IT-Sicherheit integral betrachtet

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheit integral betrachtet"

Transkript

1 expertenwissen für it-architekten, projektleiter und berater Peter Schaar: Datenschutz setzt die Spielregeln. SICHERHEIT IT-Sicherheit integral betrachtet Data Loss Protection Enterprise Wide Integration Security Sonderdruck Alles sicher oder was? für Die BSI-Sicherheitsanforderungen an Cloud-Anbieter Rechte und Rollen Zentrales Rollen- und Rechtecockpit für SOA-Applikationen Business Continuity Management Sicherung kritischer Wertschöpfungsprozesse Schatzkammer Datenbank Sicherheitsstrategien für Datenbanken

2 Cloud Computing Cloud Computing Die bsi-sicherheitsanforderungen an cloud-computing-anbieter Alles sicher oder was? Cloud Computing ist eines der großen Trendthemen in diesem Jahr. Kaum ein Produktanbieter oder Consultant, der seine Angebote nicht mit dem trendigen Begriff schmückt. Dennoch zögern viele Unternehmen noch, Cloud-Angebote ihrem IT-Portfolio hinzuzufügen. Vor allem Sicherheitsfragen lassen sie zurückhaltend agieren. Folgerichtig entstehen neue Richtlinien und Standards, die sich anschicken, die Unsicherheiten der Nutzer auszuräumen. Dieser Artikel analysiert die aktuelle Situation und stellt eine der ersten Richtlinien im deutschsprachigen Raum vor, die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter. AUTOR: UWE FRIEDRICHSEN Es gibt praktisch keinen Analysten, der Cloud Computing nicht zu einem der wichtigsten Trends dieses Jahres ausgerufen hat. Die Fachzeitschriften und einschlägigen Konferenzen sind voll von dem Thema und die Zahl der Anbieter von IT-Dienstleistungen, die sich mit diesem derzeit scheinbar magischen Wort schmücken, wächst gefühlt von Stunde zu Stunde. Cloud ist in, es herrscht (mal wieder) Goldgräberstimmung in der Branche. Alles könnte so gut sein und neuen Umsatzrekorden stünde nichts im Weg, wären da nicht die Anwender. Gerade die lukrativen Firmenkunden sind nämlich häufig recht zurückhaltend bei dem Thema Cloud Computing. Einer der Hauptgründe für diese Zurückhaltung sind ungeklärte Sicherheitsfragen bei der Nutzung von Cloud- Angeboten. So zeigt z. B. die Studie zum Thema Cloud Computing von PricewaterhouseCoopers [1], dass die Themen Informationssicherheit, Datenschutz und Compliance sehr wichtig für die Anwender von Cloud-Angeboten sind. Auch die ENSIA, die European Network and Information Security Agency, zuständig für Netzwerk- und Informationssicherheit auf EU-Ebene, sieht gerade bei öffentlichen Cloud-Angeboten insbesondere 2 bt

3 auch eine Reihe Sicherheitsrisiken, die erst adressiert werden müssen, bevor man ein solches Angebot nutzen sollte [2]. Doch wie kann man die bestehenden Unsicherheiten ausräumen und so die Kluft zwischen Anbietern und Nutzern am besten überbrücken? Ein klassisches Rezept für solche Situationen ist die Definition von Standards oder Richtlinien durch unabhängige Institutionen. Der Standard bzw. die Richtlinie macht Vorgaben bzgl. der erforderlichen Umsetzung der fraglichen Themen und dient so als eine Art Kontrakt zwischen Anbieter und Nutzer: Verpflichtet sich der Anbieter, die Vorgaben aus dem Standard/den Richtlinien zu erfüllen, ist der Nutzer bereit, das Angebot anzunehmen. Auf diese Weise ersparen es sich beide Parteien insbesondere auch, die einzelnen Vorgaben mühevoll auszuarbeiten und vertraglich zu fixieren (womit sie häufig auch inhaltlich überfordert wären), und können sich stattdessen auf einen breit akzeptierten Konsens zurückziehen. SicherheitSrichtlinien und -StanDarDS im cloud-umfeld In diesem Fall geht es also darum, Sicherheitsanforderungen an Cloud-Computing-Anbieter festzulegen. Im internationalen Raum ist z. B. die Cloud Security Alliance [3] dabei, ein Trusted Security Certification Program zu definieren. Allerdings liegt die Ankündigung mittlerweile über ein Jahr zurück und bislang findet man auf der Website nur Teilaspekte dieses umfassenden Zertifizierungsprogramms. Darüber hinaus ist die CSA ist bislang nicht in Deutschland vertreten und es ist auch nicht angekündigt, dass in naher Zukunft ein deutsches Chapter gegründet werden soll. Im deutschsprachigen Raum hat der TÜV sein Siegel Geprüfter Datenschutz [4] auf Cloud-Computing- Anbieter ausgeweitet. So hat Salesforce.com Ende vergangenen Jahres als erster Cloud-Anbieter das Siegel Geprüfter Datenschutz Cloud Computing V1.0 erhalten. Das Siegel erhält man als Ergebnis eines erfolgreichen Audits, das der TÜV durchführt. Das Audit ist eine Eigenentwicklung des TÜVs und basiert auf gesetzlichen Vorgaben wie dem Bundesdatenschutzgesetz und in diesem Zusammenhang bekannten Normen wie DIN ISO/IEC (IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen) und ISO/IEC (IT-Sicherheitsverfahren IT- Netzwerksicherheit). Die genauen Inhalte und Durchführung sind Betriebsgeheimnis des TÜVs, das man nur kennenlernt, wenn man den TÜV mit einem solchen Audit beauftragt. Da der TÜV aber daran interessiert ist, die seit vielen Jahren hohe Akzeptanz seiner Siegel zu behalten, kann man getrost davon ausgehen, dass die Zertifizierung Hand und Fuß hat und das Siegel eine entsprechende Aussagekraft. Eine weitere gewichtige Instanz im deutschsprachigen Raum zum Thema Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) [5]. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und fühlt sich für IT-Sicherheit in Deutschland verantwortlich. Mit seinem Angebot adressiert das BSI natürlich in erster Linie den öffentlichen Bereich, aber auch Unternehmen und Privatanwender. Sehr bekannt ist z. B. der BSI-Standard 100 (besser bekannt unter dem Namen IT-Grundschutz), in dem ausführlich die Etablierung eines Informationssicherheits-Managementsystems beschrieben ist, das zum DIN-ISO/IEC-Standard kompatibel ist [6]. Aber auch viele andere Themengebiete der IT hat das BSI unter Sicherheitsaspekten durchleuchtet und entsprechende Richtlinien bzw. Empfehlungen publiziert. Exemplarisch seien hier der Maßnahmenkatalog zur Sicherheit von Webanwendungen [7] oder das SOA- Security-Kompendium [8] genannt. Den Publikationen des BSI ist gemein, dass sie fast alle recht weit akzeptiert sind und einen weitestgehend normativen und standardähnlichen Charakter haben. Befolgt ein IT-Anbieter also die Vorgaben aus der entsprechenden BSI-Publikation, so ist dies in der Regel ausreichend, um mögliche Bedenken des Kunden in dem von der Publikation adressierten Bereich auszuräumen. bsi-mindestsicherheitsanforderungen Da Cloud Computing mittlerweile auch im öffentlichen Bereich immer mehr an Bedeutung gewinnt, hat sich das BSI folgerichtig auch damit auseinander gesetzt. Als Ergebnis sind die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter entstanden [9]. Zum Zeitpunkt des Schreibens dieses Artikels lag der Stand vom vor, der noch explizit als ENTWURF gekennzeichnet war. Auch wenn die BSI-Publikation noch als Entwurf gekennzeichnet und in der vorliegenden Version 17 Seiten dünn ist (die es inhaltlich allerdings in sich haben), so ist doch zu erwarten, dass sich diese Mindestsicherheitsanforderungen aufgrund der Stellung des BSI als ein möglicher Standardkontrakt zwischen Anbietern und Nutzern von Cloud-Dienstleistungen in Deutschland entwickeln werden. Aus diesem Grund möchte ich dieses Richtliniendokument im weiteren Verlauf meines Artikels genauer vorstellen und kritisch analysieren. Das Dokument beginnt mit ein paar allgemeinen Definitionen zum Thema Cloud, auf die ich hier nicht näher eingehen möchte. Dann wird der designierte Geltungsbereich der Richtlinien beschrieben: Die bt

4 Richtlinien adressieren sowohl IaaS (Infrastructure as a Service; Hardware wie z. B. Speicher, Netze, CPU), PaaS (Platform as a Service; Laufzeitumgebung und ggf. Entwicklungsumgebung, häufig verbunden mit der Bereitstellung höherwertiger Funktionen wie z. B. Mandantenfähigkeit, Zugriffskontrolle, einheitliche Persistenzabstraktion) als auch SaaS (Software as a Service; komplette Anwendungen), also praktisch alle derzeit relevanten Arten von Cloud-Angeboten. Außerdem werden Informationen mit einem Vertraulichkeitsbedarf im normalen bis hohen Schutzbereich adressiert, was für die meisten Informationen im Unternehmensumfeld zutreffen dürfte. Zusammenfassend lässt sich festhalten, dass das Dokument damit nahezu alle Cloud-Szenarien im normalen Unternehmensumfeld abdecken dürfte. Im nächsten Schritt werden die formulierten Anforderungen in drei Kategorien unterteilt: B (= Basisanforderung) umfasst Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden Vt+ (= Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die bei Daten mit hohem Vertraulichkeitsbedarf realisiert werden sollen Vf+ (= Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die bei hohem Verfügbarkeitsbedarf realisiert werden sollen Ich werde mich in diesem Dokument auf die Basisanforderungen beschränken, weil das wahrscheinlich das Set an Anforderungen sein wird, das am häufigsten für Kontrakte zwischen Anbietern und Nutzern verwendet werden wird. Außerdem machen die Basisanforderungen knapp 80 % der formulierten Anforderungen aus. Insgesamt sind nämlich 74 der 93 formulierten Anforderungen Basisanforderungen. Die Anforderungen verteilen sich zum größten Teil auf die im Folgenden aufgezählten Kernthemengebiete: Sicherheitsmanagement beim Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Monitoring und Security Incident Management Notfallmanagement Sicherheitsprüfung und -nachweis Anforderungen an das Personal Transparenz Organisatorische Anforderungen Kontrollmöglichkeiten für Nutzer Portabilität von Daten und Anwendungen Interoperabilität Datenschutz/Compliance Zusätzlich beziehen sich noch einige wenige Anforderungen (genauer: fünf Basisanforderungen und eine Zusatzanforderung) auf die folgenden zusätzlichen Themengebiete: Cloud-Zertifizierung Zusatzforderungen an Public-Cloud-Anbieter für die Bundesverwaltung Im weiteren Verlauf des Artikels werde ich die Anforderungen der Kernthemengebiete genauer betrachten. Sicherheitsmanagement beim Anbieter Für diesen Bereich formuliert das BSI die folgenden Basisanforderungen: Definiertes Vorgehensmodell aller IT-Prozesse (z. B. nach ITIL, COBIT) Implementation eines anerkannten Informationssicherheits-Managementsystems (z. B. BSI-Standard (IT-Grundschutz), ISO 27001) Erstellung eines IT-Sicherheitskonzepts für die Cloud Hintergrund für diese Anforderungen ist die Behauptung, dass eine adäquate Sicherheit entsprechend ausdefinierte Prozesse als Grundvoraussetzung hat. Das sind Anforderungen, denen ich nicht so ohne Weiteres zustimmen würde. Zunächst bin ich ein Anhänger des agilen Lagers. Eine Grundidee der Agilität ist vereinfacht ausgedrückt, dass Hirn anschalten explizit erwünscht ist. Bis ins Detail geregelte Prozesse sind meiner Erfahrung nach eine beliebte Ausrede dafür, nicht zu denken. Man kann sich so schön hinter den Prozessen verstecken. Ich frage in solchen Situationen gerne etwas provokativ, wem man mehr vertraut: einigen denkenden, sicherheitsbewussten Personen oder einem Rudel ferngesteuerter Prozess-Zombies? Natürlich ist das etwas überspitzt, aber ich denke, man sollte sich die Frage trotzdem einmal ernsthaft stellen, bevor man reflexartig nach Prozessen als Lösung für alle Probleme ruft. Außerdem spielt für mich eine große Rolle, mit was für einem Anbieter von Cloud-Dienstleistungen man es zu tun hat. Habe ich es mit einem richtig großen Anbieter zu tun oder vielleicht mit einem innovativen kleinen Start-up, das eine richtig pfiffige Lösung an den Markt bringt? Während bei dem großen Anbieter wahrscheinlich schon die schiere Menge beteiligter Personen eine gewisse Standardisierung der Prozesse erfordert, würde bei dem kleinen Start-up die Definition der Prozesse schon das gesamte Startkapital verschlingen. Natürlich muss auch das kleine Unternehmen sicherstellen, dass 4 bt

5 BUSINESS CASE FÜR AGILITÄT: die Agile Software Factory der codecentric AG.

6 die notwendige Sicherheit gewährleistet ist. Aber ob man dafür gleich die ITIL/COBIT/ISO Keule herausholen muss oder ob das nicht auch mit anderen Mitteln möglich ist, sei einmal dahingestellt. Sicherheitsarchitektur Wie nicht anders zu erwarten, geht es in diesem Bereich richtig zur Sache. Hier versammeln sich insgesamt 32 der insgesamt 93 Anforderungen, 26 davon sind Basisanforderungen. Primär geht es um eine durchgängige Sicherheitsarchitektur von der Zugangskontrolle zum Rechenzentrum über saubere Mandantentrennung bis hin zum verschlüsselten Zugriff auf das Cloud-Angebot. Hier sind exemplarisch die wichtigsten Anforderungen aufgelistet: Redundante Auslegung aller wichtigen Versorgungskomponenten (Strom, Klimatisierung der RZ, Internetanbindung etc.) Kontrollierte Zugangskontrolle für das Rechenzentrum Sicherheitsmaßnahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz etc.) Sicherheitsmaßnahmen gegen netzbasierte Angriffe (IPS/IDS-Systeme, Firewall etc.) Fernadministration durch einen sicheren Kommunikationskanal (SSH, SSL, IPsec, VPN etc.) Sichere Default-Konfiguration des Hosts (z. B. Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste etc.) Sichere Isolierung und Kapselung der Anwendungen Konfigurationsmanagement Patch- und Änderungsmanagement (zügiges Einspielen von Patches, Updates, Service Packs) sowie Release Management Sicherstellung der Patch-Verträglichkeit auf Testsystem vor Einspielen in Wirkbetrieb Sichere Isolierung der Kundendaten (virtuelle Speicherbereiche, Tagging etc.) Regelmäßige Datensicherung und Möglichkeit der Datenwiederherstellung (außer nach Löschung) muss gesichert sein (z. B. redundante Replikate, evtl. auch Kundentests) Datenarchivierung nach einschlägigen Gesetzen bzw. Bestimmungen Verschlüsselte Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer (TLS/SSL) Verschlüsselte Kommunikation zwischen Cloud-Computing-Standorten Verschlüsselte Kommunikation mit dritten Cloud- Service-Anbietern, falls diese für das eigene Angebot notwendig sind Die Umsetzung der hier aufgezählten Anforderungen sollte eigentlich selbstverständlich sein, wird aber gerne einmal vergessen. Deshalb ist es auch sehr sinnvoll, dass diese Anforderungen noch einmal explizit aufgeführt sind. Dazu gesellen sich in dem Bereich einige weitere Anforderungen wie eine 24/7-Überwachung des Zugangs inkl. Videoüberwachungssystemen mit Bewegungssensoren und Sicherheitspersonal, Einsatz von Host-based-Intrusion-Detection-Systemen oder die regelmäßige Durchführung von Vulnerability-Tests. Das sind für sich gesehen auch alles sinnvolle Anforderungen, nur bin ich der Meinung, dass man hier fallweise beurteilen muss, ob es wirklich Mindestanforderungen sind oder eher erweiterte Anforderungen. ID- und Rechtemanagement In diesem Bereich geht es im Kern um ein sicheres ID- Management, eine angemessen starke Authentisierung sowie ein restriktives Rechtemanagement zur Vermeidung unnötiger Risiken. Im Detail sind die folgenden Basisanforderungen formuliert worden: Sichere Identifikation der Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Starke Authentisierung (z. B. Zweifaktor-Authentisierung) für Administratoren des Cloud-Anbieters Zugriffskontrolllisten für Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Regelmäßige Kontrolle und Aktualisierung der Zugriffskontrolllisten Least Privilege Model (Nutzer bzw. Administratoren sollen nur die Rechte besitzen, die sie zur Erfüllung ihrer Aufgabe benötigen) Alle hier genannten Anforderungen sind unbedingt sinnvoll. Gerade die zweite Anforderung bzgl. starker Authentisierung von Administratoren möchte ich noch einmal hervorheben, da eine solche Maßnahme häufig nicht umgesetzt wird, obwohl damit das allgemeine Sicherheitsniveau auf einfache Weise deutlich verbessert werden kann. Monitoring und Security Incident Management Die Anforderungen dieses Bereichs würde ich wieder etwas differenzierter bewerten. So sollten folgende Anforderungen durchaus immer umgesetzt werden: 24/7-Überwachung der Cloud (z. B. Verfügbarkeit der Services bzw. Ressourcen) Logdatenerfassung und -auswertung (z. B. Systemstatus, fehlgeschlagene Authentisierungsversuche etc.) 6 bt

7 24/7-erreichbares, handlungsfähiges Cloud-Management und Trouble-Shooting Verfügbarkeit der Services überwachen und messen, Messergebnisse den Kunden zur Verfügung stellen Die folgende Anforderung ist hingegen nicht unbedingt für jedermann eine Basisanforderung: Einbindung in die CERT-Strukturen und in das nationale IT-Krisenmanagement Dazu kommen noch Pauschalanforderungen wie: Anbieter stellt sicher, dass auf Angriffe, die aus der Cloud heraus durchgeführt werden, 24/7 reagiert werden kann Anbieter stellt sicher, dass interne Angriffe von Cloud- Nutzern auf andere Cloud-Nutzer erkannt werden Das klingt toll und jeder ist erst einmal geneigt, reflexartig zu nicken. Ich frage mich bei diesen Anforderungen aber zum einen, wie man sie zuverlässig umsetzen soll, und bezweifle zum anderen, dass ein Anbieter die Erfüllung einer solchen Anforderung wirklich hundertprozentig garantieren kann. Deshalb empfehle ich an der Stelle sicherheitshalber aktives Nachdenken, in welchem Umfang man diesen Anforderungen realistisch betrachtet nachkommen kann, anstatt sie blind zu übernehmen. Notfallmanagement Dieser Bereich lässt sich schnell abhandeln. Es gibt zwei Basisanforderungen: Der Cloud-Anbieter muss ein Notfallmanagement implementieren. Regelmäßige Übungen (z. B. Ausfall eines Cloud- Computing-Standorts) Dazu gibt es nicht viel zu sagen: Ja, macht Sinn, sollte man haben und die regelmäßigen Übungen sind extrem hilfreich, damit es einem nicht so ergeht wie den Leuten, die regelmäßig Datensicherungen machen und dann beim ersten Datenverlust feststellen, dass sich ein Fehler im Sicherungsskript eingeschlichen hatte und die Daten nicht mehr hergestellt werden können. Sicherheitsprüfung und -nachweis In diesem Bereich geht es um regelmäßige Sicherheitsprüfungen. Entsprechend gibt es drei Basisanforderungen: 1. Der Cloud-Anbieter muss dem Cloud-Nutzer regelmäßig berichten über Sicherheitsmaßnahmen, Änderungen im IT-Sicherheitsmanagement, über Sicherheitsvorfälle, über die Ergebnisse durchgeführter IS-Revisionen und Penetrationstests. Auch im Falle einer drohenden Insolvenz ist der Cloud-Nutzer zu unterrichten. Regelmäßige Penetrationstests Regelmäßige Penetrationstests bei Subunternehmen Auch hier gilt: Ja, sinnvolle Anforderungen, wobei aus meiner Sicht bei den letzten zwei Anforderungen fallweise überlegt werden muss, wie häufig und in welchem Umfang diese Maßnahmen umgesetzt werden müssen. Anforderungen an das Personal Die Anforderungen dieses Bereichs sind aus meiner Sicht wieder etwas durchwachsen: Vertrauenswürdiges Personal Ausbildung der Mitarbeiter des Cloud-Anbieters (regelmäßige Schulung) Sensibilisierung der Mitarbeiter des Cloud-Anbieters für Informationssicherheit und Datenschutz Verpflichtung der Mitarbeiter auf Datenschutz, Sicherheitsmaßnahmen, Vertraulichkeit der Kundendaten Die zweite und dritte Anforderung halte ich für sehr sinnvoll. Die erste und die letzte Anforderung sind für meinen Geschmack allerdings eher Pauschalanforderungen, denen man zwar gerne nachkommen kann, von denen ich aber stark bezweifle, dass sie in der Praxis einen realen Einfluss auf die Sicherheit haben. Transparenz Das ist wieder ein Bereich, der schnell abgehandelt werden kann. Hier gibt es die folgenden Basisanforderungen: Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Regelmäßige Unterrichtung über Änderungen (z. B. neue oder angekündigte Funktionen, neue Subunternehmer; andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud-Anbieter auf Seiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse/-risiken bt

8 Das sind absolut sinnvolle Anforderungen, deren Umsetzung m. E. eigentlich selbstverständlich sein sollte (aber trotzdem gerne vergessen wird). organisatorische anforderungen In diesem Bereich geht es primär um das explizite Festschreiben der Sicherheitsleistungen im Rahmen eines SLA (Service Level Agreement). Entsprechend gibt es die folgenden Basisanforderungen: Definierte Sicherheitsleistungen durch Security SLA oder im SLA deutlich hervorgehoben Einsicht in Security SLA bzw. SLA von Subunternehmern Rahmenbedingungen zur Gültigkeit des SLA aufführen (z. B. keine Verpflichtung zur Leistungserbringung aufgrund höherer Gewalt) Dazu gibt es nicht viel zu sagen. Ein SLA sollte eigentlich immer von einem Cloud-Anbieter bereitgestellt werden und darin sollten auch die Sicherheitsleistungen klar beschrieben sein. kontrollmöglichkeiten für nutzer Dieser Bereich bezieht sich direkt auf den vorhergehenden Bereich. Hier gibt es eine Basisanforderung: Kunden sollen die Möglichkeit haben, die Einhaltung der SLAs zu überwachen, indem beispielsweise die Qualität der angebotenen Services überwacht wird. Für seriöse Cloud-Anbieter sollte das selbstverständlich sein. Ich sehe die Anforderung auch eher im Bereich Transparenz: Es sollten nicht irgendwelche ominösen Kontrollmöglichkeiten angeboten werden, sondern eine durchgängige, für den Nutzer gut nachvollziehbare Transparenz aller für ihn wichtigen Bereiche. portabilität Von Daten und anwendungen Hier kommen wir zu einem schwierigen Thema, der Vermeidung des Vendor Lock-in. Während die Anbieter von Dienstleistungen verständlicherweise kein besonderes Interesse an dem Thema haben, ist es den Nutzern (ebenso verständlicherweise) in der Regel sehr wichtig. Hier besteht bei den aktuellen Cloud-Angeboten in vielen Fällen noch Nachholbedarf. Während der Import von Daten meistens ziemlich problemlos möglich ist, gestaltet sich der Export von Daten häufig sehr schwierig bis nahezu unmöglich. Die genauen Anforderungen in dem Bereich sind: Import und Export der Daten in einem geeigneten Format Anwendungen müssen plattformunabhängig sein (nur SaaS) Bei der ersten Anforderung ist meine Empfehlung, dieser als Anbieter auch jetzt schon nachzukommen. Auch wenn zurzeit noch eine gewisse Goldgräberstimmung im Cloud-Bereich herrscht, so wird erfahrungsgemäß doch sehr bald eine Marktkonsolidierung einsetzen und dann bekommt eine solche Anforderung ein ganz anderes Gewicht als noch heute. Die zweite Anforderung finde ich etwas unsinnig (oder ich verstehe sie falsch, was natürlich nicht auszuschließen ist): Wenn ich ein SaaS-Angebot nutze, dann interessiert mich nicht, auf welcher Plattform die Anwendung läuft. Ich möchte ggf. mit meinen Daten auf einfache Weise zu einem anderen SaaS-Angebot eines anderen Cloud-Anbieters wechseln können, aber mir ist herzlich egal, ob die Anwendung an sich auf eine andere Plattform umziehen kann. Das ist ja einer der Gründe, warum ich ein SaaS-Angebot nutze: Ich will mir um solche Dinge keine Gedanken mehr machen. Vielleicht wird diese Anforderung mit der nächsten Version des Dokuments aber auch noch einmal überarbeitet und etwas klarer formuliert. interoperabilität In diesem Bereich geht es um die Interoperabilität zwischen verschiedenen Cloud-Computing-Plattformen sowie ggf. den eigenen Anwendungen. Entsprechend gibt es eine Anforderung in dem Bereich: Standardisierte oder offengelegte Schnittstellen (API und Protokolle). Dazu gibt es nicht viel zu sagen: Ja, das ist eine absolut sinnvolle Anforderung. DatenSchutz/compliance In diesem Bereich geht es um die Einhaltung der Compliance-Anforderungen des Nutzers im Allgemeinen und um die Einhaltung des Bundesdatenschutzgesetzes (BDSG) für personenbezogene Daten im Speziellen. Die konkreten Anforderungen dazu sind: Gewährleistung des Datenschutzes nach deutschem Recht Datenschutzrichtlinien und -gesetze, denen der Cloud- Nutzer unterliegt, müssen eingehalten werden Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten innerhalb der oben genannten Staaten gewährleisten können Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden. Die re- 8 bt

9

10 levanten Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit Diese Anforderungen sind für meinen Geschmack wieder von sehr unterschiedlicher Qualität. Die erste Anforderung ist eindeutig, da gibt es nichts zu diskutieren. Auch an der dritten und vierten Anforderung kommt man wahrscheinlich nicht vorbei, wenn man die rechtlichen Rahmenbedingungen bzgl. der Verarbeitung personenbezogener Daten sicher einhalten möchte. Bei der fünften Anforderung (die mit den Kontrollrechten für den Cloud-Nutzer) handelt es sich wieder um eine Pauschalanforderung, bei der gar nicht klar ist, wie man sie auf sinnvolle Weise und mit vertretbarem Aufwand umsetzen kann. Die meisten Probleme habe ich aber mit der zweiten und der letzten Anforderung. Diese sind mir (wie häufig im Umfeld von Sicherheitsanforderungen anzutreffen) extrem zugunsten der Nutzer formuliert: Die Probleme des Nutzers werden einfach pauschal auf den Anbieter abgewälzt. Es interessiert nicht, ob das Angebot überhaupt für die Compliance-Anforderungen des Nutzers ausgelegt ist, der Anbieter hat das bitte schön sicherzustellen. Das erweist sich zwar als sehr angenehm für den Nutzer und sicherlich ist die Anforderung daher auch auf Nutzerseite entsprechend beliebt, aber zumindest für unabhängige Cloud-Anbieter nicht wirklich fair. Wäre es nicht wesentlich sinnvoller, wenn der Cloud- Anbieter im Rahmen seiner Angebotsbeschreibung darstellt, welche rechtlichen Rahmenbedingungen er mit seinem Angebot erfüllt, und der Nutzer diese Beschreibung dann daraufhin prüft, ob sie für seine speziellen Compliance-Anforderungen ausreichend ist? Natürlich sind Abstimmungen und Verhandlungen über die zusätzliche Zusicherung weiterer rechtlicher Anforderungen jederzeit möglich, aber diese einseitige Anforderung würde ich als Cloud-Anbieter sicherlich nicht blanko unterschreiben, da sie für mich ein unkalkulierbares Risiko darstellen würde. Zusammenfassung Im Bereich Cloud Security ist derzeit eine Menge Bewegung. Es wurde erkannt, dass dieses Thema zufriedenstellend für die Cloud-Nutzer geregelt werden muss, damit diese ihre noch zögerliche Haltung aufgeben. Entsprechend gibt es mittlerweile die ersten Richtlinien und Zertifizierungsangebote unabhängiger Institutionen. Stellvertretend wurden in diesem Artikel die Mindestsicherheitsanforderungen für Cloud-Anbieter des BSI genauer analysiert, die derzeit als Entwurf vorliegen. Das Ergebnis der Analyse ist gemischt. Die meisten der Anforderungen sind absolut sinnvoll, bei vielen sollte die Umsetzung eigentlich selbstverständlich sein. Entsprechend ist es gut, dass diese Anforderungen durch eine unabhängige Institution wie das BSI einmal zusammengetragen und explizit festgehalten worden sind. Allerdings sind auch einige durchaus diskussionswürdige Anforderungen in dem Dokument formuliert worden, die man noch einmal kritisch hinterfragen sollte. Gerade als Anbieter von Cloud-Dienstleistungen sollte man die Anforderungen noch einmal genau prüfen, da einige der Anforderungen sehr pauschal und zugunsten der Nutzer formuliert sind und es je nach Situation durchaus fraglich ist, ob eine Umsetzung der Anforderungen in der beschriebenen Form wirklich notwendig (bzw. überhaupt möglich) ist. Zusammenfassend lässt sich sagen, dass die Standardisierungsbemühungen im Bereich Cloud Security auf einem guten Weg sind, im Detail aber durchaus noch Verbesserungspotenzial besteht. Uwe Friedrichsen hat langjährige Erfahrungen als Architekt, Projektleiter und Berater. Aktuell ist er bei der codecentric AG als CTO tätig und beschäftigt sich in dem Kontext insbesondere mit agilen Verfahren und neuen Architekturansätzen und Technologien wie z. B. Cloud Computing. Links & Literatur [1] Cloud Computing Navigation in der Wolke, de/de_de/de/prozessoptimierung/assets/cloudcomputingstudie.pdf [2] Security and Resilience in Governmental Clouds, enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds [3] Cloud Security Alliance, https://cloudsecurityalliance.org/ [4] TÜV Rheinland, Datenschutz Zertifizierung für Unternehmen, [5] Bundesamt für Sicherheit in der Informationstechnik, https:// [6] IT-Grundschutz-Standards, https://www.bsi.bund.de/contentbsi/publikationen/bsi_standard/it_grundschutzstandards. html [7] Sicherheit von Webanwendungen Maßnahmenkatalog und Best Practices, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/studien/websec/websec_pdf. pdf? blob=publicationfile [8] SOA-Security-Kompendium Sicherheit in Service-orientierten Architekturen, Version 2.0, https://www.bsi.bund.de/contentbsi/themen/soa/studienpublikationen/studien_publikationen.html [9] BSI-Mindestsicherheitsanforderungen an Cloud-Computing- Anbieter, Stand (ENTWURF), https://www.bsi.bund. de/shareddocs/downloads/de/bsi/publikationen/sonstige/ Cloud_Computing_Mindestsicherheitsanforderungen.pdf? blob=publicationfile#download=1 10 bt

11 Notizen: bt

12 codecentric AG Kölner Landstraße Düsseldorf Tel: +49 (0) Fax: +49 (0) info(at)codecentric.de blog.codecentric.de

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Stand 27.09.2010 ENTWURF BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter - ENTWURF Seite 1 von 17 Bundesamt für Sicherheit

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen

Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen Auswahltabelle zur Bestimmung sicherheits technischer Anforderungen Im Folgenden wird eine Auswahltabelle für die die individuelle Bestimmung von technischen Anforderungen an einen geeigneten und vertrauenswürdigen

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Cloud Computing Security

Cloud Computing Security LANDESAMT FÜR VERFASSUNGSSCHUTZ Cloud Computing Security Wirtschaftsschutz Beratungsleitfaden Version 1.2 Stand November 2011 Einleitung Wieso, Weshalb, Warum Die Informationstechnik (IT) hat inzwischen

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)

Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion Bernhard Cygan Solution Architect, StoneOne AG StoneOne 2007-2012 Über StoneOne Gründung 2007 in Berlin

Mehr

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland www.eurocloud.de Netzwerken auf Europäisch. + = 29.04.2010 EuroCloud

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Cloud Computing Datenschutz und IT-Sicherheit

Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing in der Praxis Trends, Risiken, Chancen und Nutzungspotentiale IHK Koblenz, 23.5.2013 Helmut Eiermann Leiter Technik Der Landesbeauftragte für

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Gemessen am Eckpunktepapier Sicherheitsempfehlungen Cloud Computing des BSI

Gemessen am Eckpunktepapier Sicherheitsempfehlungen Cloud Computing des BSI Gemessen am Eckpunktepapier Sicherheitsempfehlungen Cloud Computing des BSI 13. Januar 2014 Dr. Hubert Jäger, Edmund Ernst Uniscon The Web Privacy Company 1 Copyright Uniscon GmbH 2014 Kap 1 und 2: Einleitung

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. 1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

EuroCloud Deutschland Confererence

EuroCloud Deutschland Confererence www.pwc.de/cloud EuroCloud Deutschland Confererence Neue Studie: Evolution in der Wolke Agenda 1. Rahmenbedingungen & Teilnehmer 2. Angebot & Nachfrage 3. Erfolgsfaktoren & Herausforderungen 4. Strategie

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München auf Basis einer Dokumentenvorlage für Sicherheitskonzepte Felix von Eye Leibniz-Rechenzentrum, Garching bei München 18.02.2014 Leibniz-Rechenzentrum (LRZ) Rechenzentrum für Münchner Universitäten und Hochschulen

Mehr

Rechtsinformatikzentrum Thomas Hofer. Cloud Computing. Herausforderungen und Rechtsfragen

Rechtsinformatikzentrum Thomas Hofer. Cloud Computing. Herausforderungen und Rechtsfragen Rechtsinformatikzentrum Cloud Computing Herausforderungen und Rechtsfragen Rechtsinformatikzentrum Informatik und Recht Rechtsinformatik Informationsrecht Anwendung der Informationstechnik im Recht (Information

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud 1 Bayerischer IT-Sicherheitscluster e.v. 28.02.2014 Was ist CeSeC Certified Secure Cloud? Die Certified Secure Cloud, oder kurz CeSeC genannt, ist ein technischer und organisatorischer

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein Contra Cloud Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein DAV-Symposium: In den Wolken Schutz der anwaltlichen Verschwiegenheitspflicht auch bei grenzüberschreitendem

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

Eckpunktepapier. Sicherheitsempfehlungen für Cloud Computing Anbieter. Mindestanforderungen in der Informationssicherheit

Eckpunktepapier. Sicherheitsempfehlungen für Cloud Computing Anbieter. Mindestanforderungen in der Informationssicherheit Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Mindestanforderungen in der Informationssicherheit CLOUD COMPUTING INHALT Inhaltsverzeichnis Vorwort Das BSI im Dienst der Öffentlichkeit

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

1 von 6 27.09.2010 09:08

1 von 6 27.09.2010 09:08 1 von 6 27.09.2010 09:08 XaaS-Check 2010 Die Cloud etabliert sich Datum: URL: 26.08.2010 http://www.computerwoche.de/2351205 Eine Online-Umfrage zeigt: Viele Unternehmen interessieren sich für das Cloud

Mehr

EuroCloud Deutschland_eco e.v

EuroCloud Deutschland_eco e.v EuroCloud Deutschland_eco e.v Deutsche Cloud Was bringt sie Ihrem Unternehmen? Andreas Weiss EuroCloud Deutschland_eco e.v. Verband der Cloud Computing Wirtschaft am Marktplatz Deutschland Potentiale bis

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss Cloud-Standards und Zertifizierungen im Überblick Session I Andreas Weiss IT Ressourcing Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 01. Februar 2011 Jörg-Alexander Paul & Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Herzlich willkommen! Jörg-Alexander Paul Dr. Fabian Niemann Webinar 1. Teil Vertragsgestaltung

Mehr

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Vortrag im Rahmen der Tagung Green IT und Industrialisierung der IT IGBCE; HBS; Borderstep; Stiftung Arbeit

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7.

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7. Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens Fachgruppe Management von Informationssicherheit 7. Juni 2013 Klaus Foitzick Vorstand activemind AG Geschäftsführer

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr