Technische Unterstützung von Audits bei Cloud-Betreibern

Größe: px
Ab Seite anzeigen:

Download "Technische Unterstützung von Audits bei Cloud-Betreibern"

Transkript

1 Thomas Kunz, Peter Niehues, Ulrich Waldmann Technische Unterstützung von Audits bei Cloud-Betreibern Automatisierte Kontrolle auf Basis sicherer -Daten Jährliche Audits reichen in Cloud-Umgebungen nicht aus. Die typischen Eigenschaften des Cloud Computing führen zu einer gemeinsamen Nutzung und dynamischen Zuordnung von Ressourcen und erfordern daher eine kontinuierliche und kundenspezifische Kontrolle. Dieser Artikel beschreibt das Konzept eines automatisierten Testats zur technischen Unterstützung eines Auditors und die Sicherung von - Daten, die als Datenbasis für die Kontrollen beim Cloud-Betreiber dienen sollen. 1 1 Hintergrund Die aus Effizienz- und Kostengründen attraktive Nutzung von Cloud-Diensten stellt Unternehmen vor die Problematik, auf der 1 Es handelt sich um einen Beitrag, der im Rahmen des Projekts CloudCycle entstanden ist. CloudCycle wird vom BMWi auf Grund eines Beschlusses des deutschen Bundestages im Förderschwerpunkt TrustedCloud gefördert. Thomas Kunz Wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie. Peter Niehues Projektleitung bei der regio it gesellschaft für informationstechnologie mbh Ulrich Waldmann Wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie. einen Seite für die Sicherheit und den Schutz ihrer Daten verantwortlich zu sein, aber auf der anderen Seite die Kontrolle über die Verarbeitung ihrer Daten zu verlieren. Cloud-Kunden beklagen insbesondere die mangelnde Transparenz hinsichtlich der beim Cloud-Betreiber eingesetzten Sicherheitsmaßnahmen und Abläufe. Als Lösung hierfür werden in diesem Zusammenhang oft Kontrollen von unabhängigen externen Auditoren genannt, die in Zertifikaten oder Testaten bestimmte (Sicherheits-) Eigenschaften beim Cloud-Betreiber bestätigen. Für die Auftragsdatenverarbeitung im Cloud-Umfeld hat die AG Rechtsrahmen des Technologieprogramms Trusted Cloud 2 beispielsweise eine Testat-Lösung als Alternative zur persönlichen Vor-Ort-Kontrolle des Auftraggebers vorgeschlagen, durch welche die notwendigen Datenschutzkontrollen an Hand einheitlicher Prüfkriterien von einer unabhängigen, akkreditierten Stelle (Auditor) vorgenommen würde. Dieser Vorschlag wurde in [5] vorgestellt und aus rechtlicher Sicht diskutiert. Der vorliegende Artikel greift diese Thematik auf und zeigt ein Konzept für eine technische Umsetzung. Der Bedarf nach unabhängigen Audits als Voraussetzung für die Nutzung von Cloud- Diensten wird am Beispiel von Bildungseinrichtungen gezeigt, zudem wird die technische Problematik von Audits in Cloud- Umgebungen beschrieben. Als Lösung wird das Konzept eines automatisierten Testats auf Basis sicherer -Daten als kontinuierlich anwendbare, technische Unterstützung für einen Auditor vorgestellt. 1.1 Beispiel: Bildungseinrichtungen Bildungseinrichtungen wie Schulen stellen neben der notwendigen IT-Infrastruktur zur Verwaltung des Schulbetriebs die Fachsoftware für die pädagogische Ausbildung der Schüler in den Klassenräumen zur Verfügung. Häufig wird die verwendete Software innerhalb der Schulen dezentral auf den Clients oder 2 Nähere Informationen unter DuD Datenschutz und Datensicherheit

2 maximal auf den Servern in den lokalen Schulnetzen betrieben. Selten erfolgt eine Betreuung durch regionale, kommunale Rechenzentren. Die IT-Infrastruktur wird oft durch den Lehrkörper selbst oder auch arbeitsteilig durch die EDV-Abteilung der Schulträger (Stadt- und Landkreise) betreut. Aus dieser Situationsbeschreibung werden bereits zwei grundlegende Problemstellungen sichtbar: Jede Schule betreibt ihre eigene, dezentrale IT-Infrastruktur, was IT-Insellösungen zur Folge hat, die untereinander nicht miteinander kommunizieren können. Jede IT-Insel beherbergt unterschiedliche Systemkomponenten und Anwendungen, die jeweils einzeln betreut und gepflegt werden müssen. Genau hier liegt das zweite Problem. Der Lehrkörper selbst übernimmt die Betreuung der IT-Infrastruktur, obwohl dies über sein originäres Aufgabengebiet hinausgeht und zusätzlichen Zeitaufwand erfordert. Die Abkehr von solchen lokal ausgerichteten IT-Konzepten hin zu einer flexiblen Nutzung von Ressourcen und einer Vernetzung der Schulen mittels Cloud Computing bietet die Möglichkeit, Effizienzpotenziale zu nutzen. Mit der Verlagerung in die Cloud müssen die Schulen allerdings gleichzeitig neue Herausforderungen meistern, die sich größtenteils auf den Bereich des Datenschutzes und der Compliance konzentrieren. In dem Moment, in dem eine Schule nicht mehr auf ihre eigene, dezentrale IT-Infrastruktur zurückgreift und Dienste des Cloud Computing in Anspruch nimmt, ist sie in besonderem Maße an die gesetzlichen Rahmenbedingungen zur Verarbeitung von personenbezogenen Daten im Auftrag gebunden. Im Extremfall muss die Schule für jede Fachsoftware aus der Cloud einen eigenen Vertrag zur Auftragsdatenverarbeitung abschließen und die Einhaltung des Vertrags kontrollieren. Das ist auf Grund der Vielfalt und Heterogenität der eingesetzten Schulsoftware praktisch unmöglich und könnte im Zweifelsfall mehr Aufwand erzeugen, als der Betrieb der Software im schuleigenen Netzwerk. Hinzu kommen neue Herausforderungen, die in den bisherigen IT-Konzepten als gelöst galten. Die Schulen sind an die landesspezifischen Verordnungen zum Datenschutz gebunden. Demnach ist gefordert, die Netzbereiche des pädagogischen Bereichs von denen des Verwaltungsbereichs logisch zu trennen. Im Rahmen des Forschungsprojektes CloudCycle 3 wurde hierzu eine rechtliche Einschätzung publiziert, die den Schulen als Orientierungshilfe dienen soll. 4 Die logische Trennung der beiden Netzbereiche muss auch im Fall der Nutzung von Cloud-Diensten eingehalten werden. Der Nachweis der Trennung wird insbesondere dann zu einer Herausforderung, wenn ein und derselbe Cloud-Betreiber unterschiedliche Cloud-Angebote für Pädagogik und Verwaltung anbietet. Die Einhaltung derartiger Anforderungen in der Cloud muss für die Schulen nachvollziehbar und nachweisbar sein. Vielversprechende Lösungsansätze sind hierbei die Konzepte der Audits und Testate. 1.2 Problematik von Audits Ein Audit in einer Cloud-Umgebung gestaltet sich aufgrund der spezifischen Eigenschaften von Cloud Computing als äußerst 3 4 A. Selzer, J. Bergner: Rechtliche Stellungnahme zur physischen oder logischen Trennung von Schulverwaltungsnetz und pädagogischem Netz, www. cloudcycle.org/cms/wp-content/uploads/2013/01/trennung-von-lern-und-verwaltungsnetz1.pdf schwierig. Die Skalierbarkeit und Flexibilität des Cloud Computing führt durch die dynamische, am Bedarf orientierte Zuordnung von Computerressourcen zu komplexen und sich ständig wandelnden Systemstrukturen mit potentiell wechselnden Auftragnehmern. Das hocheffiziente gemeinsame Nutzen von Softund Hardware-Ressourcen durch viele Mandanten (Cloud-Kunden) erhöht die Komplexität zusätzlich. Zudem besteht die Problematik, dass unterschiedliche Cloud-Kunden auch unterschiedliche (Sicherheits-) Anforderungen an die von ihnen genutzten Cloud-Dienste und die Cloud-Betreiber haben können. Jährliche Audits beim Cloud-Betreiber durch einen externen Auditor sind daher nicht ausreichend, um die beim Cloud-Betreiber eingesetzten Sicherheitsmaßnahmen überprüfen und einschätzen zu können. In [2] wird daher eine kontinuierliche Kontrolle basierend auf Monitoring, Audits und Tests gefordert. Zudem ist ein Auditor nicht in der Lage, die Einhaltung spezifischer Anforderungen einzelner Cloud-Kunden gezielt zu überprüfen. Beispielsweise könnte ein Cloud-Kunde fordern, dass seine Daten ausschließlich in Deutschland verarbeitet werden, während andere Kunden den gesamten EWR als Verarbeitungsstandort zulassen könnten. Eine kontinuierliche und kundenspezifische Kontrolle durch einen externen Auditor ist nur mit Hilfe technischer Unterstützung auf Basis von automatisierbaren Überprüfungen möglich. 2 Testat In einem Testat bestätigt ein externer Auditor, dass bestimmte Sicherheitskriterien beispielsweise in den Rechenzentren eines Cloud-Betreibers erfüllt sind. Hierzu überprüft der Auditor, welche Sicherheitsmaßnahmen beim Cloud-Betreiber eingesetzt werden und ob diese als ausreichend angesehen werden, die vorgegebenen Sicherheitskriterien zu erfüllen. Das im Folgenden vorgestellte Konzept für ein Testat geht von zum Teil automatisierten Überprüfungen beim Cloud-Betreiber aus, deren Ergebnisse in einem automatisiert erstellten Testat festgehalten werden. Die Automatisierung der Prüfungen erlaubt jederzeit durchführbare Prüfungen und somit eine kontinuierliche Kontrolle, ohne dass ein Auditor vor Ort sein muss. Die automatisierten Überprüfungen eignen sich daher besonders für Kontrollen von Cloud-Diensten, weil die sich dynamisch ändernden Cloud-Systeme nur automatisiert erfasst und verfolgt werden können. Beispielsweise könnte der Verarbeitungsstandort von Kundendaten einer spezifischen kontinuierlich überprüft werden. Es können jedoch nicht alle Überprüfungen automatisiert durchgeführt werden. Dies gilt insbesondere für die Überprüfung von organisatorischen Maßnahmen und der Einschätzung von Schutzmaßnahmen von Gebäuden, wie Blitzschutz etc. Diese Überprüfungen obliegen nach wie vor dem Auditor und erfordern seine Präsenz beim Cloud-Betreiber. Das hier vorgestellte Testat besteht somit aus einem automatisiert erstellten Teil und den Testergebnissen des Auditors. Die Automatisierbarkeit von Kontrollen setzt voraus, dass automatisch auswertbare Daten für die Prüfungen zur Verfügung stehen, anhand derer die Einhaltung von Prüfkriterien beim Cloud- Betreiber überprüft werden kann. Die Daten, auf deren Basis das automatisierte Testat erstellt wird, müssen vollständig, authentisch und integer sein und die Abläufe im gesamten Lebenszyk- 522 DuD Datenschutz und Datensicherheit

3 Abbildung 1 Kundenspezifische Prüfkriterien 1. Auswahl eines Cloud-Dienstes und Vertragsabschluss Kunde 2. Setzen der kundenspezifischen Policy 3. Nutzen der T Testat 5. Ausstellen eines Testats wird überprüft, ob die in der Policy enthaltenen Anforderungen erfüllt werden. Wesentlich für eine automatisierte Durchführung der Überprüfungen ist, dass die Policy in einer formalen Sprache beschrieben ist. S PP P S Cloud-Dienste mit Policy (abstrakt) Cloud-Betreiber mit Policy (kundenspezifisch) lus einer Instanz eines Cloud-Dienstes wiedergeben. Im Folgenden werden die Herleitung der Prüfkriterien und die Erstellung eines Testats vorgestellt. 2.1 Prüfkriterien Die Prüfkriterien können einerseits aus gesetzlichen Regelungen, wie z. B. der Auftragsdatenverarbeitung, dem Finanz-, Gesundheits- oder Versicherungswesen, hergeleitet werden. Andererseits kann aber auch der Kunde individuelle Anforderungen an den Cloud-Betreiber oder an die von ihm genutzten Cloud-Dienste formulieren, welche ebenfalls als Grundlage für Prüfkriterien dienen können. Beispiele für Prüfkriterien können der Speicherstandort der Kundendaten (z. B. Deutschland, EWR, Schweiz) und der Grad der Kundentrennung (z. B. dedizierter Server oder gemeinsamer Server) sein. Abbildung 1 zeigt die Erzeugung kundenspezifischer Prüfkriterien. Die von den Cloud-Betreibern angebotenen Dienste verfügen jeweils bereits über eine Policy, welche Anforderungen z. B. an den Cloud-Betreiber oder die Laufzeitumgebung des Dienstes enthält. Diese Policy kann beispielsweise vom Hersteller des Cloud-Dienstes vorgegeben werden. Sie wird als abstrakte Policy bezeichnet, da sie nicht kundenspezifisch ist. Nachdem ein Kunde einen der angebotenen Cloud-Dienste ausgewählt und mit dem Cloud-Betreiber einen Vertrag bezüglich der Nutzung des Dienstes abgeschlossen hat, hat der Kunde die Möglichkeit, diese abstrakte Policy um eigene Anforderungen zu ergänzen. Denkbar ist auch, dass die Policy Wahlmöglichkeiten für den Kunden vorgibt. Beispielsweise könnte der Kunde zwischen verschiedenen Speicherstandorten für seine Daten wählen oder er könnte ein bestimmtes Sicherheitsniveau hinsichtlich der Verschlüsselung seiner Daten auswählen. Hat der Kunde auf diese Weise seine Anforderungen gesetzt, erzeugt der Cloud-Betreiber für ihn eine Instanz des Dienstes, die vom Kunden genutzt werden kann und die nun eine kundenspezifische Policy enthält. Wird nun zu einem späteren Zeitpunkt ein Auditor beauftragt, den Cloud-Betreiber und die des Kunden zu kontrollieren, bildet diese kundenspezifische Policy die Grundlage für die durchzuführenden Überprüfungen, d. h. es P S 4. Überprüfen der Dienst- Instanz Auditor 2.2 Erstellung eines Testats Die Erstellung des Testats könnte wie folgt ablaufen: Der Auditor initiiert die Durchführung der automatisierten Prüfungen. Hierfür benötigt der Auditor einen gesicherten Zugang zum Abruf der -Daten. Der Auditor berücksichtigt für die Prüfungen den Auswertungszeitraum, die zu prüfende und damit die zu überprüfenden Sicherheitsanforderungen (Policy der ). Nach Abschluss der Prüfungen werden die Prüfergebnisse in dem automatisierten Testat zusammengefasst und von der Testat-Erstellungseinheit elektronisch signiert. Der Auditor überprüft das automatisierte Testat hinsichtlich Vollständigkeit, Plausibilität, Integrität und Authentizität. Optional kann der Auditor selbst weitere Prüfungen beim Cloud-Betreiber vor Ort durchführen. Danach führt er das automatisierte Testat und seine eigenen Prüfergebnisse zusammen, fügt den Gültigkeitszeitraum des Testats hinzu und bestätigt die Gesamtergebnisse mit seiner elektronischen Signatur. 3 Sicheres ging In der hier beschriebenen Lösung werden die automatisierten Prüfungen beim Cloud-Betreiber auf Basis von -Daten durchgeführt. Dies hat den Vorteil, dass Daten verwendet werden, die innerhalb eines Rechenzentrums routinemäßig anfallen und die zur Herstellung von Transparenz und Nachvollziehbarkeit unverzichtbar sind. Über die -Daten muss der gesamte Lebenszyklus eines Cloud-Dienstes nachvollziehbar sein, d. h. das Anlegen, Konfigurieren, Starten, Stoppen, Skalieren und das Entfernen einer umfassen. In der potenziell unsicheren Umgebung eines Cloud-Betreibers müssen die Authentizität, Integrität und Vertraulichkeit der -Daten mittels eines spezifischen Verfahrens geschützt werden. 3.1 Sicheres -Verfahren Verbreitete -Verfahren wie syslog sind keineswegs imstande, eine vollständige und beweiskräftige Datenbasis zu schaffen, wie sie für die Erstellung eines automatisierten Testats notwendig ist. Das folgende -Verfahren erweitert daher das Verfahren von Schneier und Kelsey [4], das die von Bellare und Yee [1] definierte Forward Integrity selbst auf relativ ungesicherten Komponenten ermöglicht. Daten, die heute integer sind, dürfen auch durch zukünftige Angriffe nicht unentdeckt manipulierbar sein. Ein Angreifer, der beispielsweise die aktuellen Schlüssel zur Erzeugung von Prüfsummen auf einer ging-komponente unter DuD Datenschutz und Datensicherheit

4 S 4 S 4 S 4 S 4 S 4 S 4 AUFSÄTZE Abbildung 2 -System mit Treuhänder Cloud-Betreiber Treuhänder S 1 -Adapter S 2 -Adapter S 3 -Adapter Sicheres ging L Auth HSM / Auth Auditor / Kunde Hypervisor Hypercalls -Adapter Auth -Auswertung Server Netzkomponente... Datenbank S 1 S 2 S 3 S 4 Ungesicherte -Dateien Gesicherte -Dateien seine Kontrolle gebracht hat, darf dennoch nicht in der Lage sein, die zuvor verwendeten Schlüssel zu berechnen, um Einträge älteren Datums zu manipulieren. Jeder neue -Eintrag wird mit dem vorigen Eintrag über Verschlüsselung, Hash-Werte und Prüfsummen verkettet und in die aktuelle -Datei geschrieben. Neben der ging-komponente, die die gesicherten -Dateien anlegt, wird ein vertrauenswürdiger und vom Cloud-Betreiber unabhängiger Schlüsselspeicher benötigt. Die ging-komponente und der Schlüsselspeicher handeln für jede neue -Datei zwei symmetrische Startschlüssel aus. Die ging-komponente leitet daraus bzw. aus den Nachfolgeschlüsseln in jeder Runde für den aktuell zu erstellenden - Eintrag zwei symmetrische Arbeitsschlüssel für den zu erstellenden -Eintrag ab: Durch Hashen der vorigen Arbeitsschlüssel zusammen mit den Zugriffsrechten für den neuen -Eintrags werden daraus ein individueller Schlüssel zur Verschlüsselung der originären -Daten und ein Schlüssel zur Berechnung einer Prüfsumme erzeugt. Nach jeder Verwendung und dem Erzeugen neuer Arbeitsschlüssel werden die alten Schlüssel gelöscht. So setzt sich das Verfahren für jeden neuen -Eintrag fort. Die Startschlüssel stellen die Sicherheitsanker jeder gesicherten -Datei dar und verlassen niemals mehr den Schlüsselspeicher. Die Arbeitsschlüssel gesicherter -Einträge sind nirgendwo gespeichert und können ausschließlich im Schlüsselspeicher aus den Startschlüsseln und den kodierten Zugriffsrechten rekonstruiert werden. Der Schlüsselspeicher sendet bei Bedarf diese Arbeitsschlüssel an autorisierte externe Instanzen, damit diese die -Daten verifizieren, entschlüsseln und auswerten können. Ohne weitere Maßnahmen könnte eine solche Instanz anschließend mittels der Arbeitsschlüssel die -Daten nach Belieben ändern, neu verschlüsseln und schließlich mit neuen Prüfsummen versehen. Zum Schutz gegen eine nachträgliche Manipulation wird daher als letzter -Eintrag einer -Datei ein Hash-Baum [3] mit den Hash-Werten aller vorliegenden -Einträge und einem kryptografischen Zeitstempel des sicheren Schlüsselspeichers eingefügt. Für die Sicherheit sind somit die Registrierung der -Dateien und zugehörigen Zeitstempel im Schlüsselspeicher und das zuverlässige Zusammenspiel von ging-komponente, Schlüsselspeicher und prüfenden Instanzen wesentlich. Nur die ging-komponente darf sichere -Dateien erstellen und sie vom Schlüsselspeicher signieren lassen. 3.2 Sicheres -System Die Anpassung aller technischen Komponenten des Cloud-Betreibers an ein neues -Verfahren erscheint unrealistisch. Stattdessen können über geeignete -Adapter die -Einträge unterschiedlicher Quellen ausgelesen und an eine zentrale ging-komponente übergeben werden, siehe Abbildung 2. Dort werden die originären -Daten durch das oben beschriebene -Verfahren in ein einheitliches abgesichertes Format überführt. Idealerweise sortiert die zentrale ging-komponente die -Daten anhand späterer Zugriffsberechtigungen (z. B. - Daten des Kunden X) und fasst die -Daten eines bestimmten Berechtigten jeweils in einer gesicherten -Datei zusammen. Die -Dateien der virtuellen Dienstinstanzen stellen dabei einen guten Ausgangspunkt dar, weil sie in der Regel einem Berechtigten zugeordnet werden können. Der Hypervisor stellt eine weitere wichtige Quelle von -Daten dar. Ein -Adapter liest die -Daten des Hypervisor und der darunter liegenden Komponenten ein, ordnet sie den Dienstinstanzen zu und übergibt die Daten der ging-komponente. Eine wesentliche Eigenschaft des -Systems ist der Schutz der ging-komponente gegen interne Manipulation. Denn der Cloud-Betreiber kann nicht per se als vertrauenswürdig gelten, sondern hat unter Umständen ein Interesse daran, die -Daten vergangener Ereignisse in seinem Sinne zu verändern. Daher soll- 524 DuD Datenschutz und Datensicherheit

5 te der Schlüsselspeicher mit den sicherheitsrelevanten Funktionen in Form eines Hardware-Sicherheitsmoduls (HSM) realisiert werden, auf das der Cloud-Betreiber keinen direkten Zugriff hat. Abbildung 2 zeigt eine mögliche Konfiguration, in der das HSM bei einem unabhängigen Dritten, einem Treuhänder, betrieben wird. Ein solches separates ging-hsm wäre vermutlich leichter zertifizierbar als reine Software-Komponenten. In einer solchen Konfiguration verwaltet der Treuhänder nicht die eigentlichen -Daten, sondern mittels HSM ausschließlich die Sicherheitsanker und Metadaten (Schlüssel, Zertifikate, Zeitstempel, Authentisierungsdaten). Deshalb scheint es realistisch, dass sich Cloud-Betreiber und Kunden ohne Datenschutzbedenken auf ein solches Vorgehen einigen können. Der Cloud-Betreiber müsste lediglich die ging-komponente installieren und konfigurieren und Speicherplatz für die -Dateien zur Verfügung stellen. Cloud-Betreiber, Kunden, Auditoren und Treuhänder sollten diese Beziehungen vertraglich regeln. Interessanterweise bieten inzwischen große Cloud-Betreiber ihren Kunden HSM-Dienste an 5, auf deren kryptografische Schlüssel ausschließlich der Kunde Zugriff haben soll. Unter dieser Voraussetzung ist eine Konfiguration denkbar, in der der Treuhänder seine -Schlüsseldienste selbst wieder in die Cloud auslagert. 3.3 Zugriff auf gesicherte -Daten Externe Instanzen, wie z. B. ein Auditor, können nun -Dateien wie folgt verifizieren und auswerten. Der Auditor authentisiert sich mit Hilfe eines etablierten Autorisierungsprotokolls, z. B. OAuth 2.0, gegenüber dem Treuhänder, indem er einen Nachweis ( Authorization Code ) darüber präsentiert, dass er vom eigentlichen Inhaber der -Daten (in der Regel vom Kunden und Nutzer des Cloud-Dienstes) für den Zugriff auf die - Daten autorisiert ist. In der OAuth-Terminologie handelt es sich beim Kunden um den Resource Owner, der den Auditor ( Client ) mit der Bearbeitung seiner -Daten ( Ressource ) beauftragt. Die ging-komponente dient im OAuth-Protokoll als Resource Server und das HSM des Treuhänders als Authorization Server. Der Auditor erhält nun vom Treuhänder ein Berechtigungsobjekt ( Access Ticket ) und kann damit die -Daten des Kunden von der ging-komponente anfordern. Die ging-komponente des Cloud-Betreibers, der Auditor und der Treuhänder kommunizieren nach gegenseitiger Authentisierung schließlich über gesicherte SSL-Verbindungen. In den folgenden Schritten greifen wieder die Mechanismen des -Verfahrens: Der Auditor prüft anhand eines öffentlichen Zertifikats den Zeitstempel der -Datei und teilt dem HSM des Treuhänders die gewünschten -Einträge und die in den - Einträgen enthaltenen Zugriffsberechtigungen mit. Das HSM rekonstruiert aus den Startschlüsseln und den übermittelten Zugriffsrechten die individuellen Arbeitsschlüssel der -Einträge und sendet diese an den Auditor. Der Auditor kann nun mit den erhaltenen Schlüsseln die Prüfsummen verifizieren und die originären -Daten entschlüsseln und auswerten. Auf Basis der Auswertung kann der Auditor schließlich die Einhaltung der Prüfkriterien in einem Testat bestätigen. 4 Fazit Der vorliegende Artikel hat gezeigt, wie -Daten in einer potenziell unsicheren Umgebung so gesichert werden können, dass sie als Grundlage für die Sicherheitskontrollen bei Cloud- Betreibern herangezogen werden können. Das beschriebene Lösungskonzept ist dabei nicht nur für Bildungseinrichtungen, sondern auch für andere sensible Anwendungsbereiche wie Gesundheitswesen, Recht und Finanzen interessant. Eine sichere -Datenbasis könnte nicht nur der Erstellung von Testaten dienen, sondern auch für Zwecke der Forensik und des Monitoring eingesetzt werden. Ziel sollte es daher sein, gemäß der Common Criteria 6 ein Schutzprofil für ging-komponenten zu entwickeln. Ein Cloud-Betreiber, bei dem eine entsprechend zertifizierte ging-komponente installiert ist, könnte mit automatisiert auditierbaren Cloud-Diensten werben. So wären Online-Marktplätze denkbar, auf denen zertifizierte und auditierbare Cloud-Dienste angeboten werden. Die Auswertung der gesicherten -Daten ermöglicht Auskünfte über die tatsächlichen Abläufe, die beim Cloud-Betreiber stattgefunden haben. Die automatisierten und kontinuierlich durchführbaren Kontrollen ermöglichen es dem Auditor, nicht nur den aktuellen Stand der Umsetzung technischer Maßnahmen beim Cloud-Betreiber zu kontrollieren, sondern zusätzlich zu überprüfen, wie die Maßnahmen in der Vergangenheit tatsächlich umgesetzt wurden. Die automatisiert auswertbare kundenspezifische Policy der des Kunden ermöglicht zudem, diese Kontrollen gezielt für eine kundenspezifische durchzuführen. Bei Bedarf könnte der Kunde selbst stichprobenartig oder kontinuierlich automatisierte Kontrollen für seine durchführen. Bei der Auswertung der -Daten besteht die Herausforderung zum einen darin, mit einer Vielzahl von unterschiedlichen -Formaten umzugehen und zum anderen, -Einträge aus unterschiedlichen Quellen miteinander zu verknüpfen. Beispielweise müssen die Protokolleinträge von Authentisierungsservern mit den -Einträgen von administrativen Handlungen verknüpft und überprüft werden. Zukünftige Forschungsarbeiten sollten zudem die Definition von Metriken für den Grad der Erfüllung von Prüfkriterien (Policy) in Cloud-Anwendungen umfassen, um beispielsweise die Ergebnisse einer solchen -Auswertung vergleichbar zu machen. Literatur [1] Bellare, M. und Yee, B. S.: Forward Integrity for Secure Audit s, University of California at San Diego, [2] European Network and Information Security Agency (ENISA): Critical Cloud Computing - A CIIP perspective on cloud computing services, Version 1.0, Dezember [3] Merkle, R.: Protocols for Public Key Cryptosystems, Proceedings of the 1980 IEEE Symposium on Security and Privacy, Oakland, USA, April [4] Schneier, B. und Kelsey, J.: Secure audit logs to support computer forensics, ACM Transactions on Information and System Security (TISSEC) 1999, Band 2, S , ACM New York, USA, [5] Selzer, A.: Die Kontrollpflicht nach 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing, DuD 04/ z. B. das CloudHSM von Amazon Web Services, siehe com/cloudhsm 6 Common Criteria: DuD Datenschutz und Datensicherheit

Messung der Datenschutzkonformität von Cloud-Diensten

Messung der Datenschutzkonformität von Cloud-Diensten Messung der Datenschutzkonformität von Cloud-Diensten Ulrich Waldmann, Fraunhofer SIT INFORMATIK 2014: CloudCycle14 Workshop Folie 1 Agenda Auftragsdatenverarbeitungskontrolle in der Cloud Elemente eines

Mehr

Datenschutz in der Cloud Kennzahlen für mehr Vertrauen

Datenschutz in der Cloud Kennzahlen für mehr Vertrauen 14. Deutscher IT- Sicherheitskongress, Bonn, 20. Mai 2015 Datenschutz in der Cloud Kennzahlen für mehr Vertrauen Reiner Kraft Fraunhofer- Institut für Sichere Informationstechnologie SIT Projekt VeriMetrix

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Kryptografische Verfahren für sichere E-Mail

Kryptografische Verfahren für sichere E-Mail Kryptografische Verfahren für sichere Roadshow Sicheres Internet Prof. Dr. Christoph Karg Hochschule Aalen Studiengang Informatik 28. November 2013 Kommunikation Prof. Dr. Christoph Karg Kryptografische

Mehr

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

DFN-AAI Sicherheitsaspekte und rechtliche Fragen DFN-AAI Sicherheitsaspekte und rechtliche Fragen Ulrich Kähler, DFN-Verein kaehler@dfn.de Seite 1 Gliederung Sicherheitsaspekte Rechtliche Fragen Seite 2 Sicherheit Die Sicherheit in der DFN-AAI ist eine

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Für alle Unternehmensgrößen das perfekte WLAN-Management Cloud NetManager

Für alle Unternehmensgrößen das perfekte WLAN-Management Cloud NetManager Für alle Unternehmensgrößen das perfekte WLAN-Management Controllerloses WLAN-Management WLAN Management als SaaS oder als virtuelle Maschine Perfekt für Filialisten Automatisierte Inbetriebnahme ohne

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität Vorlesung am 12.05.2014 7 Vertrauensmodelle Problem: Zuordnung eines Schlüssels zum Schlüsselinhaber Beispiel 1: Verschlüsselung mit pk, Entschlüsselung mit sk: Bei falscher Zuordnung: Verlust der Vertraulichkeit

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Verschlüsseln in der Cloud

Verschlüsseln in der Cloud Kai Jendrian, Christoph Schäfer Verschlüsseln in der Cloud Visualisiert am Beispiel von Microsoft Azure RMS IT-Outsourcing in die Cloud liegt im Trend. Die Anbieter locken mit skalierbaren und anpassungsfähigen

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2012/13 Übung 5 zum 28. November 2012 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 X.509-Zertifikate Zertifikate nach dem X.509-Standard

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 8 Kerberos Auch den Kerberos sah ich, mit bissigen Zähnen bewaffnet Böse rollt er die Augen, den Schlund des Hades bewachend. Wagt es einer der Toten an ihm vorbei sich zu schleichen, So schlägt

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase LITTLE BIRD - Sicherheits- und Datenschutzkonzept LITTLE BIRD bietet seinen Kunden und Nutzern größtmöglichen Schutz für sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Sicherheitsbereich.

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008 GPG-Einführung Martin Schütte 13. April 2008 Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende Warum Kryptographie? Vertraulichkeit Mail nur für Empfänger lesbar. Integrität Keine Veränderung

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Inhaltsverzeichnis. office@gundg.at

Inhaltsverzeichnis. office@gundg.at Version 1.0.7 2011-2014 G&G research Inhaltsverzeichnis Inhaltsverzeichnis... 1 Allgemeine Eigenschaften des Softwarepakets... 2 Berechtigungen, Datenschutz, Datensicherheit... 2 Arbeitsbereiche... 3 Brandschutzkatalog...

Mehr

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh, 09.04.2014

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh, 09.04.2014 Sichere kommunale Cloud für Verwaltungen und Schulen Dirk Schweikart, regio it gmbh, 09.04.2014 1 1 Erwartungen der Nutzer Mobiles Arbeiten gewinnt immer mehr an Bedeutung. Orts- und Geräteunabhängiger

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

nexus Timestamp Server

nexus Timestamp Server Lassen Sie sich die Bearbeitungszeit, Integrität und Signaturgültigkeit im Verlauf Ihrer elektronischen Geschäftsprozesse beglaubigen Stempelaufdrucke auf Papierdokumenten wurden seit Jahrhunderten zur

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

MimoSecco. Computing. Cloud. CeBIT, Hannover 01. 05.03.2011

MimoSecco. Computing. Cloud. CeBIT, Hannover 01. 05.03.2011 MimoSecco Middleware for Mobile and Secure Cloud Computing CeBIT, Hannover 01. 05.03.2011 Cloud Computing verspricht... eine gute Auslastung von Servern, immer aktuelle Software, überall konsistente Daten,

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung

DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung Was für ein Tempo! Das Rad dreht sich rasant schnell: Die heutigen Anforderungen an Softwareentwicklung sind hoch und werden

Mehr

Berichte und Thesen aus den Infobörsen

Berichte und Thesen aus den Infobörsen Berichte und Thesen aus den Infobörsen Sommerakademie 2015 Vertrauenswürdige IT-Infrastruktur ein (un?)erreichbares Datenschutziel Infobörse 1 Sicher verschlüsseln mit GnuPG (Gnu Privacy Guard) Ausgehend

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

» CloudCycle. it www.regioit.de. » Sicherheit und Compliance am Beispiel einer Bildungscloud. www.regioit-aachen.de. Dieter Rehfeld, 29.11.

» CloudCycle. it www.regioit.de. » Sicherheit und Compliance am Beispiel einer Bildungscloud. www.regioit-aachen.de. Dieter Rehfeld, 29.11. » CloudCycle» Sicherheit und Compliance am Beispiel einer Bildungscloud Dieter Rehfeld, 29.11.2011 www.regioit-aachen.de it www.regioit.de Die regio it gmbh ab dem 01.10.2011» Gegründet:» Zahlen:» Kunden»

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Zertifizierungsrichtlinie der BTU Root CA

Zertifizierungsrichtlinie der BTU Root CA Brandenburgische Technische Universität Universitätsrechenzentrum BTU Root CA Konrad-Wachsmann-Allee 1 03046 Cottbus Tel.: 0355 69 3573 0355 69 2874 der BTU Root CA Vorbemerkung Dies ist die Version 1.3

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Kurzanleitung digiseal reader

Kurzanleitung digiseal reader Seite 1 von 13 Kurzanleitung digiseal reader Kostenfreie Software für die Prüfung elektronisch signierter Dokumente. Erstellt von: secrypt GmbH Support-Hotline: (0,99 EURO pro Minute aus dem deutschen

Mehr

Ein Rollenspiel zum Verschlüsseln

Ein Rollenspiel zum Verschlüsseln Michael Fothe Preprint Ein Rollenspiel zum Verschlüsseln In diesem Beitrag wird ein Rollenspiel beschrieben, das im Rahmen eines Thüringer Projektes zur Schulentwicklung am Friedrichgymnasium Altenburg

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

ebusiness Lösung Dokumentenaustausch im

ebusiness Lösung Dokumentenaustausch im LEITFADEN ebusiness Lösung Dokumentenaustausch im Web Zusammenarbeit vereinfachen ebusiness Lösung Dokumentenaustausch im Web Impressum Herausgeber ebusiness Lotse Darmstadt-Dieburg Hochschule Darmstadt

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank

Mehr

Sicherheit der Komponenten der Telematik-Infrastruktur

Sicherheit der Komponenten der Telematik-Infrastruktur Sicherheit der Komponenten der Telematik-Infrastruktur IT - Sicherheit im Gesundheitswesen Regelungen und Maßnahmen für eine sichere TI im Zuge der Einführung der egk ( BSI ) Bundesamt für Sicherheit in

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben PGP In diesem Versuch lernen Sie die Sicherheitsmechanismen kennen, die 'Pretty Good Privacy' (PGP) zur Verfügung stellt, um u. a. Vertrauliche

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr