IT-Sicherheit integral betrachtet
|
|
- Berthold Roth
- vor 8 Jahren
- Abrufe
Transkript
1 expertenwissen für it-architekten, projektleiter und berater Peter Schaar: Datenschutz setzt die Spielregeln. SICHERHEIT IT-Sicherheit integral betrachtet Data Loss Protection Enterprise Wide Integration Security Sonderdruck Alles sicher oder was? für Die BSI-Sicherheitsanforderungen an Cloud-Anbieter Rechte und Rollen Zentrales Rollen- und Rechtecockpit für SOA-Applikationen Business Continuity Management Sicherung kritischer Wertschöpfungsprozesse Schatzkammer Datenbank Sicherheitsstrategien für Datenbanken
2 Cloud Computing Cloud Computing Die bsi-sicherheitsanforderungen an cloud-computing-anbieter Alles sicher oder was? Cloud Computing ist eines der großen Trendthemen in diesem Jahr. Kaum ein Produktanbieter oder Consultant, der seine Angebote nicht mit dem trendigen Begriff schmückt. Dennoch zögern viele Unternehmen noch, Cloud-Angebote ihrem IT-Portfolio hinzuzufügen. Vor allem Sicherheitsfragen lassen sie zurückhaltend agieren. Folgerichtig entstehen neue Richtlinien und Standards, die sich anschicken, die Unsicherheiten der Nutzer auszuräumen. Dieser Artikel analysiert die aktuelle Situation und stellt eine der ersten Richtlinien im deutschsprachigen Raum vor, die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter. AUTOR: UWE FRIEDRICHSEN Es gibt praktisch keinen Analysten, der Cloud Computing nicht zu einem der wichtigsten Trends dieses Jahres ausgerufen hat. Die Fachzeitschriften und einschlägigen Konferenzen sind voll von dem Thema und die Zahl der Anbieter von IT-Dienstleistungen, die sich mit diesem derzeit scheinbar magischen Wort schmücken, wächst gefühlt von Stunde zu Stunde. Cloud ist in, es herrscht (mal wieder) Goldgräberstimmung in der Branche. Alles könnte so gut sein und neuen Umsatzrekorden stünde nichts im Weg, wären da nicht die Anwender. Gerade die lukrativen Firmenkunden sind nämlich häufig recht zurückhaltend bei dem Thema Cloud Computing. Einer der Hauptgründe für diese Zurückhaltung sind ungeklärte Sicherheitsfragen bei der Nutzung von Cloud- Angeboten. So zeigt z. B. die Studie zum Thema Cloud Computing von PricewaterhouseCoopers [1], dass die Themen Informationssicherheit, Datenschutz und Compliance sehr wichtig für die Anwender von Cloud-Angeboten sind. Auch die ENSIA, die European Network and Information Security Agency, zuständig für Netzwerk- und Informationssicherheit auf EU-Ebene, sieht gerade bei öffentlichen Cloud-Angeboten insbesondere 2 bt
3 auch eine Reihe Sicherheitsrisiken, die erst adressiert werden müssen, bevor man ein solches Angebot nutzen sollte [2]. Doch wie kann man die bestehenden Unsicherheiten ausräumen und so die Kluft zwischen Anbietern und Nutzern am besten überbrücken? Ein klassisches Rezept für solche Situationen ist die Definition von Standards oder Richtlinien durch unabhängige Institutionen. Der Standard bzw. die Richtlinie macht Vorgaben bzgl. der erforderlichen Umsetzung der fraglichen Themen und dient so als eine Art Kontrakt zwischen Anbieter und Nutzer: Verpflichtet sich der Anbieter, die Vorgaben aus dem Standard/den Richtlinien zu erfüllen, ist der Nutzer bereit, das Angebot anzunehmen. Auf diese Weise ersparen es sich beide Parteien insbesondere auch, die einzelnen Vorgaben mühevoll auszuarbeiten und vertraglich zu fixieren (womit sie häufig auch inhaltlich überfordert wären), und können sich stattdessen auf einen breit akzeptierten Konsens zurückziehen. SicherheitSrichtlinien und -StanDarDS im cloud-umfeld In diesem Fall geht es also darum, Sicherheitsanforderungen an Cloud-Computing-Anbieter festzulegen. Im internationalen Raum ist z. B. die Cloud Security Alliance [3] dabei, ein Trusted Security Certification Program zu definieren. Allerdings liegt die Ankündigung mittlerweile über ein Jahr zurück und bislang findet man auf der Website nur Teilaspekte dieses umfassenden Zertifizierungsprogramms. Darüber hinaus ist die CSA ist bislang nicht in Deutschland vertreten und es ist auch nicht angekündigt, dass in naher Zukunft ein deutsches Chapter gegründet werden soll. Im deutschsprachigen Raum hat der TÜV sein Siegel Geprüfter Datenschutz [4] auf Cloud-Computing- Anbieter ausgeweitet. So hat Salesforce.com Ende vergangenen Jahres als erster Cloud-Anbieter das Siegel Geprüfter Datenschutz Cloud Computing V1.0 erhalten. Das Siegel erhält man als Ergebnis eines erfolgreichen Audits, das der TÜV durchführt. Das Audit ist eine Eigenentwicklung des TÜVs und basiert auf gesetzlichen Vorgaben wie dem Bundesdatenschutzgesetz und in diesem Zusammenhang bekannten Normen wie DIN ISO/IEC (IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen) und ISO/IEC (IT-Sicherheitsverfahren IT- Netzwerksicherheit). Die genauen Inhalte und Durchführung sind Betriebsgeheimnis des TÜVs, das man nur kennenlernt, wenn man den TÜV mit einem solchen Audit beauftragt. Da der TÜV aber daran interessiert ist, die seit vielen Jahren hohe Akzeptanz seiner Siegel zu behalten, kann man getrost davon ausgehen, dass die Zertifizierung Hand und Fuß hat und das Siegel eine entsprechende Aussagekraft. Eine weitere gewichtige Instanz im deutschsprachigen Raum zum Thema Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) [5]. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und fühlt sich für IT-Sicherheit in Deutschland verantwortlich. Mit seinem Angebot adressiert das BSI natürlich in erster Linie den öffentlichen Bereich, aber auch Unternehmen und Privatanwender. Sehr bekannt ist z. B. der BSI-Standard 100 (besser bekannt unter dem Namen IT-Grundschutz), in dem ausführlich die Etablierung eines Informationssicherheits-Managementsystems beschrieben ist, das zum DIN-ISO/IEC-Standard kompatibel ist [6]. Aber auch viele andere Themengebiete der IT hat das BSI unter Sicherheitsaspekten durchleuchtet und entsprechende Richtlinien bzw. Empfehlungen publiziert. Exemplarisch seien hier der Maßnahmenkatalog zur Sicherheit von Webanwendungen [7] oder das SOA- Security-Kompendium [8] genannt. Den Publikationen des BSI ist gemein, dass sie fast alle recht weit akzeptiert sind und einen weitestgehend normativen und standardähnlichen Charakter haben. Befolgt ein IT-Anbieter also die Vorgaben aus der entsprechenden BSI-Publikation, so ist dies in der Regel ausreichend, um mögliche Bedenken des Kunden in dem von der Publikation adressierten Bereich auszuräumen. bsi-mindestsicherheitsanforderungen Da Cloud Computing mittlerweile auch im öffentlichen Bereich immer mehr an Bedeutung gewinnt, hat sich das BSI folgerichtig auch damit auseinander gesetzt. Als Ergebnis sind die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter entstanden [9]. Zum Zeitpunkt des Schreibens dieses Artikels lag der Stand vom vor, der noch explizit als ENTWURF gekennzeichnet war. Auch wenn die BSI-Publikation noch als Entwurf gekennzeichnet und in der vorliegenden Version 17 Seiten dünn ist (die es inhaltlich allerdings in sich haben), so ist doch zu erwarten, dass sich diese Mindestsicherheitsanforderungen aufgrund der Stellung des BSI als ein möglicher Standardkontrakt zwischen Anbietern und Nutzern von Cloud-Dienstleistungen in Deutschland entwickeln werden. Aus diesem Grund möchte ich dieses Richtliniendokument im weiteren Verlauf meines Artikels genauer vorstellen und kritisch analysieren. Das Dokument beginnt mit ein paar allgemeinen Definitionen zum Thema Cloud, auf die ich hier nicht näher eingehen möchte. Dann wird der designierte Geltungsbereich der Richtlinien beschrieben: Die bt
4 Richtlinien adressieren sowohl IaaS (Infrastructure as a Service; Hardware wie z. B. Speicher, Netze, CPU), PaaS (Platform as a Service; Laufzeitumgebung und ggf. Entwicklungsumgebung, häufig verbunden mit der Bereitstellung höherwertiger Funktionen wie z. B. Mandantenfähigkeit, Zugriffskontrolle, einheitliche Persistenzabstraktion) als auch SaaS (Software as a Service; komplette Anwendungen), also praktisch alle derzeit relevanten Arten von Cloud-Angeboten. Außerdem werden Informationen mit einem Vertraulichkeitsbedarf im normalen bis hohen Schutzbereich adressiert, was für die meisten Informationen im Unternehmensumfeld zutreffen dürfte. Zusammenfassend lässt sich festhalten, dass das Dokument damit nahezu alle Cloud-Szenarien im normalen Unternehmensumfeld abdecken dürfte. Im nächsten Schritt werden die formulierten Anforderungen in drei Kategorien unterteilt: B (= Basisanforderung) umfasst Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden Vt+ (= Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die bei Daten mit hohem Vertraulichkeitsbedarf realisiert werden sollen Vf+ (= Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die bei hohem Verfügbarkeitsbedarf realisiert werden sollen Ich werde mich in diesem Dokument auf die Basisanforderungen beschränken, weil das wahrscheinlich das Set an Anforderungen sein wird, das am häufigsten für Kontrakte zwischen Anbietern und Nutzern verwendet werden wird. Außerdem machen die Basisanforderungen knapp 80 % der formulierten Anforderungen aus. Insgesamt sind nämlich 74 der 93 formulierten Anforderungen Basisanforderungen. Die Anforderungen verteilen sich zum größten Teil auf die im Folgenden aufgezählten Kernthemengebiete: Sicherheitsmanagement beim Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Monitoring und Security Incident Management Notfallmanagement Sicherheitsprüfung und -nachweis Anforderungen an das Personal Transparenz Organisatorische Anforderungen Kontrollmöglichkeiten für Nutzer Portabilität von Daten und Anwendungen Interoperabilität Datenschutz/Compliance Zusätzlich beziehen sich noch einige wenige Anforderungen (genauer: fünf Basisanforderungen und eine Zusatzanforderung) auf die folgenden zusätzlichen Themengebiete: Cloud-Zertifizierung Zusatzforderungen an Public-Cloud-Anbieter für die Bundesverwaltung Im weiteren Verlauf des Artikels werde ich die Anforderungen der Kernthemengebiete genauer betrachten. Sicherheitsmanagement beim Anbieter Für diesen Bereich formuliert das BSI die folgenden Basisanforderungen: Definiertes Vorgehensmodell aller IT-Prozesse (z. B. nach ITIL, COBIT) Implementation eines anerkannten Informationssicherheits-Managementsystems (z. B. BSI-Standard (IT-Grundschutz), ISO 27001) Erstellung eines IT-Sicherheitskonzepts für die Cloud Hintergrund für diese Anforderungen ist die Behauptung, dass eine adäquate Sicherheit entsprechend ausdefinierte Prozesse als Grundvoraussetzung hat. Das sind Anforderungen, denen ich nicht so ohne Weiteres zustimmen würde. Zunächst bin ich ein Anhänger des agilen Lagers. Eine Grundidee der Agilität ist vereinfacht ausgedrückt, dass Hirn anschalten explizit erwünscht ist. Bis ins Detail geregelte Prozesse sind meiner Erfahrung nach eine beliebte Ausrede dafür, nicht zu denken. Man kann sich so schön hinter den Prozessen verstecken. Ich frage in solchen Situationen gerne etwas provokativ, wem man mehr vertraut: einigen denkenden, sicherheitsbewussten Personen oder einem Rudel ferngesteuerter Prozess-Zombies? Natürlich ist das etwas überspitzt, aber ich denke, man sollte sich die Frage trotzdem einmal ernsthaft stellen, bevor man reflexartig nach Prozessen als Lösung für alle Probleme ruft. Außerdem spielt für mich eine große Rolle, mit was für einem Anbieter von Cloud-Dienstleistungen man es zu tun hat. Habe ich es mit einem richtig großen Anbieter zu tun oder vielleicht mit einem innovativen kleinen Start-up, das eine richtig pfiffige Lösung an den Markt bringt? Während bei dem großen Anbieter wahrscheinlich schon die schiere Menge beteiligter Personen eine gewisse Standardisierung der Prozesse erfordert, würde bei dem kleinen Start-up die Definition der Prozesse schon das gesamte Startkapital verschlingen. Natürlich muss auch das kleine Unternehmen sicherstellen, dass 4 bt
5 BUSINESS CASE FÜR AGILITÄT: die Agile Software Factory der codecentric AG.
6 die notwendige Sicherheit gewährleistet ist. Aber ob man dafür gleich die ITIL/COBIT/ISO Keule herausholen muss oder ob das nicht auch mit anderen Mitteln möglich ist, sei einmal dahingestellt. Sicherheitsarchitektur Wie nicht anders zu erwarten, geht es in diesem Bereich richtig zur Sache. Hier versammeln sich insgesamt 32 der insgesamt 93 Anforderungen, 26 davon sind Basisanforderungen. Primär geht es um eine durchgängige Sicherheitsarchitektur von der Zugangskontrolle zum Rechenzentrum über saubere Mandantentrennung bis hin zum verschlüsselten Zugriff auf das Cloud-Angebot. Hier sind exemplarisch die wichtigsten Anforderungen aufgelistet: Redundante Auslegung aller wichtigen Versorgungskomponenten (Strom, Klimatisierung der RZ, Internetanbindung etc.) Kontrollierte Zugangskontrolle für das Rechenzentrum Sicherheitsmaßnahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz etc.) Sicherheitsmaßnahmen gegen netzbasierte Angriffe (IPS/IDS-Systeme, Firewall etc.) Fernadministration durch einen sicheren Kommunikationskanal (SSH, SSL, IPsec, VPN etc.) Sichere Default-Konfiguration des Hosts (z. B. Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste etc.) Sichere Isolierung und Kapselung der Anwendungen Konfigurationsmanagement Patch- und Änderungsmanagement (zügiges Einspielen von Patches, Updates, Service Packs) sowie Release Management Sicherstellung der Patch-Verträglichkeit auf Testsystem vor Einspielen in Wirkbetrieb Sichere Isolierung der Kundendaten (virtuelle Speicherbereiche, Tagging etc.) Regelmäßige Datensicherung und Möglichkeit der Datenwiederherstellung (außer nach Löschung) muss gesichert sein (z. B. redundante Replikate, evtl. auch Kundentests) Datenarchivierung nach einschlägigen Gesetzen bzw. Bestimmungen Verschlüsselte Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer (TLS/SSL) Verschlüsselte Kommunikation zwischen Cloud-Computing-Standorten Verschlüsselte Kommunikation mit dritten Cloud- Service-Anbietern, falls diese für das eigene Angebot notwendig sind Die Umsetzung der hier aufgezählten Anforderungen sollte eigentlich selbstverständlich sein, wird aber gerne einmal vergessen. Deshalb ist es auch sehr sinnvoll, dass diese Anforderungen noch einmal explizit aufgeführt sind. Dazu gesellen sich in dem Bereich einige weitere Anforderungen wie eine 24/7-Überwachung des Zugangs inkl. Videoüberwachungssystemen mit Bewegungssensoren und Sicherheitspersonal, Einsatz von Host-based-Intrusion-Detection-Systemen oder die regelmäßige Durchführung von Vulnerability-Tests. Das sind für sich gesehen auch alles sinnvolle Anforderungen, nur bin ich der Meinung, dass man hier fallweise beurteilen muss, ob es wirklich Mindestanforderungen sind oder eher erweiterte Anforderungen. ID- und Rechtemanagement In diesem Bereich geht es im Kern um ein sicheres ID- Management, eine angemessen starke Authentisierung sowie ein restriktives Rechtemanagement zur Vermeidung unnötiger Risiken. Im Detail sind die folgenden Basisanforderungen formuliert worden: Sichere Identifikation der Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Starke Authentisierung (z. B. Zweifaktor-Authentisierung) für Administratoren des Cloud-Anbieters Zugriffskontrolllisten für Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Regelmäßige Kontrolle und Aktualisierung der Zugriffskontrolllisten Least Privilege Model (Nutzer bzw. Administratoren sollen nur die Rechte besitzen, die sie zur Erfüllung ihrer Aufgabe benötigen) Alle hier genannten Anforderungen sind unbedingt sinnvoll. Gerade die zweite Anforderung bzgl. starker Authentisierung von Administratoren möchte ich noch einmal hervorheben, da eine solche Maßnahme häufig nicht umgesetzt wird, obwohl damit das allgemeine Sicherheitsniveau auf einfache Weise deutlich verbessert werden kann. Monitoring und Security Incident Management Die Anforderungen dieses Bereichs würde ich wieder etwas differenzierter bewerten. So sollten folgende Anforderungen durchaus immer umgesetzt werden: 24/7-Überwachung der Cloud (z. B. Verfügbarkeit der Services bzw. Ressourcen) Logdatenerfassung und -auswertung (z. B. Systemstatus, fehlgeschlagene Authentisierungsversuche etc.) 6 bt
7 24/7-erreichbares, handlungsfähiges Cloud-Management und Trouble-Shooting Verfügbarkeit der Services überwachen und messen, Messergebnisse den Kunden zur Verfügung stellen Die folgende Anforderung ist hingegen nicht unbedingt für jedermann eine Basisanforderung: Einbindung in die CERT-Strukturen und in das nationale IT-Krisenmanagement Dazu kommen noch Pauschalanforderungen wie: Anbieter stellt sicher, dass auf Angriffe, die aus der Cloud heraus durchgeführt werden, 24/7 reagiert werden kann Anbieter stellt sicher, dass interne Angriffe von Cloud- Nutzern auf andere Cloud-Nutzer erkannt werden Das klingt toll und jeder ist erst einmal geneigt, reflexartig zu nicken. Ich frage mich bei diesen Anforderungen aber zum einen, wie man sie zuverlässig umsetzen soll, und bezweifle zum anderen, dass ein Anbieter die Erfüllung einer solchen Anforderung wirklich hundertprozentig garantieren kann. Deshalb empfehle ich an der Stelle sicherheitshalber aktives Nachdenken, in welchem Umfang man diesen Anforderungen realistisch betrachtet nachkommen kann, anstatt sie blind zu übernehmen. Notfallmanagement Dieser Bereich lässt sich schnell abhandeln. Es gibt zwei Basisanforderungen: Der Cloud-Anbieter muss ein Notfallmanagement implementieren. Regelmäßige Übungen (z. B. Ausfall eines Cloud- Computing-Standorts) Dazu gibt es nicht viel zu sagen: Ja, macht Sinn, sollte man haben und die regelmäßigen Übungen sind extrem hilfreich, damit es einem nicht so ergeht wie den Leuten, die regelmäßig Datensicherungen machen und dann beim ersten Datenverlust feststellen, dass sich ein Fehler im Sicherungsskript eingeschlichen hatte und die Daten nicht mehr hergestellt werden können. Sicherheitsprüfung und -nachweis In diesem Bereich geht es um regelmäßige Sicherheitsprüfungen. Entsprechend gibt es drei Basisanforderungen: 1. Der Cloud-Anbieter muss dem Cloud-Nutzer regelmäßig berichten über Sicherheitsmaßnahmen, Änderungen im IT-Sicherheitsmanagement, über Sicherheitsvorfälle, über die Ergebnisse durchgeführter IS-Revisionen und Penetrationstests. Auch im Falle einer drohenden Insolvenz ist der Cloud-Nutzer zu unterrichten. Regelmäßige Penetrationstests Regelmäßige Penetrationstests bei Subunternehmen Auch hier gilt: Ja, sinnvolle Anforderungen, wobei aus meiner Sicht bei den letzten zwei Anforderungen fallweise überlegt werden muss, wie häufig und in welchem Umfang diese Maßnahmen umgesetzt werden müssen. Anforderungen an das Personal Die Anforderungen dieses Bereichs sind aus meiner Sicht wieder etwas durchwachsen: Vertrauenswürdiges Personal Ausbildung der Mitarbeiter des Cloud-Anbieters (regelmäßige Schulung) Sensibilisierung der Mitarbeiter des Cloud-Anbieters für Informationssicherheit und Datenschutz Verpflichtung der Mitarbeiter auf Datenschutz, Sicherheitsmaßnahmen, Vertraulichkeit der Kundendaten Die zweite und dritte Anforderung halte ich für sehr sinnvoll. Die erste und die letzte Anforderung sind für meinen Geschmack allerdings eher Pauschalanforderungen, denen man zwar gerne nachkommen kann, von denen ich aber stark bezweifle, dass sie in der Praxis einen realen Einfluss auf die Sicherheit haben. Transparenz Das ist wieder ein Bereich, der schnell abgehandelt werden kann. Hier gibt es die folgenden Basisanforderungen: Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Regelmäßige Unterrichtung über Änderungen (z. B. neue oder angekündigte Funktionen, neue Subunternehmer; andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud-Anbieter auf Seiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse/-risiken bt
8 Das sind absolut sinnvolle Anforderungen, deren Umsetzung m. E. eigentlich selbstverständlich sein sollte (aber trotzdem gerne vergessen wird). organisatorische anforderungen In diesem Bereich geht es primär um das explizite Festschreiben der Sicherheitsleistungen im Rahmen eines SLA (Service Level Agreement). Entsprechend gibt es die folgenden Basisanforderungen: Definierte Sicherheitsleistungen durch Security SLA oder im SLA deutlich hervorgehoben Einsicht in Security SLA bzw. SLA von Subunternehmern Rahmenbedingungen zur Gültigkeit des SLA aufführen (z. B. keine Verpflichtung zur Leistungserbringung aufgrund höherer Gewalt) Dazu gibt es nicht viel zu sagen. Ein SLA sollte eigentlich immer von einem Cloud-Anbieter bereitgestellt werden und darin sollten auch die Sicherheitsleistungen klar beschrieben sein. kontrollmöglichkeiten für nutzer Dieser Bereich bezieht sich direkt auf den vorhergehenden Bereich. Hier gibt es eine Basisanforderung: Kunden sollen die Möglichkeit haben, die Einhaltung der SLAs zu überwachen, indem beispielsweise die Qualität der angebotenen Services überwacht wird. Für seriöse Cloud-Anbieter sollte das selbstverständlich sein. Ich sehe die Anforderung auch eher im Bereich Transparenz: Es sollten nicht irgendwelche ominösen Kontrollmöglichkeiten angeboten werden, sondern eine durchgängige, für den Nutzer gut nachvollziehbare Transparenz aller für ihn wichtigen Bereiche. portabilität Von Daten und anwendungen Hier kommen wir zu einem schwierigen Thema, der Vermeidung des Vendor Lock-in. Während die Anbieter von Dienstleistungen verständlicherweise kein besonderes Interesse an dem Thema haben, ist es den Nutzern (ebenso verständlicherweise) in der Regel sehr wichtig. Hier besteht bei den aktuellen Cloud-Angeboten in vielen Fällen noch Nachholbedarf. Während der Import von Daten meistens ziemlich problemlos möglich ist, gestaltet sich der Export von Daten häufig sehr schwierig bis nahezu unmöglich. Die genauen Anforderungen in dem Bereich sind: Import und Export der Daten in einem geeigneten Format Anwendungen müssen plattformunabhängig sein (nur SaaS) Bei der ersten Anforderung ist meine Empfehlung, dieser als Anbieter auch jetzt schon nachzukommen. Auch wenn zurzeit noch eine gewisse Goldgräberstimmung im Cloud-Bereich herrscht, so wird erfahrungsgemäß doch sehr bald eine Marktkonsolidierung einsetzen und dann bekommt eine solche Anforderung ein ganz anderes Gewicht als noch heute. Die zweite Anforderung finde ich etwas unsinnig (oder ich verstehe sie falsch, was natürlich nicht auszuschließen ist): Wenn ich ein SaaS-Angebot nutze, dann interessiert mich nicht, auf welcher Plattform die Anwendung läuft. Ich möchte ggf. mit meinen Daten auf einfache Weise zu einem anderen SaaS-Angebot eines anderen Cloud-Anbieters wechseln können, aber mir ist herzlich egal, ob die Anwendung an sich auf eine andere Plattform umziehen kann. Das ist ja einer der Gründe, warum ich ein SaaS-Angebot nutze: Ich will mir um solche Dinge keine Gedanken mehr machen. Vielleicht wird diese Anforderung mit der nächsten Version des Dokuments aber auch noch einmal überarbeitet und etwas klarer formuliert. interoperabilität In diesem Bereich geht es um die Interoperabilität zwischen verschiedenen Cloud-Computing-Plattformen sowie ggf. den eigenen Anwendungen. Entsprechend gibt es eine Anforderung in dem Bereich: Standardisierte oder offengelegte Schnittstellen (API und Protokolle). Dazu gibt es nicht viel zu sagen: Ja, das ist eine absolut sinnvolle Anforderung. DatenSchutz/compliance In diesem Bereich geht es um die Einhaltung der Compliance-Anforderungen des Nutzers im Allgemeinen und um die Einhaltung des Bundesdatenschutzgesetzes (BDSG) für personenbezogene Daten im Speziellen. Die konkreten Anforderungen dazu sind: Gewährleistung des Datenschutzes nach deutschem Recht Datenschutzrichtlinien und -gesetze, denen der Cloud- Nutzer unterliegt, müssen eingehalten werden Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten innerhalb der oben genannten Staaten gewährleisten können Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden. Die re- 8 bt
9
10 levanten Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit Diese Anforderungen sind für meinen Geschmack wieder von sehr unterschiedlicher Qualität. Die erste Anforderung ist eindeutig, da gibt es nichts zu diskutieren. Auch an der dritten und vierten Anforderung kommt man wahrscheinlich nicht vorbei, wenn man die rechtlichen Rahmenbedingungen bzgl. der Verarbeitung personenbezogener Daten sicher einhalten möchte. Bei der fünften Anforderung (die mit den Kontrollrechten für den Cloud-Nutzer) handelt es sich wieder um eine Pauschalanforderung, bei der gar nicht klar ist, wie man sie auf sinnvolle Weise und mit vertretbarem Aufwand umsetzen kann. Die meisten Probleme habe ich aber mit der zweiten und der letzten Anforderung. Diese sind mir (wie häufig im Umfeld von Sicherheitsanforderungen anzutreffen) extrem zugunsten der Nutzer formuliert: Die Probleme des Nutzers werden einfach pauschal auf den Anbieter abgewälzt. Es interessiert nicht, ob das Angebot überhaupt für die Compliance-Anforderungen des Nutzers ausgelegt ist, der Anbieter hat das bitte schön sicherzustellen. Das erweist sich zwar als sehr angenehm für den Nutzer und sicherlich ist die Anforderung daher auch auf Nutzerseite entsprechend beliebt, aber zumindest für unabhängige Cloud-Anbieter nicht wirklich fair. Wäre es nicht wesentlich sinnvoller, wenn der Cloud- Anbieter im Rahmen seiner Angebotsbeschreibung darstellt, welche rechtlichen Rahmenbedingungen er mit seinem Angebot erfüllt, und der Nutzer diese Beschreibung dann daraufhin prüft, ob sie für seine speziellen Compliance-Anforderungen ausreichend ist? Natürlich sind Abstimmungen und Verhandlungen über die zusätzliche Zusicherung weiterer rechtlicher Anforderungen jederzeit möglich, aber diese einseitige Anforderung würde ich als Cloud-Anbieter sicherlich nicht blanko unterschreiben, da sie für mich ein unkalkulierbares Risiko darstellen würde. Zusammenfassung Im Bereich Cloud Security ist derzeit eine Menge Bewegung. Es wurde erkannt, dass dieses Thema zufriedenstellend für die Cloud-Nutzer geregelt werden muss, damit diese ihre noch zögerliche Haltung aufgeben. Entsprechend gibt es mittlerweile die ersten Richtlinien und Zertifizierungsangebote unabhängiger Institutionen. Stellvertretend wurden in diesem Artikel die Mindestsicherheitsanforderungen für Cloud-Anbieter des BSI genauer analysiert, die derzeit als Entwurf vorliegen. Das Ergebnis der Analyse ist gemischt. Die meisten der Anforderungen sind absolut sinnvoll, bei vielen sollte die Umsetzung eigentlich selbstverständlich sein. Entsprechend ist es gut, dass diese Anforderungen durch eine unabhängige Institution wie das BSI einmal zusammengetragen und explizit festgehalten worden sind. Allerdings sind auch einige durchaus diskussionswürdige Anforderungen in dem Dokument formuliert worden, die man noch einmal kritisch hinterfragen sollte. Gerade als Anbieter von Cloud-Dienstleistungen sollte man die Anforderungen noch einmal genau prüfen, da einige der Anforderungen sehr pauschal und zugunsten der Nutzer formuliert sind und es je nach Situation durchaus fraglich ist, ob eine Umsetzung der Anforderungen in der beschriebenen Form wirklich notwendig (bzw. überhaupt möglich) ist. Zusammenfassend lässt sich sagen, dass die Standardisierungsbemühungen im Bereich Cloud Security auf einem guten Weg sind, im Detail aber durchaus noch Verbesserungspotenzial besteht. Uwe Friedrichsen hat langjährige Erfahrungen als Architekt, Projektleiter und Berater. Aktuell ist er bei der codecentric AG als CTO tätig und beschäftigt sich in dem Kontext insbesondere mit agilen Verfahren und neuen Architekturansätzen und Technologien wie z. B. Cloud Computing. Links & Literatur [1] Cloud Computing Navigation in der Wolke, de/de_de/de/prozessoptimierung/assets/cloudcomputingstudie.pdf [2] Security and Resilience in Governmental Clouds, enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds [3] Cloud Security Alliance, [4] TÜV Rheinland, Datenschutz Zertifizierung für Unternehmen, [5] Bundesamt für Sicherheit in der Informationstechnik, [6] IT-Grundschutz-Standards, html [7] Sicherheit von Webanwendungen Maßnahmenkatalog und Best Practices, pdf? blob=publicationfile [8] SOA-Security-Kompendium Sicherheit in Service-orientierten Architekturen, Version 2.0, [9] BSI-Mindestsicherheitsanforderungen an Cloud-Computing- Anbieter, Stand (ENTWURF), de/shareddocs/downloads/de/bsi/publikationen/sonstige/ Cloud_Computing_Mindestsicherheitsanforderungen.pdf? blob=publicationfile#download=1 10 bt
11 Notizen: bt
12 codecentric AG Kölner Landstraße Düsseldorf Tel: +49 (0) Fax: +49 (0) info(at)codecentric.de blog.codecentric.de
BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter
BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrAnforderungen für sicheres Cloud Computing
Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrPersönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl
Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut Von Susanne Göbel und Josef Ströbl Die Ideen der Persönlichen Zukunftsplanung stammen aus Nordamerika. Dort werden Zukunftsplanungen schon
MehrLernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation
Lernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation Einführung Mit welchen Erwartungen gehen Jugendliche eigentlich in ihre Ausbildung? Wir haben zu dieser Frage einmal die Meinungen von Auszubildenden
MehrDer beste Plan für Office 365 Archivierung.
Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrThema: Microsoft Project online Welche Version benötigen Sie?
Seit einiger Zeit gibt es die Produkte Microsoft Project online, Project Pro für Office 365 und Project online mit Project Pro für Office 365. Nach meinem Empfinden sind die Angebote nicht ganz eindeutig
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrAlle gehören dazu. Vorwort
Alle gehören dazu Alle sollen zusammen Sport machen können. In diesem Text steht: Wie wir dafür sorgen wollen. Wir sind: Der Deutsche Olympische Sport-Bund und die Deutsche Sport-Jugend. Zu uns gehören
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
Mehrinfach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock
infach Ihr Weg zum finanzellen Erfolg Geld Florian Mock FBV Die Grundlagen für finanziellen Erfolg Denn Sie müssten anschließend wieder vom Gehaltskonto Rückzahlungen in Höhe der Entnahmen vornehmen, um
MehrDas Leitbild vom Verein WIR
Das Leitbild vom Verein WIR Dieses Zeichen ist ein Gütesiegel. Texte mit diesem Gütesiegel sind leicht verständlich. Leicht Lesen gibt es in drei Stufen. B1: leicht verständlich A2: noch leichter verständlich
MehrL10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016
L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016 Referentin: Dr. Kelly Neudorfer Universität Hohenheim Was wir jetzt besprechen werden ist eine Frage, mit denen viele
Mehrgeben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen
geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Vollständigkeit halber aufgeführt. Gehen wir einmal davon aus, dass die von uns angenommenen 70% im Beispiel exakt berechnet sind. Was würde
MehrIT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung
IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für ihre Entscheidung Entdecken Sie was IT Sicherheit im Unternehmen bedeutet IT Sicherheit
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrSie werden sehen, dass Sie für uns nur noch den direkten PDF-Export benötigen. Warum?
Leitfaden zur Druckdatenerstellung Inhalt: 1. Download und Installation der ECI-Profile 2. Farbeinstellungen der Adobe Creative Suite Bitte beachten! In diesem kleinen Leitfaden möchten wir auf die Druckdatenerstellung
MehrGeld Verdienen im Internet leicht gemacht
Geld Verdienen im Internet leicht gemacht Hallo, Sie haben sich dieses E-book wahrscheinlich herunter geladen, weil Sie gerne lernen würden wie sie im Internet Geld verdienen können, oder? Denn genau das
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrCloud-Computing. Selina Oertli KBW 28.10.2014
2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrCatherina Lange, Heimbeiräte und Werkstatträte-Tagung, November 2013 1
Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November 2013 1 Darum geht es heute: Was ist das Persönliche Geld? Was kann man damit alles machen? Wie hoch ist es? Wo kann man das Persönliche Geld
MehrVerpasst der Mittelstand den Zug?
Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer
MehrWas meinen die Leute eigentlich mit: Grexit?
Was meinen die Leute eigentlich mit: Grexit? Grexit sind eigentlich 2 Wörter. 1. Griechenland 2. Exit Exit ist ein englisches Wort. Es bedeutet: Ausgang. Aber was haben diese 2 Sachen mit-einander zu tun?
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrCloud Security geht das?
Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cloud Security geht das? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 Sicherheit in der Cloud geht das? im Prinzip ja aber @-yet GmbH,
MehrWelchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte
Welchen Weg nimmt Ihr Vermögen Unsere Leistung zu Ihrer Privaten Vermögensplanung Wir machen aus Zahlen Werte Ihre Fragen Ich schwimme irgendwie in meinen Finanzen, ich weiß nicht so genau wo ich stehe
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrDie Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?
Die Online-Meetings bei den Anonymen Alkoholikern zum Thema Online - Meetings Eine neue Form der Selbsthilfe? Informationsverhalten von jungen Menschen (Quelle: FAZ.NET vom 2.7.2010). Erfahrungen können
MehrAdobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost
Adobe Photoshop Lightroom 5 für Einsteiger Bilder verwalten und entwickeln Sam Jost Kapitel 2 Der erste Start 2.1 Mitmachen beim Lesen....................... 22 2.2 Für Apple-Anwender.........................
MehrMeet the Germans. Lerntipp zur Schulung der Fertigkeit des Sprechens. Lerntipp und Redemittel zur Präsentation oder einen Vortrag halten
Meet the Germans Lerntipp zur Schulung der Fertigkeit des Sprechens Lerntipp und Redemittel zur Präsentation oder einen Vortrag halten Handreichungen für die Kursleitung Seite 2, Meet the Germans 2. Lerntipp
MehrChancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft. Rede Hans-Joachim Otto Parlamentarischer Staatssekretär
Chancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft Rede Hans-Joachim Otto Parlamentarischer Staatssekretär Veranstaltung der Microsoft Deutschland GmbH in Berlin
MehrMehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!
Peter von Karst Mehr Geld verdienen! So gehen Sie konkret vor! Ihre Leseprobe Lesen Sie...... wie Sie mit wenigen, aber effektiven Schritten Ihre gesteckten Ziele erreichen.... wie Sie die richtigen Entscheidungen
MehrWelches Übersetzungsbüro passt zu mir?
1 Welches Übersetzungsbüro passt zu mir? 2 9 Kriterien für Ihre Suche mit Checkliste! Wenn Sie auf der Suche nach einem passenden Übersetzungsbüro das Internet befragen, werden Sie ganz schnell feststellen,
MehrRohstoffanalyse - COT Daten - Gold, Fleischmärkte, Orangensaft, Crude Oil, US Zinsen, S&P500 - KW 07/2009
MikeC.Kock Rohstoffanalyse - COT Daten - Gold, Fleischmärkte, Orangensaft, Crude Oil, US Zinsen, S&P500 - KW 07/2009 Zwei Märkte stehen seit Wochen im Mittelpunkt aller Marktteilnehmer? Gold und Crude
MehrBeraten statt prüfen Betrieblicher Datenschutzbeauftragter
Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten
MehrPersonal- und Kundendaten Datenschutz in Werbeagenturen
Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von
Mehrrobotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand: 28.05.2014
robotron*e count robotron*e sales robotron*e collect Anwenderdokumentation Version: 2.0 Stand: 28.05.2014 Seite 2 von 5 Alle Rechte dieser Dokumentation unterliegen dem deutschen Urheberrecht. Die Vervielfältigung,
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrAnleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung
Anleitung zur Daten zur Datensicherung und Datenrücksicherung Datensicherung Es gibt drei Möglichkeiten der Datensicherung. Zwei davon sind in Ges eingebaut, die dritte ist eine manuelle Möglichkeit. In
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrAnmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)
Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv) Über den Link https://www.edudip.com/academy/dbv erreichen Sie unsere Einstiegsseite: Hier finden Sie die Ankündigung unseres
Mehr40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.
40-Tage-Wunder- Kurs Umarme, was Du nicht ändern kannst. Das sagt Wikipedia: Als Wunder (griechisch thauma) gilt umgangssprachlich ein Ereignis, dessen Zustandekommen man sich nicht erklären kann, so dass
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrIT-Trend-Befragung Xing Community IT Connection
IT-Trend-Befragung Xing Community IT Connection Parameter der Befragung Befragt wurde die Xing-Gruppe IT-Security, 52.827 Mitglieder Laufzeit 16. 22.05.2011 (7 Tage) Vollständig ausgefüllte Fragebögen:
MehrONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele
ONLINE-AKADEMIE Ziele Wenn man von Menschen hört, die etwas Großartiges in ihrem Leben geleistet haben, erfahren wir oft, dass diese ihr Ziel über Jahre verfolgt haben oder diesen Wunsch schon bereits
MehrBSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter
BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Stand 27.09.2010 ENTWURF BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter - ENTWURF Seite 1 von 17 Bundesamt für Sicherheit
MehrDer Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.
Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre. 14. Juli 2015. Der Tag, an dem in Ihrem Unternehmen das Licht ausgehen könnte. An diesem Tag stellt
Mehr1. Was ihr in dieser Anleitung
Leseprobe 1. Was ihr in dieser Anleitung erfahren könnt 2 Liebe Musiker, in diesem PDF erhaltet ihr eine Anleitung, wie ihr eure Musik online kostenlos per Werbevideo bewerben könnt, ohne dabei Geld für
MehrNINA DEISSLER. Flirten. Wie wirke ich? Was kann ich sagen? Wie spiele ich meine Stärken aus?
NINA DEISSLER Flirten Wie wirke ich? Was kann ich sagen? Wie spiele ich meine Stärken aus? Die Steinzeit lässt grüßen 19 es sonst zu erklären, dass Männer bei einer Möglichkeit zum One-Night-Stand mit
MehrStammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing
Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrDie Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.
In einer Website haben Seiten oft das gleiche Layout. Speziell beim Einsatz von Tabellen, in denen die Navigation auf der linken oder rechten Seite, oben oder unten eingesetzt wird. Diese Anteile der Website
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrProfessionelle Seminare im Bereich MS-Office
Der Name BEREICH.VERSCHIEBEN() ist etwas unglücklich gewählt. Man kann mit der Funktion Bereiche zwar verschieben, man kann Bereiche aber auch verkleinern oder vergrößern. Besser wäre es, die Funktion
MehrOLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98
OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98 Neue Version: Outlook-Termine, Kontakte, Mails usw. ohne Exchange-Server auf mehreren Rechnern nutzen! Mit der neuesten Generation intelligenter
MehrEuroCloud Deutschland Confererence
www.pwc.de/cloud EuroCloud Deutschland Confererence Neue Studie: Evolution in der Wolke Agenda 1. Rahmenbedingungen & Teilnehmer 2. Angebot & Nachfrage 3. Erfolgsfaktoren & Herausforderungen 4. Strategie
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrBitte beantworten Sie die nachfolgenden Verständnisfragen. Was bedeutet Mediation für Sie?
Bearbeitungsstand:10.01.2007 07:09, Seite 1 von 6 Mediation verstehen Viele reden über Mediation. Das machen wir doch schon immer so! behaupten sie. Tatsächlich sind die Vorstellungen von dem, was Mediation
MehrPrivate oder public welche Cloud ist die richtige für mein Business? 07.03.2013 / Klaus Nowitzky, Thorsten Göbel
Private oder public welche Cloud ist die richtige für mein Business? 07.03.2013 / Klaus Nowitzky, Thorsten Göbel Zur Biografie: Thorsten Göbel... ist Leiter Consulting Services bei PIRONET NDH verfügt
MehrRatgeber Stromanbieter wechseln
Version 1.0 22. September 2015 Ratgeber Stromanbieter wechseln Wechseln ohne Risiko: So finden Sie den passenden Stromanbieter! In diesem Ratgeber werden die folgenden Fragen beantwortet: Wie finde ich
Mehr6 Beiträge zum Platz "Steuerberater Kanzlei Schelly - Hamburg Nord" auf Deutsch. robzim Hamburg 1 Beitrag. Kommentieren 1 Kommentar zu diesem Beitrag
6 Beiträge zum Platz "Steuerberater Kanzlei Schelly - Nord" auf Deutsch robzim Beitrag zu Steuerberater Kanzlei Schelly - Nord vom 20 August 2013 Mein Steuerberater in - Mein Beitrag wurde von Qype nicht
MehrDow Jones am 13.06.08 im 1-min Chat
Dow Jones am 13.06.08 im 1-min Chat Dieser Ausschnitt ist eine Formation: Wechselstäbe am unteren Bollinger Band mit Punkt d über dem 20-er GD nach 3 tieferen Hoch s. Wenn ich einen Ausbruch aus Wechselstäben
MehrBehindert ist, wer behindert wird
Behindert ist, wer behindert wird Alle Menschen müssen lernen, dass Menschen mit Behinderungen gleichberechtigt sind Auf der ganzen Welt leben sehr viele Menschen mit Behinderungen: über 1 Milliarde Menschen
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
Mehrchancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing
chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing 1 rechtliche herausforderungen Cloudcomputing Vertrags- und Haftungsrecht Absicherung, dass Cloudanbieter entsprechende wirksame
MehrDie neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:
Die neue Aufgabe von der Monitoring-Stelle Das ist die Monitoring-Stelle: Am Deutschen Institut für Menschen-Rechte in Berlin gibt es ein besonderes Büro. Dieses Büro heißt Monitoring-Stelle. Mo-ni-to-ring
MehrMANAGED BUSINESS CLOUD. Individuell. Flexibel. Sicher.
MANAGED BUSINESS CLOUD Individuell. Flexibel. Sicher. Cloud Computing gewinnt immer mehr an Bedeutung und begegnet uns heute fast täglich. Neben der Möglichkeit IT-Kosten zu senken, stellen sich viele
MehrSolBenefit. Photovoltaik- Anlagen- Betrachtung und -Auswertung
SolBenefit - Photovoltaik- Anlagen- Betrachtung und -Auswertung Der Anlagenbetreiber einer Photovoltaik-Anlage kurz Anlage genannt will wissen, wie sich die Einspeisung, die Sonneneinstrahlung, die Kosten
MehrSoftware-Validierung im Testsystem
Software-Validierung im Testsystem Version 1.3 Einleitung Produktionsabläufe sind in einem Fertigungsbetrieb ohne IT unvorstellbar geworden. Um eine hundertprozentige Verfügbarkeit des Systems zu gewährleisten
MehrIRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken
Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis
MehrJeunesse Autopiloten
Anleitung für Jeunesse Partner! Wie Du Dir mit dem Stiforp-Power Tool Deinen eigenen Jeunesse Autopiloten erstellst! Vorwort: Mit dem Stiforp Power Tool, kannst Du Dir für nahezu jedes Business einen Autopiloten
MehrAnleitung über den Umgang mit Schildern
Anleitung über den Umgang mit Schildern -Vorwort -Wo bekommt man Schilder? -Wo und wie speichert man die Schilder? -Wie füge ich die Schilder in meinen Track ein? -Welche Bauteile kann man noch für Schilder
MehrEinführung und Motivation
Einführung und Motivation iks-thementag: Requirements Engineering 16.11.2010 Autor Carsten Schädel Motto Definiere oder Du wirst definiert. Seite 3 / 51 These Im Privatleben definiert jeder (seine) Anforderungen.
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrStatuten in leichter Sprache
Statuten in leichter Sprache Zweck vom Verein Artikel 1: Zivil-Gesetz-Buch Es gibt einen Verein der selbstbestimmung.ch heisst. Der Verein ist so aufgebaut, wie es im Zivil-Gesetz-Buch steht. Im Zivil-Gesetz-Buch
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrWorkshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren
mit:, Dr. Undine von Diemar, LL.M. (Michigan), Worum es geht Cloud Computing" ist als ein sehr erfolgreiches Geschäftsmodell für die Nutzung von IT- Infrastruktur über das Internet in aller Munde: Virtuelle,
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrSoftware zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)
Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen
MehrDas Persönliche Budget in verständlicher Sprache
Das Persönliche Budget in verständlicher Sprache Das Persönliche Budget mehr Selbstbestimmung, mehr Selbstständigkeit, mehr Selbstbewusstsein! Dieser Text soll den behinderten Menschen in Westfalen-Lippe,
Mehr