschreiben und die Transaktionen bestimmen, an denen diese Entität teilnehmen kann, sowie auf welche Produkte, Dienstleistungen und Informationen sie Zugriff hat und auf welche nicht.) Dies bezieht sich auf den umfassenden Schutz der Identitäten von Entitäten vor Diebstahl, Identitätsdiebstahl, Übernahme, Identitätsdiebstahl, Kopieren, Fälschung, Klonen usw. Technologien zum Schutz der Identität umfassen vollständige Anonymität/Steganografie, abgefangene Übertragungen/OT, ZK (Verhinderung der Übertragung geheimer Passwörter), mehrdimensionale Identitätsschutzmechanismen usw.
3) Der Standort. Dies bezieht sich auf den umfassenden Schutz des Standorts, der Geolokalisierung, der geografischen Position usw., wo sich die Entitäten (Daten/Akteure usw.) befinden, und ihrer Bewegungspfade. Die Geolokalisierung kann „im Freien“ mithilfe von Drohnen, GPS-Satelliten, Galileo/G1G/G2G, GLONASS, BeiDou usw. und „in Innenräumen“ mithilfe von Bluetooth, Sensoren, Kameras, Prothesen, RFID usw. erfolgen.
4) Das „Wann“ (Zeitlichkeit). Dies bezieht sich auf den strengen Schutz von Informationen über den zeitlichen Bereich, wann etwas geschehen ist, geschehen wird oder gerade geschieht (die Zeitpunkte, Daten usw., zu denen Entitäten/Daten ihre Aktionen, Verhaltensweisen usw. ausführen). Hierfür werden lokale Atomuhren, geschützte Zeitserver und die Nutzung von cybersicherem NTP eingesetzt.
5) Das „Wie“ (die Aktivitäten selbst). Dies bezieht sich auf den strengen Schutz der Art und Weise, wie Entitäten/Daten ihre Aktivitäten durchführen, die sensible Daten preisgeben könnten, z. B. Freizeitaktivitäten, soziale Netzwerke, Kommunikation, mit Banken, Verteidigung/Polizei, im Beruf/Geschäft, Supermärkte/Nutzung von Kundenkarten, Kauf und Verkauf, Reisen, Hausbesitzervereinigungen, Gesundheitswesen, Werkstätten, Transport, Zugang (Verkehrs- und Barrierefreiheitskarten) usw.

 

 

Abb. 3 – CybersicherheitModerner Datenschutz basiert auf Cybersicherheit und KI.
Früher hieß es, Cybersicherheit greife die Privatsphäre an, doch heute basiert moderner Datenschutz auf nahtloser Cybersicherheit und KI, um maximale Verteidigung, Schutz und Cyberresilienz zu gewährleisten. Moderner Datenschutz basiert auf Cybersicherheit und KI (wobei KI neuronale Netze, Deep Learning, Maschinelles Lernen, Expertensysteme, Gen-KI, ng-KI, Federation Learning/verteiltes Lernen usw. umfasst) und wird in verschiedenen Richtungen eingesetzt:

(1) Vertraulichkeit. Sie ermöglicht den Schutz von Informationen durch verschiedene Gegenmaßnahmen wie Geheimhaltung, Verschleierung, Tarnung, Anonymisierung/Proxy-Netzwerke/Tor, Zero-Knowledge/ZK, Transponder-Transfers/OT, subliminale Kanäle, Faraday-Boxen, Steganografie, Verschlüsselung/VPN, ZT, Datentokenisierung usw. Zu den Cyberangriffen gehören Massenüberwachung (auch im Darknet), heimliches Abhören (von Audio, Video, Biometrie, elektromagnetischen Emissionen, Ausspähen von Dateien in dezentralen Cloud-/Cloud-Fog-Edge-Computing-Systemen, böswilliger Diebstahl von vertraulichen Informationen aus Papierkörben, Diebstahl sensibler Daten über Seitenkanalangriffe), Reverse Engineering von Technologien zur Verletzung der Privatsphäre, Nutzung von Datenintelligenz (mit Big Data/Analytics-Data), Einsatz von Keyloggern, Sniffern, Social Engineering usw.

(2) Integrität. Sie ermöglicht Schutz vor allen Arten von böswilligen Änderungen und Modifikationen, beispielsweise DMM-Cyberangriffen und Deepfakes (Nachrichten, Code, Firmware, Updates, Biometrie usw.). Dabei kommen Gegenmaßnahmen wie WORM (Write-Only-Read-Many), PUF/Hash-Funktionen, digitale Signaturen, unveränderliche Backups usw. zum Einsatz.

(3) Identifizierung und Authentifizierung (resistent gegen Klonen, Manipulation und Fälschung). Dies schützt vor allen Formen von Identitätsdiebstahl, Missbrauch, unberechtigtem Zugriff usw. Es ist unerlässlich, die Entität identifizieren (Identifizierung) und ihre Identität nachweisen zu können (Authentifizierung). Die Entitätsauthentifizierung ist üblicherweise der erste Schritt jeder Transaktion und führte in der Vergangenheit zu Datenschutzproblemen. Sie tritt in allen Arten von Umgebungen, Ökosystemen und Organisationen auf (Regierung, Militär, Handel, Freizeit, Arbeit, Gesundheitswesen, Privathaushalte, Unternehmen usw.). Es gibt zahlreiche Lösungen zur Minderung dieses Problems, wie z. B.: (i) Private Authentifizierung, die Anmeldeinformationen/Passwörter vor Dritten verbirgt. (ii) Anonyme Anmeldeinformationen, die vor allen Bedrohungen schützen. Mit anonymen Anmeldeinformationen sind die Benutzer anonym, und ihre Informationen können nicht kontextübergreifend korreliert werden. Zwei Beispiele für ihre Verwendung sind anonymes E-Geld und E-Petitionen. (iii) Die Verwendung von Zero-Key-Technologie. Es wird ein Tester-Verifizierer-Ökosystem eingerichtet, in dem der Tester-Benutzer dem Verifiziererdienst nachweist, dass er über ein gültiges Anmeldeinformations-Geheimnis verfügt, ohne das geheime Passwort preiszugeben. (iv) Verwendung von gegenseitiger und Multi-Faktor-Authentifizierung (MFA). In diesem Fall muss die Authentifizierung in beide Richtungen (Sender-Empfänger und Empfänger-Sender) erfolgen und mehrere Faktoren berücksichtigen: Wissen (Passwörter, Beantwortung von Fragen, Lösung von Problemen usw.), Besitz (Mobiltelefon, Implantat, Karte, IoMT-Prothese usw.), Persönlichkeit (physiologische und/oder verhaltensbezogene Biometrie), Standort (drinnen und draußen/mit GPS-Koordinaten usw.), Zeit (Datum, Stunde, Minute, Sekunde usw.) usw. (v) Verwendung von PUF-Technologie. Diese ermöglicht es, zu erkennen, ob Hardware gefälscht, ersetzt, geklont usw. wurde. (vi) Verwendung von Authentifizierungstechnologien basierend auf RADIUS und AD (Active Directory).

(4) Verfügbarkeit. Dies ermöglicht den Schutz vor allen Arten von Hindernissen, die den zeitnahen Zugriff von Organisationen auf Ressourcen, Objekte, Dienste, legitime Dateien usw. verhindern. Zu den Cyberangriffen zählen beispielsweise DDoS-/DoS-Angriffe und Ransomware. Gegenmaßnahmen wie unveränderliche Backups und Anti-DDoS-Netzwerke kommen zum Einsatz.

(5) Nichtabstreitbarkeit. Schutz, der verhindert, dass eine Partei die Durchführung einer Handlung oder eines Vorgangs leugnet, wenn sie diese tatsächlich durchgeführt hat, und umgekehrt usw.

(6) Autorisierung/Zugriffskontrolle. Sie ermöglicht den Schutz, indem sie klar definiert, welche Operationen, Aktionen, Verhaltensweisen usw. eine bestimmte Benutzerentität mit welchen Berechtigungen/Privilegien für welche Dauer an welchen möglichen Ressourcen/Objekten/wo sie sich befinden und von wem genehmigt werden dürfen (z. B. Lesen, Schreiben, Löschen, Kopieren usw.). Technologien wie ACLs (Access Control Lists), LCs (Capability Lists), rollenbasierte Zugriffskontrollen, kontrollierter privilegierter Zugriff, IAM (Identity and Access Management)/PAM (Privileged Access Manager)/IAG (Identity and Access Governance)/CIAM (Client Identity Management)/SIEM (Security Information and Event Management), erweiterte Zugriffskontrollen, die die Veröffentlichung vertraulicher Daten (wie Quellcode) in Chatbots verhindern, privilegierte Zugriffskontrollen (zur Rechteausweitung), die die Ausführung von LOLBAS-Cyberangriffen (Living Off the Land Binaries And Scripts) durch übergeordnete Anwendungen verhindern, und Kontrollen zum Hinzufügen, Ändern oder Löschen von Benutzern auf PCs über PowerShell, selbst in Sitzungen mit sehr hohen Berechtigungen usw., werden verwendet.

Abb. 4 – CybersicherheitSchutz der Privatsphäre vor der Ausnutzung von Sicherheitslücken.
Sicherheitslücken sind Schwächen, Mängel, Fehler, Vertrauenslücken, Fehler usw., die die Angriffsfläche für interne/externe Cyberangriffe (am E-Mail-/BEC-Perimeter, bei Domains, Unternehmensmarken, exponierten Assets usw.) erweitern und die Tür für Datenschutz- und Cybersicherheitsverletzungen auf allen Ebenen öffnen.

(1) Im Code/in den Daten: Software (einschließlich Software, die auf SDN/Software-Defined Networks und Post-Quanten-Verschlüsselung basiert), Firmware, Apps, Programme, Datenbanken, APIs usw., die durch Reverse Engineering extrahiert werden können. Zum Schutz davor werden in modernen Datenschutzsystemen statische und dynamische Code-Audits, Sandboxes, NG-DMZs, Technologien zur Täuschungsabwehr, Honeypots, Honeynets usw. eingesetzt. Zu den Software-Schwachstellen (in Design, Konfiguration, Implementierung und Betrieb) gehören Probleme bei der Eingabevalidierung, Puffer-/Stack-Überlauf, doppeltes Freigeben von Speicher (free(buf); free(buff);), Heap-Überlauf (char*buf=malloc(100); strcpy(buf, argv[1];), Schwachstellen in Formatstrings (printf(argv[1]);), Fehler in CPU-/Controller-/IoT-Objekten, Mängel in der Fehler- und Ausnahmebehandlung, Fehler in Kommandozeilenkonfigurationen/Argumenten/beim Lesen von Daten aus Dateien/Pipes und gemeinsam genutztem Speicher/beim Lesen von Daten aus Sockets/mangelhaftes kryptografisches Schlüsselmanagement, fehlerhafte Signatur-, Verschlüsselungs-, Hash- und PRNG-Algorithmen usw. Eine API (Application Programming Interface) ist ein Programm oder System, das für andere Programme zugänglich ist und ihnen ermöglicht, … APIs ermöglichen die Kommunikation zwischen Computerprogrammen. Sie stellen Daten und Funktionen bereit, um die Interaktion zwischen diesen Programmen zu erleichtern. APIs bieten verschiedene Arten von Diensten und sind allgegenwärtig. Für jede Anwendung oder jeden Dienst im Internet gibt es APIs. Beispiele hierfür sind mobile Apps für Biometrie, IoT-Anwendungen, Cloud-basierte Edge-Dienste usw. Zu den OWASP-Schwachstellen von APIs gehören: angreifbare Autorisierung auf Objektebene, angreifbare Benutzerauthentifizierung, angreifbare Autorisierung von Objekteigenschaften, uneingeschränkter Ressourcenverbrauch, angreifbare Autorisierung auf Funktionsebene, Server-Side-Request-Forgery (SSRF), das es Angreifern ermöglicht, serverseitige Funktionen der Anwendung zum Lesen oder Aktualisieren interner Ressourcen zu nutzen, Sicherheitsfehlkonfigurationen, mangelnder Schutz vor automatisierten Bedrohungen (z. B. übermäßiger unberechtigter Zugriff), unzureichendes Asset-Management (z. B. APIs in der Entwicklung), unsichere Nutzung von APIs ohne Validierung der von anderen APIs (einschließlich Drittanbieter-APIs) generierten Daten vor der Verarbeitung oder Weitergabe an andere Komponenten sowie die Verwendung unsicherer, unverschlüsselter Kanäle. Dies sind einige der OWASP-Schwachstellen. Schwachstellen/Cyberrisiken. Die in KI-Systemen verwendeten APIs sind: Angreifbare Objektauthentifizierung, angreifbare Benutzerauthentifizierung, angreifbare Objektautorisierung aufgrund übermäßiger Datenoffenlegung, Ressourcenmangel und Geschwindigkeitsbegrenzung bei uneingeschränktem Ressourcenverbrauch sowie angreifbare Funktionsautorisierung.

(2) Bei Hardware mit Klonen, Fälschen, Austauschen usw. Zum Schutz vor Cyberangriffen werden in modernen Datenschutzmechanismen PUF, RoT, ZT, ZK usw. eingesetzt. „Geplante Obsoleszenz/Zeitbomben“ in allen Arten von Ressourcen (Code, Hardware usw.) sind Schwachstellen, die nach einer gewissen Zeit dazu führen, dass die Ressource ihren Datenschutz und ihre Cybersicherheit verliert und somit anfällig für Cyberangriffe wird; sie funktioniert dann fehlerhaft und verletzt den Datenschutz und die Cybersicherheit.

(3) Bei Personen/künstlichen Entitäten, die Social Engineering anwenden, selbst wenn diese sich dessen bewusst sind. Der Schlüssel liegt in der Anwendung fortgeschrittenerer und nachhaltigerer Techniken, wie z. B. umfassender zertifizierter Schulungen mit anschließender Evaluation und Zertifizierung durch akkreditierte externe Prüfstellen, um Verbindlichkeit zu schaffen.

(4) In Lieferketten. Elektronische Geräte gehören hinsichtlich der Lieferkettenrisiken zu den anfälligsten und intransparentesten Produkten. Ihre Herstellung involviert Unternehmen und Akteure aus verschiedenen Ländern und Kontinenten; einige der dort eingesetzten Personen und Maschinen könnten kontaminiert sein und Schadsoftware eingeschleust haben.

(5) Im Dienst.

(6) In Cloud- und Edge-Netzwerken werden Satelliten (GPS, GLONASS, BeiDou, Galileo/Europäisches GPS (G1G/Erste Generation und G2G/Zweite Generation)), Fahrzeuge usw. eingesetzt. In Cloud-Netzwerken kommen Gegenmaßnahmen wie SSE (Security-Service-Edge), DDR (DNS-Detection-and-Response) und SASE (Security-Access-Service-Edge) zum Einsatz. (7) In Unternehmen mit Schwachstellen in der Governance, unzureichenden Gesetzen, fehlerhaftem Code, defekten Geräten usw. können Cyberangriffe durch Datenvergiftung und -ausspähen identifiziert werden, die von manipulierten Edge-Computing-Servern und scheinbar verdächtigen Aggregationsknoten ausgehen. Gegenmaßnahmen auf Basis von Wasserzeichen können eingesetzt werden, um die Weitergabe von Daten und Metadaten zu verhindern, die zwischen Edge-Servern im Rahmen von FL-aaS (Federated Learning-as-a-Service) ausgetauscht werden.

Abb. 5 – CybersicherheitAbschließende Überlegungen.
Eine moderne Datenschutz-Folgenabschätzung (DSFA), auch bekannt als Datenschutzprüfung oder Bewertung der Datenschutzfolgen, ist ein zentrales Verfahren zur Identifizierung und Bewertung der potenziellen Auswirkungen von Prozessen, Informationssystemen, Netzwerken, Programmen, Softwaremodulen, Geräten, IoT-Objekten usw. auf die Privatsphäre, die personenbezogene Daten (PII) verarbeiten. Dies beinhaltet das proaktive Ergreifen der notwendigen Maßnahmen, um identifizierte potenzielle Datenschutzrisiken zu blockieren und zu beheben. Die zur Bewältigung dieser Risiken eingesetzten Kontrollmechanismen basieren auf zahlreichen Standards, wie z. B. ISO/IEC 27002, ISO/IEC 29151, NIST 800-207, ISO/IEC 29134, NIST SP 800-63-3, ENS 2.0-2022 und UNECE R155. Die Identität und die Daten der Nutzer müssen vollständig unter ihrer Kontrolle bleiben und dürfen nicht der Kontrolle anderer Stellen unterliegen. Unser digitaler Fußabdruck gehört uns, und wir sollten nur die absolut notwendigen Daten preisgeben, die zu ihrem Schutz verarbeitet werden, wenn wir mit anderen interagieren oder dazu aufgefordert werden. Die zweite Generation von „Datenräumen“ sind technologische Infrastrukturen, die einen massiven, föderierten und offenen Datenaustausch ermöglichen. Diese umfassen robuste Datenschutzmechanismen (Privacy by Design, Zero-Knowledge, Steganografie-Kryptografie, KI-basierte Cybersicherheit, Cyberresilienz, Governance usw.) und erleichtern den Informationsaustausch bei gleichzeitigem starkem Schutz personenbezogener Daten. Derzeit plant die EU 20 Datenräume der ersten Generation, darunter den „Europäischen Gesundheitsdatenraum“. Die Überprüfung der Authentizität und Integrität der Software-Firmware-Elemente aller Gerätetypen (nicht nur IoT/(Internet der Dinge-IoMT/Internet der medizinischen Dinge)) zum Zeitpunkt von Aktualisierungen und beim Booten muss durch einen integrierten hardwarebasierten „Root of Trust“/HW-RoT (der ein ODM-Zertifikat speichert), d. h. ein TPM/Trusted-Platform-Module-TEE/Trusted-Execution-Environment (das einen Anti-Rollback-Mechanismus integriert), durchgeführt werden, um die Ausführung von bösartigem Bootcode, die Manipulation des Speichers, die Beschädigung/den Diebstahl von Datenschutzdaten usw. zu verhindern.

LITERATURVERZEICHNIS. - Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2022. - Areitio, J. „Invisible Identification of Malicious Actions and Behaviors Integrated into Cyberattacks“. Conectronica Magazine. Nr. 255. März-April 2023. - Gupta, I. „Expectations vs. Realities of Information Privacy and Data Protection Measures: A Machine-Generated Literature Overview“. Springer. 2023. - Blokdyk, G. „Protection of Privacy by Design Standard Requirements“. 5STARCooks. 2021. - Green, M., Nørgaard, LC, Bruun, MB, et al. „Frühe Neuzeitliche Quellen und Ansätze zum Datenschutz (Intersections: Interdisciplinary Studies in Early Modern Culture, 78). Hrsg. Brill. 2021. – Blokdyk, G. „Datenschutz und Datensicherheit: Ein umfassender Leitfaden“. Hrsg. The Art of Service – Data Privacy And Protection Publishing. 2023. – Doss, A. F. „Cyber-Datenschutz: Wer hat Ihre Daten und warum Sie sich darum kümmern sollten“. Hrsg. BenBella Books. 2020. – Sanjay, S. „Cybersicherheit und Datenschutz: Sicherheit“. Hrsg. Sanjay, S. 2023. – Carissa, V. „ Datenschutz ist Macht“. Hrsg. Random House UK. 2021. – Lipford, H. R. et al. „Moderne soziotechnische Perspektiven auf Datenschutz“. Springer. 2022. – Matsumi, H., Dara Hallinan, D., Dimitrova, D., Kosta, E. und De Hert, P. „Datenschutz und Privatsphäre, Band 15: In Zeiten des Wandels (Computer, Datenschutz und Datensicherheit)“. Hrsg. Hart Publishing. 2023. - Goldmann, J. et al. „Datenschutzbetrug und -missbrauch: Aufdeckung des Missbrauchs personenbezogener Daten durch die Tech-Giganten“. Hrsg. Customer Privacy Publishing. 2023. - MS Geetha P. „Datenschutz in der Big-Data-Analyse“. Hrsg. Vikatan Publishing Solutions. 2023. - Ikua, E. „Datenschutz und Schutz personenbezogener Daten: Ihr Recht auf Privatsphäre und wie Unternehmen die Einhaltung der Datenschutzgesetze gewährleisten können“. Hrsg. Selbstverlag. 2023. - Roccia, T. „Visuelle Bedrohungsanalyse: Ein illustrierter Leitfaden für Bedrohungsforscher“. Hrsg. Selbstverlag. 2023. - Howard, R. „Grundlagen der Cybersicherheit: Ein Neustart von Strategie und Taktik“. Wiley. 2023. - Ginter, A. „Engineering-Grade OT-Sicherheit: Ein Leitfaden für Manager. Abterra-Technologies. 2023.


















Autor: Prof. Dr. Javier Areitio Bertolín – Direktor der Forschungsgruppe Netzwerke und Systeme.