IT-Sicherheit integral betrachtet

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheit integral betrachtet"

Transkript

1 expertenwissen für it-architekten, projektleiter und berater Peter Schaar: Datenschutz setzt die Spielregeln. SICHERHEIT IT-Sicherheit integral betrachtet Data Loss Protection Enterprise Wide Integration Security Sonderdruck Alles sicher oder was? für Die BSI-Sicherheitsanforderungen an Cloud-Anbieter Rechte und Rollen Zentrales Rollen- und Rechtecockpit für SOA-Applikationen Business Continuity Management Sicherung kritischer Wertschöpfungsprozesse Schatzkammer Datenbank Sicherheitsstrategien für Datenbanken

2 Cloud Computing Cloud Computing Die bsi-sicherheitsanforderungen an cloud-computing-anbieter Alles sicher oder was? Cloud Computing ist eines der großen Trendthemen in diesem Jahr. Kaum ein Produktanbieter oder Consultant, der seine Angebote nicht mit dem trendigen Begriff schmückt. Dennoch zögern viele Unternehmen noch, Cloud-Angebote ihrem IT-Portfolio hinzuzufügen. Vor allem Sicherheitsfragen lassen sie zurückhaltend agieren. Folgerichtig entstehen neue Richtlinien und Standards, die sich anschicken, die Unsicherheiten der Nutzer auszuräumen. Dieser Artikel analysiert die aktuelle Situation und stellt eine der ersten Richtlinien im deutschsprachigen Raum vor, die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter. AUTOR: UWE FRIEDRICHSEN Es gibt praktisch keinen Analysten, der Cloud Computing nicht zu einem der wichtigsten Trends dieses Jahres ausgerufen hat. Die Fachzeitschriften und einschlägigen Konferenzen sind voll von dem Thema und die Zahl der Anbieter von IT-Dienstleistungen, die sich mit diesem derzeit scheinbar magischen Wort schmücken, wächst gefühlt von Stunde zu Stunde. Cloud ist in, es herrscht (mal wieder) Goldgräberstimmung in der Branche. Alles könnte so gut sein und neuen Umsatzrekorden stünde nichts im Weg, wären da nicht die Anwender. Gerade die lukrativen Firmenkunden sind nämlich häufig recht zurückhaltend bei dem Thema Cloud Computing. Einer der Hauptgründe für diese Zurückhaltung sind ungeklärte Sicherheitsfragen bei der Nutzung von Cloud- Angeboten. So zeigt z. B. die Studie zum Thema Cloud Computing von PricewaterhouseCoopers [1], dass die Themen Informationssicherheit, Datenschutz und Compliance sehr wichtig für die Anwender von Cloud-Angeboten sind. Auch die ENSIA, die European Network and Information Security Agency, zuständig für Netzwerk- und Informationssicherheit auf EU-Ebene, sieht gerade bei öffentlichen Cloud-Angeboten insbesondere 2 bt

3 auch eine Reihe Sicherheitsrisiken, die erst adressiert werden müssen, bevor man ein solches Angebot nutzen sollte [2]. Doch wie kann man die bestehenden Unsicherheiten ausräumen und so die Kluft zwischen Anbietern und Nutzern am besten überbrücken? Ein klassisches Rezept für solche Situationen ist die Definition von Standards oder Richtlinien durch unabhängige Institutionen. Der Standard bzw. die Richtlinie macht Vorgaben bzgl. der erforderlichen Umsetzung der fraglichen Themen und dient so als eine Art Kontrakt zwischen Anbieter und Nutzer: Verpflichtet sich der Anbieter, die Vorgaben aus dem Standard/den Richtlinien zu erfüllen, ist der Nutzer bereit, das Angebot anzunehmen. Auf diese Weise ersparen es sich beide Parteien insbesondere auch, die einzelnen Vorgaben mühevoll auszuarbeiten und vertraglich zu fixieren (womit sie häufig auch inhaltlich überfordert wären), und können sich stattdessen auf einen breit akzeptierten Konsens zurückziehen. SicherheitSrichtlinien und -StanDarDS im cloud-umfeld In diesem Fall geht es also darum, Sicherheitsanforderungen an Cloud-Computing-Anbieter festzulegen. Im internationalen Raum ist z. B. die Cloud Security Alliance [3] dabei, ein Trusted Security Certification Program zu definieren. Allerdings liegt die Ankündigung mittlerweile über ein Jahr zurück und bislang findet man auf der Website nur Teilaspekte dieses umfassenden Zertifizierungsprogramms. Darüber hinaus ist die CSA ist bislang nicht in Deutschland vertreten und es ist auch nicht angekündigt, dass in naher Zukunft ein deutsches Chapter gegründet werden soll. Im deutschsprachigen Raum hat der TÜV sein Siegel Geprüfter Datenschutz [4] auf Cloud-Computing- Anbieter ausgeweitet. So hat Salesforce.com Ende vergangenen Jahres als erster Cloud-Anbieter das Siegel Geprüfter Datenschutz Cloud Computing V1.0 erhalten. Das Siegel erhält man als Ergebnis eines erfolgreichen Audits, das der TÜV durchführt. Das Audit ist eine Eigenentwicklung des TÜVs und basiert auf gesetzlichen Vorgaben wie dem Bundesdatenschutzgesetz und in diesem Zusammenhang bekannten Normen wie DIN ISO/IEC (IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen) und ISO/IEC (IT-Sicherheitsverfahren IT- Netzwerksicherheit). Die genauen Inhalte und Durchführung sind Betriebsgeheimnis des TÜVs, das man nur kennenlernt, wenn man den TÜV mit einem solchen Audit beauftragt. Da der TÜV aber daran interessiert ist, die seit vielen Jahren hohe Akzeptanz seiner Siegel zu behalten, kann man getrost davon ausgehen, dass die Zertifizierung Hand und Fuß hat und das Siegel eine entsprechende Aussagekraft. Eine weitere gewichtige Instanz im deutschsprachigen Raum zum Thema Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) [5]. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und fühlt sich für IT-Sicherheit in Deutschland verantwortlich. Mit seinem Angebot adressiert das BSI natürlich in erster Linie den öffentlichen Bereich, aber auch Unternehmen und Privatanwender. Sehr bekannt ist z. B. der BSI-Standard 100 (besser bekannt unter dem Namen IT-Grundschutz), in dem ausführlich die Etablierung eines Informationssicherheits-Managementsystems beschrieben ist, das zum DIN-ISO/IEC-Standard kompatibel ist [6]. Aber auch viele andere Themengebiete der IT hat das BSI unter Sicherheitsaspekten durchleuchtet und entsprechende Richtlinien bzw. Empfehlungen publiziert. Exemplarisch seien hier der Maßnahmenkatalog zur Sicherheit von Webanwendungen [7] oder das SOA- Security-Kompendium [8] genannt. Den Publikationen des BSI ist gemein, dass sie fast alle recht weit akzeptiert sind und einen weitestgehend normativen und standardähnlichen Charakter haben. Befolgt ein IT-Anbieter also die Vorgaben aus der entsprechenden BSI-Publikation, so ist dies in der Regel ausreichend, um mögliche Bedenken des Kunden in dem von der Publikation adressierten Bereich auszuräumen. bsi-mindestsicherheitsanforderungen Da Cloud Computing mittlerweile auch im öffentlichen Bereich immer mehr an Bedeutung gewinnt, hat sich das BSI folgerichtig auch damit auseinander gesetzt. Als Ergebnis sind die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter entstanden [9]. Zum Zeitpunkt des Schreibens dieses Artikels lag der Stand vom vor, der noch explizit als ENTWURF gekennzeichnet war. Auch wenn die BSI-Publikation noch als Entwurf gekennzeichnet und in der vorliegenden Version 17 Seiten dünn ist (die es inhaltlich allerdings in sich haben), so ist doch zu erwarten, dass sich diese Mindestsicherheitsanforderungen aufgrund der Stellung des BSI als ein möglicher Standardkontrakt zwischen Anbietern und Nutzern von Cloud-Dienstleistungen in Deutschland entwickeln werden. Aus diesem Grund möchte ich dieses Richtliniendokument im weiteren Verlauf meines Artikels genauer vorstellen und kritisch analysieren. Das Dokument beginnt mit ein paar allgemeinen Definitionen zum Thema Cloud, auf die ich hier nicht näher eingehen möchte. Dann wird der designierte Geltungsbereich der Richtlinien beschrieben: Die bt

4 Richtlinien adressieren sowohl IaaS (Infrastructure as a Service; Hardware wie z. B. Speicher, Netze, CPU), PaaS (Platform as a Service; Laufzeitumgebung und ggf. Entwicklungsumgebung, häufig verbunden mit der Bereitstellung höherwertiger Funktionen wie z. B. Mandantenfähigkeit, Zugriffskontrolle, einheitliche Persistenzabstraktion) als auch SaaS (Software as a Service; komplette Anwendungen), also praktisch alle derzeit relevanten Arten von Cloud-Angeboten. Außerdem werden Informationen mit einem Vertraulichkeitsbedarf im normalen bis hohen Schutzbereich adressiert, was für die meisten Informationen im Unternehmensumfeld zutreffen dürfte. Zusammenfassend lässt sich festhalten, dass das Dokument damit nahezu alle Cloud-Szenarien im normalen Unternehmensumfeld abdecken dürfte. Im nächsten Schritt werden die formulierten Anforderungen in drei Kategorien unterteilt: B (= Basisanforderung) umfasst Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden Vt+ (= Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die bei Daten mit hohem Vertraulichkeitsbedarf realisiert werden sollen Vf+ (= Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die bei hohem Verfügbarkeitsbedarf realisiert werden sollen Ich werde mich in diesem Dokument auf die Basisanforderungen beschränken, weil das wahrscheinlich das Set an Anforderungen sein wird, das am häufigsten für Kontrakte zwischen Anbietern und Nutzern verwendet werden wird. Außerdem machen die Basisanforderungen knapp 80 % der formulierten Anforderungen aus. Insgesamt sind nämlich 74 der 93 formulierten Anforderungen Basisanforderungen. Die Anforderungen verteilen sich zum größten Teil auf die im Folgenden aufgezählten Kernthemengebiete: Sicherheitsmanagement beim Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Monitoring und Security Incident Management Notfallmanagement Sicherheitsprüfung und -nachweis Anforderungen an das Personal Transparenz Organisatorische Anforderungen Kontrollmöglichkeiten für Nutzer Portabilität von Daten und Anwendungen Interoperabilität Datenschutz/Compliance Zusätzlich beziehen sich noch einige wenige Anforderungen (genauer: fünf Basisanforderungen und eine Zusatzanforderung) auf die folgenden zusätzlichen Themengebiete: Cloud-Zertifizierung Zusatzforderungen an Public-Cloud-Anbieter für die Bundesverwaltung Im weiteren Verlauf des Artikels werde ich die Anforderungen der Kernthemengebiete genauer betrachten. Sicherheitsmanagement beim Anbieter Für diesen Bereich formuliert das BSI die folgenden Basisanforderungen: Definiertes Vorgehensmodell aller IT-Prozesse (z. B. nach ITIL, COBIT) Implementation eines anerkannten Informationssicherheits-Managementsystems (z. B. BSI-Standard (IT-Grundschutz), ISO 27001) Erstellung eines IT-Sicherheitskonzepts für die Cloud Hintergrund für diese Anforderungen ist die Behauptung, dass eine adäquate Sicherheit entsprechend ausdefinierte Prozesse als Grundvoraussetzung hat. Das sind Anforderungen, denen ich nicht so ohne Weiteres zustimmen würde. Zunächst bin ich ein Anhänger des agilen Lagers. Eine Grundidee der Agilität ist vereinfacht ausgedrückt, dass Hirn anschalten explizit erwünscht ist. Bis ins Detail geregelte Prozesse sind meiner Erfahrung nach eine beliebte Ausrede dafür, nicht zu denken. Man kann sich so schön hinter den Prozessen verstecken. Ich frage in solchen Situationen gerne etwas provokativ, wem man mehr vertraut: einigen denkenden, sicherheitsbewussten Personen oder einem Rudel ferngesteuerter Prozess-Zombies? Natürlich ist das etwas überspitzt, aber ich denke, man sollte sich die Frage trotzdem einmal ernsthaft stellen, bevor man reflexartig nach Prozessen als Lösung für alle Probleme ruft. Außerdem spielt für mich eine große Rolle, mit was für einem Anbieter von Cloud-Dienstleistungen man es zu tun hat. Habe ich es mit einem richtig großen Anbieter zu tun oder vielleicht mit einem innovativen kleinen Start-up, das eine richtig pfiffige Lösung an den Markt bringt? Während bei dem großen Anbieter wahrscheinlich schon die schiere Menge beteiligter Personen eine gewisse Standardisierung der Prozesse erfordert, würde bei dem kleinen Start-up die Definition der Prozesse schon das gesamte Startkapital verschlingen. Natürlich muss auch das kleine Unternehmen sicherstellen, dass 4 bt

5 BUSINESS CASE FÜR AGILITÄT: die Agile Software Factory der codecentric AG.

6 die notwendige Sicherheit gewährleistet ist. Aber ob man dafür gleich die ITIL/COBIT/ISO Keule herausholen muss oder ob das nicht auch mit anderen Mitteln möglich ist, sei einmal dahingestellt. Sicherheitsarchitektur Wie nicht anders zu erwarten, geht es in diesem Bereich richtig zur Sache. Hier versammeln sich insgesamt 32 der insgesamt 93 Anforderungen, 26 davon sind Basisanforderungen. Primär geht es um eine durchgängige Sicherheitsarchitektur von der Zugangskontrolle zum Rechenzentrum über saubere Mandantentrennung bis hin zum verschlüsselten Zugriff auf das Cloud-Angebot. Hier sind exemplarisch die wichtigsten Anforderungen aufgelistet: Redundante Auslegung aller wichtigen Versorgungskomponenten (Strom, Klimatisierung der RZ, Internetanbindung etc.) Kontrollierte Zugangskontrolle für das Rechenzentrum Sicherheitsmaßnahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz etc.) Sicherheitsmaßnahmen gegen netzbasierte Angriffe (IPS/IDS-Systeme, Firewall etc.) Fernadministration durch einen sicheren Kommunikationskanal (SSH, SSL, IPsec, VPN etc.) Sichere Default-Konfiguration des Hosts (z. B. Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste etc.) Sichere Isolierung und Kapselung der Anwendungen Konfigurationsmanagement Patch- und Änderungsmanagement (zügiges Einspielen von Patches, Updates, Service Packs) sowie Release Management Sicherstellung der Patch-Verträglichkeit auf Testsystem vor Einspielen in Wirkbetrieb Sichere Isolierung der Kundendaten (virtuelle Speicherbereiche, Tagging etc.) Regelmäßige Datensicherung und Möglichkeit der Datenwiederherstellung (außer nach Löschung) muss gesichert sein (z. B. redundante Replikate, evtl. auch Kundentests) Datenarchivierung nach einschlägigen Gesetzen bzw. Bestimmungen Verschlüsselte Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer (TLS/SSL) Verschlüsselte Kommunikation zwischen Cloud-Computing-Standorten Verschlüsselte Kommunikation mit dritten Cloud- Service-Anbietern, falls diese für das eigene Angebot notwendig sind Die Umsetzung der hier aufgezählten Anforderungen sollte eigentlich selbstverständlich sein, wird aber gerne einmal vergessen. Deshalb ist es auch sehr sinnvoll, dass diese Anforderungen noch einmal explizit aufgeführt sind. Dazu gesellen sich in dem Bereich einige weitere Anforderungen wie eine 24/7-Überwachung des Zugangs inkl. Videoüberwachungssystemen mit Bewegungssensoren und Sicherheitspersonal, Einsatz von Host-based-Intrusion-Detection-Systemen oder die regelmäßige Durchführung von Vulnerability-Tests. Das sind für sich gesehen auch alles sinnvolle Anforderungen, nur bin ich der Meinung, dass man hier fallweise beurteilen muss, ob es wirklich Mindestanforderungen sind oder eher erweiterte Anforderungen. ID- und Rechtemanagement In diesem Bereich geht es im Kern um ein sicheres ID- Management, eine angemessen starke Authentisierung sowie ein restriktives Rechtemanagement zur Vermeidung unnötiger Risiken. Im Detail sind die folgenden Basisanforderungen formuliert worden: Sichere Identifikation der Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Starke Authentisierung (z. B. Zweifaktor-Authentisierung) für Administratoren des Cloud-Anbieters Zugriffskontrolllisten für Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Regelmäßige Kontrolle und Aktualisierung der Zugriffskontrolllisten Least Privilege Model (Nutzer bzw. Administratoren sollen nur die Rechte besitzen, die sie zur Erfüllung ihrer Aufgabe benötigen) Alle hier genannten Anforderungen sind unbedingt sinnvoll. Gerade die zweite Anforderung bzgl. starker Authentisierung von Administratoren möchte ich noch einmal hervorheben, da eine solche Maßnahme häufig nicht umgesetzt wird, obwohl damit das allgemeine Sicherheitsniveau auf einfache Weise deutlich verbessert werden kann. Monitoring und Security Incident Management Die Anforderungen dieses Bereichs würde ich wieder etwas differenzierter bewerten. So sollten folgende Anforderungen durchaus immer umgesetzt werden: 24/7-Überwachung der Cloud (z. B. Verfügbarkeit der Services bzw. Ressourcen) Logdatenerfassung und -auswertung (z. B. Systemstatus, fehlgeschlagene Authentisierungsversuche etc.) 6 bt

7 24/7-erreichbares, handlungsfähiges Cloud-Management und Trouble-Shooting Verfügbarkeit der Services überwachen und messen, Messergebnisse den Kunden zur Verfügung stellen Die folgende Anforderung ist hingegen nicht unbedingt für jedermann eine Basisanforderung: Einbindung in die CERT-Strukturen und in das nationale IT-Krisenmanagement Dazu kommen noch Pauschalanforderungen wie: Anbieter stellt sicher, dass auf Angriffe, die aus der Cloud heraus durchgeführt werden, 24/7 reagiert werden kann Anbieter stellt sicher, dass interne Angriffe von Cloud- Nutzern auf andere Cloud-Nutzer erkannt werden Das klingt toll und jeder ist erst einmal geneigt, reflexartig zu nicken. Ich frage mich bei diesen Anforderungen aber zum einen, wie man sie zuverlässig umsetzen soll, und bezweifle zum anderen, dass ein Anbieter die Erfüllung einer solchen Anforderung wirklich hundertprozentig garantieren kann. Deshalb empfehle ich an der Stelle sicherheitshalber aktives Nachdenken, in welchem Umfang man diesen Anforderungen realistisch betrachtet nachkommen kann, anstatt sie blind zu übernehmen. Notfallmanagement Dieser Bereich lässt sich schnell abhandeln. Es gibt zwei Basisanforderungen: Der Cloud-Anbieter muss ein Notfallmanagement implementieren. Regelmäßige Übungen (z. B. Ausfall eines Cloud- Computing-Standorts) Dazu gibt es nicht viel zu sagen: Ja, macht Sinn, sollte man haben und die regelmäßigen Übungen sind extrem hilfreich, damit es einem nicht so ergeht wie den Leuten, die regelmäßig Datensicherungen machen und dann beim ersten Datenverlust feststellen, dass sich ein Fehler im Sicherungsskript eingeschlichen hatte und die Daten nicht mehr hergestellt werden können. Sicherheitsprüfung und -nachweis In diesem Bereich geht es um regelmäßige Sicherheitsprüfungen. Entsprechend gibt es drei Basisanforderungen: 1. Der Cloud-Anbieter muss dem Cloud-Nutzer regelmäßig berichten über Sicherheitsmaßnahmen, Änderungen im IT-Sicherheitsmanagement, über Sicherheitsvorfälle, über die Ergebnisse durchgeführter IS-Revisionen und Penetrationstests. Auch im Falle einer drohenden Insolvenz ist der Cloud-Nutzer zu unterrichten. Regelmäßige Penetrationstests Regelmäßige Penetrationstests bei Subunternehmen Auch hier gilt: Ja, sinnvolle Anforderungen, wobei aus meiner Sicht bei den letzten zwei Anforderungen fallweise überlegt werden muss, wie häufig und in welchem Umfang diese Maßnahmen umgesetzt werden müssen. Anforderungen an das Personal Die Anforderungen dieses Bereichs sind aus meiner Sicht wieder etwas durchwachsen: Vertrauenswürdiges Personal Ausbildung der Mitarbeiter des Cloud-Anbieters (regelmäßige Schulung) Sensibilisierung der Mitarbeiter des Cloud-Anbieters für Informationssicherheit und Datenschutz Verpflichtung der Mitarbeiter auf Datenschutz, Sicherheitsmaßnahmen, Vertraulichkeit der Kundendaten Die zweite und dritte Anforderung halte ich für sehr sinnvoll. Die erste und die letzte Anforderung sind für meinen Geschmack allerdings eher Pauschalanforderungen, denen man zwar gerne nachkommen kann, von denen ich aber stark bezweifle, dass sie in der Praxis einen realen Einfluss auf die Sicherheit haben. Transparenz Das ist wieder ein Bereich, der schnell abgehandelt werden kann. Hier gibt es die folgenden Basisanforderungen: Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Regelmäßige Unterrichtung über Änderungen (z. B. neue oder angekündigte Funktionen, neue Subunternehmer; andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud-Anbieter auf Seiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse/-risiken bt

8 Das sind absolut sinnvolle Anforderungen, deren Umsetzung m. E. eigentlich selbstverständlich sein sollte (aber trotzdem gerne vergessen wird). organisatorische anforderungen In diesem Bereich geht es primär um das explizite Festschreiben der Sicherheitsleistungen im Rahmen eines SLA (Service Level Agreement). Entsprechend gibt es die folgenden Basisanforderungen: Definierte Sicherheitsleistungen durch Security SLA oder im SLA deutlich hervorgehoben Einsicht in Security SLA bzw. SLA von Subunternehmern Rahmenbedingungen zur Gültigkeit des SLA aufführen (z. B. keine Verpflichtung zur Leistungserbringung aufgrund höherer Gewalt) Dazu gibt es nicht viel zu sagen. Ein SLA sollte eigentlich immer von einem Cloud-Anbieter bereitgestellt werden und darin sollten auch die Sicherheitsleistungen klar beschrieben sein. kontrollmöglichkeiten für nutzer Dieser Bereich bezieht sich direkt auf den vorhergehenden Bereich. Hier gibt es eine Basisanforderung: Kunden sollen die Möglichkeit haben, die Einhaltung der SLAs zu überwachen, indem beispielsweise die Qualität der angebotenen Services überwacht wird. Für seriöse Cloud-Anbieter sollte das selbstverständlich sein. Ich sehe die Anforderung auch eher im Bereich Transparenz: Es sollten nicht irgendwelche ominösen Kontrollmöglichkeiten angeboten werden, sondern eine durchgängige, für den Nutzer gut nachvollziehbare Transparenz aller für ihn wichtigen Bereiche. portabilität Von Daten und anwendungen Hier kommen wir zu einem schwierigen Thema, der Vermeidung des Vendor Lock-in. Während die Anbieter von Dienstleistungen verständlicherweise kein besonderes Interesse an dem Thema haben, ist es den Nutzern (ebenso verständlicherweise) in der Regel sehr wichtig. Hier besteht bei den aktuellen Cloud-Angeboten in vielen Fällen noch Nachholbedarf. Während der Import von Daten meistens ziemlich problemlos möglich ist, gestaltet sich der Export von Daten häufig sehr schwierig bis nahezu unmöglich. Die genauen Anforderungen in dem Bereich sind: Import und Export der Daten in einem geeigneten Format Anwendungen müssen plattformunabhängig sein (nur SaaS) Bei der ersten Anforderung ist meine Empfehlung, dieser als Anbieter auch jetzt schon nachzukommen. Auch wenn zurzeit noch eine gewisse Goldgräberstimmung im Cloud-Bereich herrscht, so wird erfahrungsgemäß doch sehr bald eine Marktkonsolidierung einsetzen und dann bekommt eine solche Anforderung ein ganz anderes Gewicht als noch heute. Die zweite Anforderung finde ich etwas unsinnig (oder ich verstehe sie falsch, was natürlich nicht auszuschließen ist): Wenn ich ein SaaS-Angebot nutze, dann interessiert mich nicht, auf welcher Plattform die Anwendung läuft. Ich möchte ggf. mit meinen Daten auf einfache Weise zu einem anderen SaaS-Angebot eines anderen Cloud-Anbieters wechseln können, aber mir ist herzlich egal, ob die Anwendung an sich auf eine andere Plattform umziehen kann. Das ist ja einer der Gründe, warum ich ein SaaS-Angebot nutze: Ich will mir um solche Dinge keine Gedanken mehr machen. Vielleicht wird diese Anforderung mit der nächsten Version des Dokuments aber auch noch einmal überarbeitet und etwas klarer formuliert. interoperabilität In diesem Bereich geht es um die Interoperabilität zwischen verschiedenen Cloud-Computing-Plattformen sowie ggf. den eigenen Anwendungen. Entsprechend gibt es eine Anforderung in dem Bereich: Standardisierte oder offengelegte Schnittstellen (API und Protokolle). Dazu gibt es nicht viel zu sagen: Ja, das ist eine absolut sinnvolle Anforderung. DatenSchutz/compliance In diesem Bereich geht es um die Einhaltung der Compliance-Anforderungen des Nutzers im Allgemeinen und um die Einhaltung des Bundesdatenschutzgesetzes (BDSG) für personenbezogene Daten im Speziellen. Die konkreten Anforderungen dazu sind: Gewährleistung des Datenschutzes nach deutschem Recht Datenschutzrichtlinien und -gesetze, denen der Cloud- Nutzer unterliegt, müssen eingehalten werden Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten innerhalb der oben genannten Staaten gewährleisten können Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden. Die re- 8 bt

9

10 levanten Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit Diese Anforderungen sind für meinen Geschmack wieder von sehr unterschiedlicher Qualität. Die erste Anforderung ist eindeutig, da gibt es nichts zu diskutieren. Auch an der dritten und vierten Anforderung kommt man wahrscheinlich nicht vorbei, wenn man die rechtlichen Rahmenbedingungen bzgl. der Verarbeitung personenbezogener Daten sicher einhalten möchte. Bei der fünften Anforderung (die mit den Kontrollrechten für den Cloud-Nutzer) handelt es sich wieder um eine Pauschalanforderung, bei der gar nicht klar ist, wie man sie auf sinnvolle Weise und mit vertretbarem Aufwand umsetzen kann. Die meisten Probleme habe ich aber mit der zweiten und der letzten Anforderung. Diese sind mir (wie häufig im Umfeld von Sicherheitsanforderungen anzutreffen) extrem zugunsten der Nutzer formuliert: Die Probleme des Nutzers werden einfach pauschal auf den Anbieter abgewälzt. Es interessiert nicht, ob das Angebot überhaupt für die Compliance-Anforderungen des Nutzers ausgelegt ist, der Anbieter hat das bitte schön sicherzustellen. Das erweist sich zwar als sehr angenehm für den Nutzer und sicherlich ist die Anforderung daher auch auf Nutzerseite entsprechend beliebt, aber zumindest für unabhängige Cloud-Anbieter nicht wirklich fair. Wäre es nicht wesentlich sinnvoller, wenn der Cloud- Anbieter im Rahmen seiner Angebotsbeschreibung darstellt, welche rechtlichen Rahmenbedingungen er mit seinem Angebot erfüllt, und der Nutzer diese Beschreibung dann daraufhin prüft, ob sie für seine speziellen Compliance-Anforderungen ausreichend ist? Natürlich sind Abstimmungen und Verhandlungen über die zusätzliche Zusicherung weiterer rechtlicher Anforderungen jederzeit möglich, aber diese einseitige Anforderung würde ich als Cloud-Anbieter sicherlich nicht blanko unterschreiben, da sie für mich ein unkalkulierbares Risiko darstellen würde. Zusammenfassung Im Bereich Cloud Security ist derzeit eine Menge Bewegung. Es wurde erkannt, dass dieses Thema zufriedenstellend für die Cloud-Nutzer geregelt werden muss, damit diese ihre noch zögerliche Haltung aufgeben. Entsprechend gibt es mittlerweile die ersten Richtlinien und Zertifizierungsangebote unabhängiger Institutionen. Stellvertretend wurden in diesem Artikel die Mindestsicherheitsanforderungen für Cloud-Anbieter des BSI genauer analysiert, die derzeit als Entwurf vorliegen. Das Ergebnis der Analyse ist gemischt. Die meisten der Anforderungen sind absolut sinnvoll, bei vielen sollte die Umsetzung eigentlich selbstverständlich sein. Entsprechend ist es gut, dass diese Anforderungen durch eine unabhängige Institution wie das BSI einmal zusammengetragen und explizit festgehalten worden sind. Allerdings sind auch einige durchaus diskussionswürdige Anforderungen in dem Dokument formuliert worden, die man noch einmal kritisch hinterfragen sollte. Gerade als Anbieter von Cloud-Dienstleistungen sollte man die Anforderungen noch einmal genau prüfen, da einige der Anforderungen sehr pauschal und zugunsten der Nutzer formuliert sind und es je nach Situation durchaus fraglich ist, ob eine Umsetzung der Anforderungen in der beschriebenen Form wirklich notwendig (bzw. überhaupt möglich) ist. Zusammenfassend lässt sich sagen, dass die Standardisierungsbemühungen im Bereich Cloud Security auf einem guten Weg sind, im Detail aber durchaus noch Verbesserungspotenzial besteht. Uwe Friedrichsen hat langjährige Erfahrungen als Architekt, Projektleiter und Berater. Aktuell ist er bei der codecentric AG als CTO tätig und beschäftigt sich in dem Kontext insbesondere mit agilen Verfahren und neuen Architekturansätzen und Technologien wie z. B. Cloud Computing. Links & Literatur [1] Cloud Computing Navigation in der Wolke, de/de_de/de/prozessoptimierung/assets/cloudcomputingstudie.pdf [2] Security and Resilience in Governmental Clouds, enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds [3] Cloud Security Alliance, https://cloudsecurityalliance.org/ [4] TÜV Rheinland, Datenschutz Zertifizierung für Unternehmen, [5] Bundesamt für Sicherheit in der Informationstechnik, https:// [6] IT-Grundschutz-Standards, https://www.bsi.bund.de/contentbsi/publikationen/bsi_standard/it_grundschutzstandards. html [7] Sicherheit von Webanwendungen Maßnahmenkatalog und Best Practices, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/studien/websec/websec_pdf. pdf? blob=publicationfile [8] SOA-Security-Kompendium Sicherheit in Service-orientierten Architekturen, Version 2.0, https://www.bsi.bund.de/contentbsi/themen/soa/studienpublikationen/studien_publikationen.html [9] BSI-Mindestsicherheitsanforderungen an Cloud-Computing- Anbieter, Stand (ENTWURF), https://www.bsi.bund. de/shareddocs/downloads/de/bsi/publikationen/sonstige/ Cloud_Computing_Mindestsicherheitsanforderungen.pdf? blob=publicationfile#download=1 10 bt

11 Notizen: bt

12 codecentric AG Kölner Landstraße Düsseldorf Tel: +49 (0) Fax: +49 (0) info(at)codecentric.de blog.codecentric.de

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Stand 27.09.2010 ENTWURF BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter - ENTWURF Seite 1 von 17 Bundesamt für Sicherheit

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen

Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen Im Folgenden wird eine Auswahltabelle für die die individuelle Bestimmung von technischen Anforderungen an einen geeigneten und vertrauenswürdigen

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion Bernhard Cygan Solution Architect, StoneOne AG StoneOne 2007-2012 Über StoneOne Gründung 2007 in Berlin

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Cloud Computing Security

Cloud Computing Security LANDESAMT FÜR VERFASSUNGSSCHUTZ Cloud Computing Security Wirtschaftsschutz Beratungsleitfaden Version 1.2 Stand November 2011 Einleitung Wieso, Weshalb, Warum Die Informationstechnik (IT) hat inzwischen

Mehr

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland www.eurocloud.de Netzwerken auf Europäisch. + = 29.04.2010 EuroCloud

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

EuroCloud Deutschland Confererence

EuroCloud Deutschland Confererence www.pwc.de/cloud EuroCloud Deutschland Confererence Neue Studie: Evolution in der Wolke Agenda 1. Rahmenbedingungen & Teilnehmer 2. Angebot & Nachfrage 3. Erfolgsfaktoren & Herausforderungen 4. Strategie

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Landesbetrieb Daten und Information. Cloud-Computing im LDI

Landesbetrieb Daten und Information. Cloud-Computing im LDI Landesbetrieb Daten und Information Cloud-Computing im LDI Cloud-Strategie und IT-Sicherheit in Rheinland-Pfalz 4. Fachkongress des IT-Planungsrats am 2. und 3. Mai 2016 Agenda Anforderungskatalog Cloud

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

1 von 6 27.09.2010 09:08

1 von 6 27.09.2010 09:08 1 von 6 27.09.2010 09:08 XaaS-Check 2010 Die Cloud etabliert sich Datum: URL: 26.08.2010 http://www.computerwoche.de/2351205 Eine Online-Umfrage zeigt: Viele Unternehmen interessieren sich für das Cloud

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

IT-Infrastruktur aus der Wolke Segen oder Leid für Unternehmen? Redner: Philip Schmolling Geschäftsführer YUNICON

IT-Infrastruktur aus der Wolke Segen oder Leid für Unternehmen? Redner: Philip Schmolling Geschäftsführer YUNICON IT-Infrastruktur aus der Wolke Segen oder Leid für Unternehmen? Redner: Philip Schmolling Geschäftsführer YUNICON Agenda IaaS Wo gehört es hin? IaaS Was steckt dahinter? IaaS Server, Server, Server Segen

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

HYBRID BACKUP & RECOVERY SICHERE DATENHALTUNG IN DER CLOUD

HYBRID BACKUP & RECOVERY SICHERE DATENHALTUNG IN DER CLOUD SICHERE DATENHALTUNG IN DER CLOUD Stand: Februar 2016 INHALT 3 4 4 5 6 7 7 7 EINLEITUNG WAS IST CLOUD-COMPUTING? DOPPELTE SICHERHEIT DANK HYBRIDER DATENHALTUNG VERSCHLÜSSELUNG DIE RECHTLICHE SITUATION

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)

Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München auf Basis einer Dokumentenvorlage für Sicherheitskonzepte Felix von Eye Leibniz-Rechenzentrum, Garching bei München 18.02.2014 Leibniz-Rechenzentrum (LRZ) Rechenzentrum für Münchner Universitäten und Hochschulen

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Herzlich Willkommen! MR Cloud Forum 2012. Bayreuth

Herzlich Willkommen! MR Cloud Forum 2012. Bayreuth Herzlich Willkommen! MR Cloud Forum 2012 Bayreuth Partnerschaftlich in die IT-Zukunft /// 28.06.2012 /// Seite 1 Partnerschaftlich in die IT-Zukunft /// 28.06.2012 /// Seite 2 Cloud ist eine Unternehmens-Strategie,

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Personal- und Kundendaten Datenschutz im Einzelhandel

Personal- und Kundendaten Datenschutz im Einzelhandel Personal- und Kundendaten Datenschutz im Einzelhandel Datenschutz im Einzelhandel Im Einzelhandel stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung von

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Open Source als de-facto Standard bei Swisscom Cloud Services

Open Source als de-facto Standard bei Swisscom Cloud Services Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr