Technische Unterstützung von Audits bei Cloud-Betreibern

Größe: px
Ab Seite anzeigen:

Download "Technische Unterstützung von Audits bei Cloud-Betreibern"

Transkript

1 Thomas Kunz, Peter Niehues, Ulrich Waldmann Technische Unterstützung von Audits bei Cloud-Betreibern Automatisierte Kontrolle auf Basis sicherer -Daten Jährliche Audits reichen in Cloud-Umgebungen nicht aus. Die typischen Eigenschaften des Cloud Computing führen zu einer gemeinsamen Nutzung und dynamischen Zuordnung von Ressourcen und erfordern daher eine kontinuierliche und kundenspezifische Kontrolle. Dieser Artikel beschreibt das Konzept eines automatisierten Testats zur technischen Unterstützung eines Auditors und die Sicherung von - Daten, die als Datenbasis für die Kontrollen beim Cloud-Betreiber dienen sollen. 1 1 Hintergrund Die aus Effizienz- und Kostengründen attraktive Nutzung von Cloud-Diensten stellt Unternehmen vor die Problematik, auf der 1 Es handelt sich um einen Beitrag, der im Rahmen des Projekts CloudCycle entstanden ist. CloudCycle wird vom BMWi auf Grund eines Beschlusses des deutschen Bundestages im Förderschwerpunkt TrustedCloud gefördert. Thomas Kunz Wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie. Peter Niehues Projektleitung bei der regio it gesellschaft für informationstechnologie mbh Ulrich Waldmann Wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie. einen Seite für die Sicherheit und den Schutz ihrer Daten verantwortlich zu sein, aber auf der anderen Seite die Kontrolle über die Verarbeitung ihrer Daten zu verlieren. Cloud-Kunden beklagen insbesondere die mangelnde Transparenz hinsichtlich der beim Cloud-Betreiber eingesetzten Sicherheitsmaßnahmen und Abläufe. Als Lösung hierfür werden in diesem Zusammenhang oft Kontrollen von unabhängigen externen Auditoren genannt, die in Zertifikaten oder Testaten bestimmte (Sicherheits-) Eigenschaften beim Cloud-Betreiber bestätigen. Für die Auftragsdatenverarbeitung im Cloud-Umfeld hat die AG Rechtsrahmen des Technologieprogramms Trusted Cloud 2 beispielsweise eine Testat-Lösung als Alternative zur persönlichen Vor-Ort-Kontrolle des Auftraggebers vorgeschlagen, durch welche die notwendigen Datenschutzkontrollen an Hand einheitlicher Prüfkriterien von einer unabhängigen, akkreditierten Stelle (Auditor) vorgenommen würde. Dieser Vorschlag wurde in [5] vorgestellt und aus rechtlicher Sicht diskutiert. Der vorliegende Artikel greift diese Thematik auf und zeigt ein Konzept für eine technische Umsetzung. Der Bedarf nach unabhängigen Audits als Voraussetzung für die Nutzung von Cloud- Diensten wird am Beispiel von Bildungseinrichtungen gezeigt, zudem wird die technische Problematik von Audits in Cloud- Umgebungen beschrieben. Als Lösung wird das Konzept eines automatisierten Testats auf Basis sicherer -Daten als kontinuierlich anwendbare, technische Unterstützung für einen Auditor vorgestellt. 1.1 Beispiel: Bildungseinrichtungen Bildungseinrichtungen wie Schulen stellen neben der notwendigen IT-Infrastruktur zur Verwaltung des Schulbetriebs die Fachsoftware für die pädagogische Ausbildung der Schüler in den Klassenräumen zur Verfügung. Häufig wird die verwendete Software innerhalb der Schulen dezentral auf den Clients oder 2 Nähere Informationen unter DuD Datenschutz und Datensicherheit

2 maximal auf den Servern in den lokalen Schulnetzen betrieben. Selten erfolgt eine Betreuung durch regionale, kommunale Rechenzentren. Die IT-Infrastruktur wird oft durch den Lehrkörper selbst oder auch arbeitsteilig durch die EDV-Abteilung der Schulträger (Stadt- und Landkreise) betreut. Aus dieser Situationsbeschreibung werden bereits zwei grundlegende Problemstellungen sichtbar: Jede Schule betreibt ihre eigene, dezentrale IT-Infrastruktur, was IT-Insellösungen zur Folge hat, die untereinander nicht miteinander kommunizieren können. Jede IT-Insel beherbergt unterschiedliche Systemkomponenten und Anwendungen, die jeweils einzeln betreut und gepflegt werden müssen. Genau hier liegt das zweite Problem. Der Lehrkörper selbst übernimmt die Betreuung der IT-Infrastruktur, obwohl dies über sein originäres Aufgabengebiet hinausgeht und zusätzlichen Zeitaufwand erfordert. Die Abkehr von solchen lokal ausgerichteten IT-Konzepten hin zu einer flexiblen Nutzung von Ressourcen und einer Vernetzung der Schulen mittels Cloud Computing bietet die Möglichkeit, Effizienzpotenziale zu nutzen. Mit der Verlagerung in die Cloud müssen die Schulen allerdings gleichzeitig neue Herausforderungen meistern, die sich größtenteils auf den Bereich des Datenschutzes und der Compliance konzentrieren. In dem Moment, in dem eine Schule nicht mehr auf ihre eigene, dezentrale IT-Infrastruktur zurückgreift und Dienste des Cloud Computing in Anspruch nimmt, ist sie in besonderem Maße an die gesetzlichen Rahmenbedingungen zur Verarbeitung von personenbezogenen Daten im Auftrag gebunden. Im Extremfall muss die Schule für jede Fachsoftware aus der Cloud einen eigenen Vertrag zur Auftragsdatenverarbeitung abschließen und die Einhaltung des Vertrags kontrollieren. Das ist auf Grund der Vielfalt und Heterogenität der eingesetzten Schulsoftware praktisch unmöglich und könnte im Zweifelsfall mehr Aufwand erzeugen, als der Betrieb der Software im schuleigenen Netzwerk. Hinzu kommen neue Herausforderungen, die in den bisherigen IT-Konzepten als gelöst galten. Die Schulen sind an die landesspezifischen Verordnungen zum Datenschutz gebunden. Demnach ist gefordert, die Netzbereiche des pädagogischen Bereichs von denen des Verwaltungsbereichs logisch zu trennen. Im Rahmen des Forschungsprojektes CloudCycle 3 wurde hierzu eine rechtliche Einschätzung publiziert, die den Schulen als Orientierungshilfe dienen soll. 4 Die logische Trennung der beiden Netzbereiche muss auch im Fall der Nutzung von Cloud-Diensten eingehalten werden. Der Nachweis der Trennung wird insbesondere dann zu einer Herausforderung, wenn ein und derselbe Cloud-Betreiber unterschiedliche Cloud-Angebote für Pädagogik und Verwaltung anbietet. Die Einhaltung derartiger Anforderungen in der Cloud muss für die Schulen nachvollziehbar und nachweisbar sein. Vielversprechende Lösungsansätze sind hierbei die Konzepte der Audits und Testate. 1.2 Problematik von Audits Ein Audit in einer Cloud-Umgebung gestaltet sich aufgrund der spezifischen Eigenschaften von Cloud Computing als äußerst 3 4 A. Selzer, J. Bergner: Rechtliche Stellungnahme zur physischen oder logischen Trennung von Schulverwaltungsnetz und pädagogischem Netz, www. cloudcycle.org/cms/wp-content/uploads/2013/01/trennung-von-lern-und-verwaltungsnetz1.pdf schwierig. Die Skalierbarkeit und Flexibilität des Cloud Computing führt durch die dynamische, am Bedarf orientierte Zuordnung von Computerressourcen zu komplexen und sich ständig wandelnden Systemstrukturen mit potentiell wechselnden Auftragnehmern. Das hocheffiziente gemeinsame Nutzen von Softund Hardware-Ressourcen durch viele Mandanten (Cloud-Kunden) erhöht die Komplexität zusätzlich. Zudem besteht die Problematik, dass unterschiedliche Cloud-Kunden auch unterschiedliche (Sicherheits-) Anforderungen an die von ihnen genutzten Cloud-Dienste und die Cloud-Betreiber haben können. Jährliche Audits beim Cloud-Betreiber durch einen externen Auditor sind daher nicht ausreichend, um die beim Cloud-Betreiber eingesetzten Sicherheitsmaßnahmen überprüfen und einschätzen zu können. In [2] wird daher eine kontinuierliche Kontrolle basierend auf Monitoring, Audits und Tests gefordert. Zudem ist ein Auditor nicht in der Lage, die Einhaltung spezifischer Anforderungen einzelner Cloud-Kunden gezielt zu überprüfen. Beispielsweise könnte ein Cloud-Kunde fordern, dass seine Daten ausschließlich in Deutschland verarbeitet werden, während andere Kunden den gesamten EWR als Verarbeitungsstandort zulassen könnten. Eine kontinuierliche und kundenspezifische Kontrolle durch einen externen Auditor ist nur mit Hilfe technischer Unterstützung auf Basis von automatisierbaren Überprüfungen möglich. 2 Testat In einem Testat bestätigt ein externer Auditor, dass bestimmte Sicherheitskriterien beispielsweise in den Rechenzentren eines Cloud-Betreibers erfüllt sind. Hierzu überprüft der Auditor, welche Sicherheitsmaßnahmen beim Cloud-Betreiber eingesetzt werden und ob diese als ausreichend angesehen werden, die vorgegebenen Sicherheitskriterien zu erfüllen. Das im Folgenden vorgestellte Konzept für ein Testat geht von zum Teil automatisierten Überprüfungen beim Cloud-Betreiber aus, deren Ergebnisse in einem automatisiert erstellten Testat festgehalten werden. Die Automatisierung der Prüfungen erlaubt jederzeit durchführbare Prüfungen und somit eine kontinuierliche Kontrolle, ohne dass ein Auditor vor Ort sein muss. Die automatisierten Überprüfungen eignen sich daher besonders für Kontrollen von Cloud-Diensten, weil die sich dynamisch ändernden Cloud-Systeme nur automatisiert erfasst und verfolgt werden können. Beispielsweise könnte der Verarbeitungsstandort von Kundendaten einer spezifischen kontinuierlich überprüft werden. Es können jedoch nicht alle Überprüfungen automatisiert durchgeführt werden. Dies gilt insbesondere für die Überprüfung von organisatorischen Maßnahmen und der Einschätzung von Schutzmaßnahmen von Gebäuden, wie Blitzschutz etc. Diese Überprüfungen obliegen nach wie vor dem Auditor und erfordern seine Präsenz beim Cloud-Betreiber. Das hier vorgestellte Testat besteht somit aus einem automatisiert erstellten Teil und den Testergebnissen des Auditors. Die Automatisierbarkeit von Kontrollen setzt voraus, dass automatisch auswertbare Daten für die Prüfungen zur Verfügung stehen, anhand derer die Einhaltung von Prüfkriterien beim Cloud- Betreiber überprüft werden kann. Die Daten, auf deren Basis das automatisierte Testat erstellt wird, müssen vollständig, authentisch und integer sein und die Abläufe im gesamten Lebenszyk- 522 DuD Datenschutz und Datensicherheit

3 Abbildung 1 Kundenspezifische Prüfkriterien 1. Auswahl eines Cloud-Dienstes und Vertragsabschluss Kunde 2. Setzen der kundenspezifischen Policy 3. Nutzen der T Testat 5. Ausstellen eines Testats wird überprüft, ob die in der Policy enthaltenen Anforderungen erfüllt werden. Wesentlich für eine automatisierte Durchführung der Überprüfungen ist, dass die Policy in einer formalen Sprache beschrieben ist. S PP P S Cloud-Dienste mit Policy (abstrakt) Cloud-Betreiber mit Policy (kundenspezifisch) lus einer Instanz eines Cloud-Dienstes wiedergeben. Im Folgenden werden die Herleitung der Prüfkriterien und die Erstellung eines Testats vorgestellt. 2.1 Prüfkriterien Die Prüfkriterien können einerseits aus gesetzlichen Regelungen, wie z. B. der Auftragsdatenverarbeitung, dem Finanz-, Gesundheits- oder Versicherungswesen, hergeleitet werden. Andererseits kann aber auch der Kunde individuelle Anforderungen an den Cloud-Betreiber oder an die von ihm genutzten Cloud-Dienste formulieren, welche ebenfalls als Grundlage für Prüfkriterien dienen können. Beispiele für Prüfkriterien können der Speicherstandort der Kundendaten (z. B. Deutschland, EWR, Schweiz) und der Grad der Kundentrennung (z. B. dedizierter Server oder gemeinsamer Server) sein. Abbildung 1 zeigt die Erzeugung kundenspezifischer Prüfkriterien. Die von den Cloud-Betreibern angebotenen Dienste verfügen jeweils bereits über eine Policy, welche Anforderungen z. B. an den Cloud-Betreiber oder die Laufzeitumgebung des Dienstes enthält. Diese Policy kann beispielsweise vom Hersteller des Cloud-Dienstes vorgegeben werden. Sie wird als abstrakte Policy bezeichnet, da sie nicht kundenspezifisch ist. Nachdem ein Kunde einen der angebotenen Cloud-Dienste ausgewählt und mit dem Cloud-Betreiber einen Vertrag bezüglich der Nutzung des Dienstes abgeschlossen hat, hat der Kunde die Möglichkeit, diese abstrakte Policy um eigene Anforderungen zu ergänzen. Denkbar ist auch, dass die Policy Wahlmöglichkeiten für den Kunden vorgibt. Beispielsweise könnte der Kunde zwischen verschiedenen Speicherstandorten für seine Daten wählen oder er könnte ein bestimmtes Sicherheitsniveau hinsichtlich der Verschlüsselung seiner Daten auswählen. Hat der Kunde auf diese Weise seine Anforderungen gesetzt, erzeugt der Cloud-Betreiber für ihn eine Instanz des Dienstes, die vom Kunden genutzt werden kann und die nun eine kundenspezifische Policy enthält. Wird nun zu einem späteren Zeitpunkt ein Auditor beauftragt, den Cloud-Betreiber und die des Kunden zu kontrollieren, bildet diese kundenspezifische Policy die Grundlage für die durchzuführenden Überprüfungen, d. h. es P S 4. Überprüfen der Dienst- Instanz Auditor 2.2 Erstellung eines Testats Die Erstellung des Testats könnte wie folgt ablaufen: Der Auditor initiiert die Durchführung der automatisierten Prüfungen. Hierfür benötigt der Auditor einen gesicherten Zugang zum Abruf der -Daten. Der Auditor berücksichtigt für die Prüfungen den Auswertungszeitraum, die zu prüfende und damit die zu überprüfenden Sicherheitsanforderungen (Policy der ). Nach Abschluss der Prüfungen werden die Prüfergebnisse in dem automatisierten Testat zusammengefasst und von der Testat-Erstellungseinheit elektronisch signiert. Der Auditor überprüft das automatisierte Testat hinsichtlich Vollständigkeit, Plausibilität, Integrität und Authentizität. Optional kann der Auditor selbst weitere Prüfungen beim Cloud-Betreiber vor Ort durchführen. Danach führt er das automatisierte Testat und seine eigenen Prüfergebnisse zusammen, fügt den Gültigkeitszeitraum des Testats hinzu und bestätigt die Gesamtergebnisse mit seiner elektronischen Signatur. 3 Sicheres ging In der hier beschriebenen Lösung werden die automatisierten Prüfungen beim Cloud-Betreiber auf Basis von -Daten durchgeführt. Dies hat den Vorteil, dass Daten verwendet werden, die innerhalb eines Rechenzentrums routinemäßig anfallen und die zur Herstellung von Transparenz und Nachvollziehbarkeit unverzichtbar sind. Über die -Daten muss der gesamte Lebenszyklus eines Cloud-Dienstes nachvollziehbar sein, d. h. das Anlegen, Konfigurieren, Starten, Stoppen, Skalieren und das Entfernen einer umfassen. In der potenziell unsicheren Umgebung eines Cloud-Betreibers müssen die Authentizität, Integrität und Vertraulichkeit der -Daten mittels eines spezifischen Verfahrens geschützt werden. 3.1 Sicheres -Verfahren Verbreitete -Verfahren wie syslog sind keineswegs imstande, eine vollständige und beweiskräftige Datenbasis zu schaffen, wie sie für die Erstellung eines automatisierten Testats notwendig ist. Das folgende -Verfahren erweitert daher das Verfahren von Schneier und Kelsey [4], das die von Bellare und Yee [1] definierte Forward Integrity selbst auf relativ ungesicherten Komponenten ermöglicht. Daten, die heute integer sind, dürfen auch durch zukünftige Angriffe nicht unentdeckt manipulierbar sein. Ein Angreifer, der beispielsweise die aktuellen Schlüssel zur Erzeugung von Prüfsummen auf einer ging-komponente unter DuD Datenschutz und Datensicherheit

4 S 4 S 4 S 4 S 4 S 4 S 4 AUFSÄTZE Abbildung 2 -System mit Treuhänder Cloud-Betreiber Treuhänder S 1 -Adapter S 2 -Adapter S 3 -Adapter Sicheres ging L Auth HSM / Auth Auditor / Kunde Hypervisor Hypercalls -Adapter Auth -Auswertung Server Netzkomponente... Datenbank S 1 S 2 S 3 S 4 Ungesicherte -Dateien Gesicherte -Dateien seine Kontrolle gebracht hat, darf dennoch nicht in der Lage sein, die zuvor verwendeten Schlüssel zu berechnen, um Einträge älteren Datums zu manipulieren. Jeder neue -Eintrag wird mit dem vorigen Eintrag über Verschlüsselung, Hash-Werte und Prüfsummen verkettet und in die aktuelle -Datei geschrieben. Neben der ging-komponente, die die gesicherten -Dateien anlegt, wird ein vertrauenswürdiger und vom Cloud-Betreiber unabhängiger Schlüsselspeicher benötigt. Die ging-komponente und der Schlüsselspeicher handeln für jede neue -Datei zwei symmetrische Startschlüssel aus. Die ging-komponente leitet daraus bzw. aus den Nachfolgeschlüsseln in jeder Runde für den aktuell zu erstellenden - Eintrag zwei symmetrische Arbeitsschlüssel für den zu erstellenden -Eintrag ab: Durch Hashen der vorigen Arbeitsschlüssel zusammen mit den Zugriffsrechten für den neuen -Eintrags werden daraus ein individueller Schlüssel zur Verschlüsselung der originären -Daten und ein Schlüssel zur Berechnung einer Prüfsumme erzeugt. Nach jeder Verwendung und dem Erzeugen neuer Arbeitsschlüssel werden die alten Schlüssel gelöscht. So setzt sich das Verfahren für jeden neuen -Eintrag fort. Die Startschlüssel stellen die Sicherheitsanker jeder gesicherten -Datei dar und verlassen niemals mehr den Schlüsselspeicher. Die Arbeitsschlüssel gesicherter -Einträge sind nirgendwo gespeichert und können ausschließlich im Schlüsselspeicher aus den Startschlüsseln und den kodierten Zugriffsrechten rekonstruiert werden. Der Schlüsselspeicher sendet bei Bedarf diese Arbeitsschlüssel an autorisierte externe Instanzen, damit diese die -Daten verifizieren, entschlüsseln und auswerten können. Ohne weitere Maßnahmen könnte eine solche Instanz anschließend mittels der Arbeitsschlüssel die -Daten nach Belieben ändern, neu verschlüsseln und schließlich mit neuen Prüfsummen versehen. Zum Schutz gegen eine nachträgliche Manipulation wird daher als letzter -Eintrag einer -Datei ein Hash-Baum [3] mit den Hash-Werten aller vorliegenden -Einträge und einem kryptografischen Zeitstempel des sicheren Schlüsselspeichers eingefügt. Für die Sicherheit sind somit die Registrierung der -Dateien und zugehörigen Zeitstempel im Schlüsselspeicher und das zuverlässige Zusammenspiel von ging-komponente, Schlüsselspeicher und prüfenden Instanzen wesentlich. Nur die ging-komponente darf sichere -Dateien erstellen und sie vom Schlüsselspeicher signieren lassen. 3.2 Sicheres -System Die Anpassung aller technischen Komponenten des Cloud-Betreibers an ein neues -Verfahren erscheint unrealistisch. Stattdessen können über geeignete -Adapter die -Einträge unterschiedlicher Quellen ausgelesen und an eine zentrale ging-komponente übergeben werden, siehe Abbildung 2. Dort werden die originären -Daten durch das oben beschriebene -Verfahren in ein einheitliches abgesichertes Format überführt. Idealerweise sortiert die zentrale ging-komponente die -Daten anhand späterer Zugriffsberechtigungen (z. B. - Daten des Kunden X) und fasst die -Daten eines bestimmten Berechtigten jeweils in einer gesicherten -Datei zusammen. Die -Dateien der virtuellen Dienstinstanzen stellen dabei einen guten Ausgangspunkt dar, weil sie in der Regel einem Berechtigten zugeordnet werden können. Der Hypervisor stellt eine weitere wichtige Quelle von -Daten dar. Ein -Adapter liest die -Daten des Hypervisor und der darunter liegenden Komponenten ein, ordnet sie den Dienstinstanzen zu und übergibt die Daten der ging-komponente. Eine wesentliche Eigenschaft des -Systems ist der Schutz der ging-komponente gegen interne Manipulation. Denn der Cloud-Betreiber kann nicht per se als vertrauenswürdig gelten, sondern hat unter Umständen ein Interesse daran, die -Daten vergangener Ereignisse in seinem Sinne zu verändern. Daher soll- 524 DuD Datenschutz und Datensicherheit

5 te der Schlüsselspeicher mit den sicherheitsrelevanten Funktionen in Form eines Hardware-Sicherheitsmoduls (HSM) realisiert werden, auf das der Cloud-Betreiber keinen direkten Zugriff hat. Abbildung 2 zeigt eine mögliche Konfiguration, in der das HSM bei einem unabhängigen Dritten, einem Treuhänder, betrieben wird. Ein solches separates ging-hsm wäre vermutlich leichter zertifizierbar als reine Software-Komponenten. In einer solchen Konfiguration verwaltet der Treuhänder nicht die eigentlichen -Daten, sondern mittels HSM ausschließlich die Sicherheitsanker und Metadaten (Schlüssel, Zertifikate, Zeitstempel, Authentisierungsdaten). Deshalb scheint es realistisch, dass sich Cloud-Betreiber und Kunden ohne Datenschutzbedenken auf ein solches Vorgehen einigen können. Der Cloud-Betreiber müsste lediglich die ging-komponente installieren und konfigurieren und Speicherplatz für die -Dateien zur Verfügung stellen. Cloud-Betreiber, Kunden, Auditoren und Treuhänder sollten diese Beziehungen vertraglich regeln. Interessanterweise bieten inzwischen große Cloud-Betreiber ihren Kunden HSM-Dienste an 5, auf deren kryptografische Schlüssel ausschließlich der Kunde Zugriff haben soll. Unter dieser Voraussetzung ist eine Konfiguration denkbar, in der der Treuhänder seine -Schlüsseldienste selbst wieder in die Cloud auslagert. 3.3 Zugriff auf gesicherte -Daten Externe Instanzen, wie z. B. ein Auditor, können nun -Dateien wie folgt verifizieren und auswerten. Der Auditor authentisiert sich mit Hilfe eines etablierten Autorisierungsprotokolls, z. B. OAuth 2.0, gegenüber dem Treuhänder, indem er einen Nachweis ( Authorization Code ) darüber präsentiert, dass er vom eigentlichen Inhaber der -Daten (in der Regel vom Kunden und Nutzer des Cloud-Dienstes) für den Zugriff auf die - Daten autorisiert ist. In der OAuth-Terminologie handelt es sich beim Kunden um den Resource Owner, der den Auditor ( Client ) mit der Bearbeitung seiner -Daten ( Ressource ) beauftragt. Die ging-komponente dient im OAuth-Protokoll als Resource Server und das HSM des Treuhänders als Authorization Server. Der Auditor erhält nun vom Treuhänder ein Berechtigungsobjekt ( Access Ticket ) und kann damit die -Daten des Kunden von der ging-komponente anfordern. Die ging-komponente des Cloud-Betreibers, der Auditor und der Treuhänder kommunizieren nach gegenseitiger Authentisierung schließlich über gesicherte SSL-Verbindungen. In den folgenden Schritten greifen wieder die Mechanismen des -Verfahrens: Der Auditor prüft anhand eines öffentlichen Zertifikats den Zeitstempel der -Datei und teilt dem HSM des Treuhänders die gewünschten -Einträge und die in den - Einträgen enthaltenen Zugriffsberechtigungen mit. Das HSM rekonstruiert aus den Startschlüsseln und den übermittelten Zugriffsrechten die individuellen Arbeitsschlüssel der -Einträge und sendet diese an den Auditor. Der Auditor kann nun mit den erhaltenen Schlüsseln die Prüfsummen verifizieren und die originären -Daten entschlüsseln und auswerten. Auf Basis der Auswertung kann der Auditor schließlich die Einhaltung der Prüfkriterien in einem Testat bestätigen. 4 Fazit Der vorliegende Artikel hat gezeigt, wie -Daten in einer potenziell unsicheren Umgebung so gesichert werden können, dass sie als Grundlage für die Sicherheitskontrollen bei Cloud- Betreibern herangezogen werden können. Das beschriebene Lösungskonzept ist dabei nicht nur für Bildungseinrichtungen, sondern auch für andere sensible Anwendungsbereiche wie Gesundheitswesen, Recht und Finanzen interessant. Eine sichere -Datenbasis könnte nicht nur der Erstellung von Testaten dienen, sondern auch für Zwecke der Forensik und des Monitoring eingesetzt werden. Ziel sollte es daher sein, gemäß der Common Criteria 6 ein Schutzprofil für ging-komponenten zu entwickeln. Ein Cloud-Betreiber, bei dem eine entsprechend zertifizierte ging-komponente installiert ist, könnte mit automatisiert auditierbaren Cloud-Diensten werben. So wären Online-Marktplätze denkbar, auf denen zertifizierte und auditierbare Cloud-Dienste angeboten werden. Die Auswertung der gesicherten -Daten ermöglicht Auskünfte über die tatsächlichen Abläufe, die beim Cloud-Betreiber stattgefunden haben. Die automatisierten und kontinuierlich durchführbaren Kontrollen ermöglichen es dem Auditor, nicht nur den aktuellen Stand der Umsetzung technischer Maßnahmen beim Cloud-Betreiber zu kontrollieren, sondern zusätzlich zu überprüfen, wie die Maßnahmen in der Vergangenheit tatsächlich umgesetzt wurden. Die automatisiert auswertbare kundenspezifische Policy der des Kunden ermöglicht zudem, diese Kontrollen gezielt für eine kundenspezifische durchzuführen. Bei Bedarf könnte der Kunde selbst stichprobenartig oder kontinuierlich automatisierte Kontrollen für seine durchführen. Bei der Auswertung der -Daten besteht die Herausforderung zum einen darin, mit einer Vielzahl von unterschiedlichen -Formaten umzugehen und zum anderen, -Einträge aus unterschiedlichen Quellen miteinander zu verknüpfen. Beispielweise müssen die Protokolleinträge von Authentisierungsservern mit den -Einträgen von administrativen Handlungen verknüpft und überprüft werden. Zukünftige Forschungsarbeiten sollten zudem die Definition von Metriken für den Grad der Erfüllung von Prüfkriterien (Policy) in Cloud-Anwendungen umfassen, um beispielsweise die Ergebnisse einer solchen -Auswertung vergleichbar zu machen. Literatur [1] Bellare, M. und Yee, B. S.: Forward Integrity for Secure Audit s, University of California at San Diego, [2] European Network and Information Security Agency (ENISA): Critical Cloud Computing - A CIIP perspective on cloud computing services, Version 1.0, Dezember [3] Merkle, R.: Protocols for Public Key Cryptosystems, Proceedings of the 1980 IEEE Symposium on Security and Privacy, Oakland, USA, April [4] Schneier, B. und Kelsey, J.: Secure audit logs to support computer forensics, ACM Transactions on Information and System Security (TISSEC) 1999, Band 2, S , ACM New York, USA, [5] Selzer, A.: Die Kontrollpflicht nach 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing, DuD 04/ z. B. das CloudHSM von Amazon Web Services, siehe com/cloudhsm 6 Common Criteria: DuD Datenschutz und Datensicherheit

Messung der Datenschutzkonformität von Cloud-Diensten

Messung der Datenschutzkonformität von Cloud-Diensten Messung der Datenschutzkonformität von Cloud-Diensten Ulrich Waldmann, Fraunhofer SIT INFORMATIK 2014: CloudCycle14 Workshop Folie 1 Agenda Auftragsdatenverarbeitungskontrolle in der Cloud Elemente eines

Mehr

Datenschutz in der Cloud Kennzahlen für mehr Vertrauen

Datenschutz in der Cloud Kennzahlen für mehr Vertrauen 14. Deutscher IT- Sicherheitskongress, Bonn, 20. Mai 2015 Datenschutz in der Cloud Kennzahlen für mehr Vertrauen Reiner Kraft Fraunhofer- Institut für Sichere Informationstechnologie SIT Projekt VeriMetrix

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Verschlüsseln in der Cloud

Verschlüsseln in der Cloud Kai Jendrian, Christoph Schäfer Verschlüsseln in der Cloud Visualisiert am Beispiel von Microsoft Azure RMS IT-Outsourcing in die Cloud liegt im Trend. Die Anbieter locken mit skalierbaren und anpassungsfähigen

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh, 09.04.2014

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh, 09.04.2014 Sichere kommunale Cloud für Verwaltungen und Schulen Dirk Schweikart, regio it gmbh, 09.04.2014 1 1 Erwartungen der Nutzer Mobiles Arbeiten gewinnt immer mehr an Bedeutung. Orts- und Geräteunabhängiger

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Berichte und Thesen aus den Infobörsen

Berichte und Thesen aus den Infobörsen Berichte und Thesen aus den Infobörsen Sommerakademie 2015 Vertrauenswürdige IT-Infrastruktur ein (un?)erreichbares Datenschutziel Infobörse 1 Sicher verschlüsseln mit GnuPG (Gnu Privacy Guard) Ausgehend

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2012/13 Übung 5 zum 28. November 2012 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 X.509-Zertifikate Zertifikate nach dem X.509-Standard

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

» CloudCycle. it www.regioit.de. » Sicherheit und Compliance am Beispiel einer Bildungscloud. www.regioit-aachen.de. Dieter Rehfeld, 29.11.

» CloudCycle. it www.regioit.de. » Sicherheit und Compliance am Beispiel einer Bildungscloud. www.regioit-aachen.de. Dieter Rehfeld, 29.11. » CloudCycle» Sicherheit und Compliance am Beispiel einer Bildungscloud Dieter Rehfeld, 29.11.2011 www.regioit-aachen.de it www.regioit.de Die regio it gmbh ab dem 01.10.2011» Gegründet:» Zahlen:» Kunden»

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

IT-Sicherheit Kapitel 12 Secure Electronic Transaction

IT-Sicherheit Kapitel 12 Secure Electronic Transaction IT-Sicherheit Kapitel 12 Secure Electronic Transaction Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Durch Zunahme der E-Commerce-Aktivitäten (Nutzung von Dienstleistungen über offene Netze) besteht

Mehr

Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte

Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte Smartcard-Workshop Darmstadt, 9. Februar 2012 Georgios Raptis Bundesärztekammer Notfalldatensatz auf der egk 2003 291a SGB V die egk

Mehr

Cloud Computing Datenschutz und IT-Sicherheit

Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing in der Praxis Trends, Risiken, Chancen und Nutzungspotentiale IHK Koblenz, 23.5.2013 Helmut Eiermann Leiter Technik Der Landesbeauftragte für

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Emailverschlüsselung mit Thunderbird

Emailverschlüsselung mit Thunderbird Emailverschlüsselung mit Thunderbird mit einer kurzen Einführung zu PGP und S/MIME Helmut Schweinzer 3.11.12 6. Erlanger Linuxtag Übersicht Warum Signieren/Verschlüsseln Email-Transport Verschlüsselung

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook

E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook E-Mail-Verschlüsselung mit S/MIME und Windows Live Mail von Andreas Grupp ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA 1 EV

Mehr

Secure Socket Layer (SSL) - Zertifikate

Secure Socket Layer (SSL) - Zertifikate e Einführung Zur Übertragung sensibler Daten über das Internet wurde das SSL-Protokoll entwickelt. SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") das von der Firma Netscape und RSA Data

Mehr

Sichere Kommunikation unter Einsatz der E-Signatur

Sichere Kommunikation unter Einsatz der E-Signatur Sichere Kommunikation unter Einsatz der E-Signatur Emails signieren und verschlüsseln Michael Rautert Agenda: Gefahren bei der Email-Kommunikation Signaturen und Verschlüsselung Anforderungen und Arten

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Secure E-Mail der Suva

Secure E-Mail der Suva Secure E-Mail der Suva Informationsbroschüre für Entscheidungsträger und IT-Verantwortliche SEM_Informationsbroschuere_06-2013_de / WasWoShop: 2979/1.D 1 Inhaltsverzeichnis Secure E-Mail der Suva auf einen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Lösungsansätze zum. aus Sicht des Rechnungsstellers. Elektronic Invoicing. Oldenburg, 3. Februar 2005. Derk Fischer

Lösungsansätze zum. aus Sicht des Rechnungsstellers. Elektronic Invoicing. Oldenburg, 3. Februar 2005. Derk Fischer Lösungsansätze zum Elektronic Invoicing aus Sicht des Rechnungsstellers Derk Fischer Oldenburg, 3. Februar 2005 Thesen Es gibt eigentlich keine Gründe mehr für den Versand von Papierrechnungen. Der Erfolg

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Sicherheit die Herausforderungen beim Outsourcing

Sicherheit die Herausforderungen beim Outsourcing Sicherheit die Herausforderungen beim Outsourcing Rolf Oppliger / 29. August 2012 Übersicht #1: Kontrolle und Verfügbarkeit #2: Vertraulichkeit Schlussfolgerungen und Ausblick 2 1 Outsourcing Auslagerung

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

nexus Timestamp Server

nexus Timestamp Server Lassen Sie sich die Bearbeitungszeit, Integrität und Signaturgültigkeit im Verlauf Ihrer elektronischen Geschäftsprozesse beglaubigen Stempelaufdrucke auf Papierdokumenten wurden seit Jahrhunderten zur

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

XQueue GmbH Datenschutzkonzept XQ:Campaign

XQueue GmbH Datenschutzkonzept XQ:Campaign XQueue GmbH Datenschutzkonzept XQ:Campaign 2002-2014 XQueue GmbH. Alle Rechte vorbehalten. Diese Dokumentation darf ohne vorherige schriftliche Genehmigung durch die XQueue GmbH weder teilweise noch ganz

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Rechtliche Stellungnahme zur physischen oder logischen Trennung von Schulverwaltungsnetz und pädagogischem Netz

Rechtliche Stellungnahme zur physischen oder logischen Trennung von Schulverwaltungsnetz und pädagogischem Netz Bereitstellung, Verwaltung und Vermarktung von portablen Cloud-Diensten mit garantierter Sicherheit und Compliance während des gesamten Lebenszyklus Rechtliche Stellungnahme zur physischen oder logischen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Sichere E-Mail-Kommunikation zur datenschutz nord GmbH Merkblatt

Sichere E-Mail-Kommunikation zur datenschutz nord GmbH Merkblatt April 2011 Sichere E-Mail-Kommunikation zur datenschutz nord GmbH Merkblatt 1. Einleitung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen Netze leicht mitlesen oder verändern.

Mehr