Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Transkript

1 Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen Markus Willems

2 Leistungsportfolio Your Partner in Digital Forensics Ethical Hacking IT & Cyber Security IT & Cyber Sicherheit Ethisches Hacking KRITIS Beratung und Auditierung IT-Forensik & Datenforensik Sicherheitsanalysen IT-Grundschutz ISO ISMS Risikomanagement Datenschutz

3 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

4 Grundlagen Cloud Begriffsdefinition Vorteile und Risiken IAAS Infrastructure as a service PAAS Plattform as a service SAAS Software as a service XAAS * as a service

5 Bedarfsgerecht Skalierbar Flexibel Schnell pay-as-you-go

6 Gemeinsam Steuerung per Geographisch Praktisch und Ziel genutzte Infrastruktur Webschnittstelle disloziert modern Sicheres Cloud- Computing und NICHT die sichere Cloud!

7 Grundlagen Cloud, Begriffsdefinition, Vorteile und Risiken Gefährdungslage fehlende/unzureichende Strategie Verstoß gegen rechtliche Vorgaben Abhängigkeit vom Cloud-Dienstanbieter (Kontrollverlust) Fehlende Mandantenfähigkeit beim Cloud- Dienstanbieter Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung Unzulängliche vertragliche Regelungen mit dem Cloud-Dienstanbieter

8 Grundlagen Cloud, Begriffsdefinition, Vorteile und Risiken Gefährdungslage Mangelnde Planung der Migration zu Cloud- Diensten Unzureichendes Administrationsmodell für die Cloud-Nutzung Unzureichende Einbindung von Cloud- Diensten in die eigene IT Unzureichendes Notfallvorsorgekonzept Unzureichende Regelungen für das Ende des Cloud- Nutzungs-Vorhaben Ausfall der IT-Systeme eines Cloud- Dienstanbieters

9 Auf Cloud-Nutzung zutreffende Elementargefährdungen (Bundesamt f. Sicherheit in der Informationstechnologie) (0.9) Ausfall oder Störung von Kommunikationsnetzen (0.11) Ausfall oder Störung von Dienstleistern (0.14) Ausspähen von Informationen (Spionage) (0.15) Abhören (0.18) Fehlplanung oder fehlende Anpassung (0.19) Offenlegen schützenswerter Informationen (0.22) Manipulation von Informationen (0.25) Ausfall von Geräten oder Systemen (0.26) Fehlfunktion von Geräten oder Systemen (0.29) Verstoß gegen Gesetze oder Regelungen (0.30) Unberechtigte Nutzung oder Administration von Geräten oder Systemen (0.32) Missbrauch von Berechtigungen (0.35) Nötigung oder Erpressung (0.40) Verhinderungen von Diensten (Denial of Service) (0.45) Datenverlust

10 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

11 Vorbereitung Cloud-Nutzung Cloud-Strategie Sicherheitsrichtlinie Service- Definition Schnittstellen- Definition 1 2 Projektteam Machbarkeitsstudie Risikoanalyse Kosten-Nutzen-Abschätzung Sicherheitsrichtlinie Vereinfachter Plan Angriffsvektoren Erstellen der Sicherheitsrichtlinie Cloud-Strategie V.P.N. 3 Service-Definition 4 Schnittstellen-Definition 5 Verantwortlichkeiten und Planung der Nutzung

12 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

13 Migration in die Cloud Migrations- Planung der Sicherheits- Auswahl des Service- planung Nutzung der konzept Cloud- Beschreibung Dienste und Anbieters Komponenten

14 Migration in die Cloud Test/ Pilotbetrieb Kosten- Vertrag mit Anpassung Übergang in Schulung/ Nutzen- dem Cloud- technischer den Unterweisung Analyse Anbieter und Wirkbetrieb prozessualer Aspekte

15 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

16 Leben in der Cloud Doku und Regelmäßige Abstimmungs- Planung und Training und Richtlinien Kontrollen und runden Durchführung Awarenessmaß- aktualisieren Nachweise Tests nahmen

17 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

18 Migration aus der Cloud, Beendigung der Nutzung Übertragbarkeit der Daten Löschung der Daten Vertraglich vereinbarte Übergangsfrist

19 Agenda Vorbereitung Cloud- Nutzung Leben in der Cloud Praktischer Ansatz Grundlagen Cloud Begriffsdefinition Vorteile und Risiken Migration in die Cloud Migration aus der Cloud Beendigung der Nutzung

20 Planen Testen Praktischer Ansatz Seien Sie sich Gefahren bewußt, Sie geben die Verantwortung ab Achten Sie auf die Auswahl des Partners (ISO zertifizierter Anbieter)

21 Praktischer Ansatz Führen Sie Risikoaanalysen durch, erarbeiten Auditieren Sie Ihren Anbieter Überdenken Sie die Vertragsgewerke und schaffen Sie Denken Sie auch das Ende der Geschäftsbeziehung Machen Sie sich nicht von einem Provider abhängig. Migrationen müssen leicht Sie Notfallpläne Rechtssicherheit und die Migration durchführbar sein.

22 Kurfürstendamm Berlin Kontaktieren Sie uns Kurfürstendamm Wir sind zu jeder Zeit als Partner an Ihrer Seite. Erst wenn Ihre IT sicher und Ihr Schlaf ruhig ist, sind wir zufrieden.