Amazon Web Services: Risiko und Compliance April 2015

Größe: px
Ab Seite anzeigen:

Download "Amazon Web Services: Risiko und Compliance April 2015"

Transkript

1 Amazon Web Services: Risiko und Compliance April 2015 (Unter finden Sie die neueste Version dieses Dokuments.) Seite 1 von 146

2 Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein einfacher Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdem bietet es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumfeldern. In diesem Dokument werden außerdem AWS-spezifische Informationen rund um allgemeine Compliance-Fragen beim Cloud Computing behandelt. Inhaltsverzeichnis Risiko und Compliance Übersicht... 3 Umgebung mit gemeinsamen Zuständigkeiten... 3 Strenge Überwachung von Compliance... 4 Bewerten und Integrieren von AWS-Kontrollen... 4 AWS-IT-Kontrollinformationen... 5 AWS Globale Regionen... 5 AWS-Risiko- und Compliance-Programm... 6 Risikomanagement... 6 Kontrollumfeld AWS-Berichte, Zertifizierungen und Bescheinigungen durch Dritte... 7 FedRAMP SM... 7 FIPS FISMA und DIACAP... 8 HIPAA... 8 ISO DIN ISO/IEC ITAR PCI DSS Level SOC 1/SSAE 16/ISAE SOC SOC Sonstige bewährte Methoden zur Compliance Wichtige Compliance-Fragen und AWS Kontakt mit AWS Anhang A: CSA Consensus Assessments Initiative Fragebogen, Version Anhang B: Ausrichtung von AWS am Content Security Model der Motion Picture Association of America (MPAA) Anhang C: Ausrichtung von AWS auf die Sicherheitsüberlegungen zum Cloud Computing (Cloud Computing Security Considerations) des Australian Signals Directorate (ASD) Anhang D: Glossar und Begriffe Seite 2 von 146

3 Risiko und Compliance Übersicht Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung der IT- Umgebung verantwortlich. Der Anteil von AWS an der gemeinsamen Verantwortung liegt in der Bereitstellung seiner Services auf einer überaus sicheren und kontrollierten Plattform sowie einer breiten Palette von Sicherheitsfunktionen, die Kunden nutzen können. In der Verantwortung der Kunden liegt die Konfiguration ihrer IT-Umgebungen auf sichere und kontrollierte Weise für die vorgesehenen Zwecke. Während Kunden ihre Nutzung und Konfigurationen nicht AWS mitteilen, gibt AWS Informationen über sein Sicherheits- und Kontrollumfeld preis, das für Kunden relevant ist. Dies geschieht seitens AWS wie folgt: Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem Dokument beschrieben sind Veröffentlichen von Informationen zu AWS-Sicherheits- und Kontrollpraktiken in Whitepaper und auf Websites Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im Rahmen der Vertraulichkeitsvereinbarung (falls erforderlich) Eine detailliertere Beschreibung der AWS-Sicherheit finden Sie finden Sie im AWS-Sicherheitszentrum. Im Whitepaper Sicherheitsprozesse im Überblick werden die allgemeinen Sicherheitskontrollen und servicespezifischen Sicherheitsvorkehrungen beschrieben. Umgebung mit gemeinsamen Zuständigkeiten Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell der gemeinsamen Zuständigkeiten zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Durch Nutzung von Technologien wie hostbasierte Firewalls, hostbasierte Erkennung und Verhinderung des unbefugten Eindringens in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit erhöhen und/oder ihre strengeren Compliance-Anforderungen erfüllen. Dieses Modell der geteilten Zuständigkeiten sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die die branchenspezifischen Anforderungen für die Zertifizierung erfüllen. Das Modell der gemeinsamen Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind, und die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT- Kontrollen an AWS profitieren, was zu einem (neuen) verteilten Kontrollumfeld führt. Kunden können die verfügbare Dokumentation zu AWS-Kontrollen und -Compliance (im Abschnitt "AWS-Zertifizierungen und Bescheinigungen von Dritten" dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den Anforderungen entsprechend auszuführen. Seite 3 von 146

4 Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihr verteiltes Kontrollumfeld effektiv bewerten und überprüfen können. Strenge Überwachung von Compliance Wie gewohnt müssen AWS-Kunden unabhängig von der Art der IT-Bereitstellung weiterhin für eine angemessene Überwachung des gesamten IT-Kontrollumfelds sorgen. Zu den führenden Methoden zählen das Verstehen der zu erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten eines Kontrollumfelds, das diese Ziele und Anforderungen erfüllt, das Verstehen der basierend auf der Risikotoleranz der Organisation erforderlichen Überprüfung und das Bestätigen der betrieblichen Effektivität des Kontrollumfelds. Die Bereitstellung in der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten zum Anwenden verschiedener Arten von Kontrollen und Überprüfungsmethoden. Eine strenge Compliance und Überwachung auf Kundenseite kann dem folgenden einfachen Ansatz folgen: 1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes Dokumentieren aller Compliance-Anforderungen 2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen des Unternehmens 3. Bestimmen und Dokumentieren von Kontrollen in der Zuständigkeit externer Parteien 4. Bestätigen, dass alle Kontrollziele erfüllt werden und alle wichtigen Kontrollen effektiv entworfen sind und betrieben werden Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser mit ihrem Kontrollumfeld vertraut und können dadurch die durchzuführenden Überprüfungsaufgaben besser erledigen. Bewerten und Integrieren von AWS-Kontrollen AWS bietet seinen Kunden umfassende Informationen über seine IT-Kontroll-Umgebung, beispielsweise durch Whitepapers, Berichte, Zertifizierungen oder Bestätigungen von Dritten. Diese Dokumentation hilft Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services zu erfahren und zu verstehen, wie diese Kontrollfunktionen eingestuft wurden. Diese Informationen helfen Kunden ebenfalls bei der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind. Üblicherweise werden die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne und/oder externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung geprüft. Zum Überprüfen von Kontrollen erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine direkte Beobachtung/Untersuchung. Bei Serviceanbietern wie AWS werden Bescheinigungen und Zertifizierungen von Dritten angefordert und bewertet, um die begründete Gewissheit hinsichtlich Entwurfs- und Betriebseffektivität von Kontrollziel und Kontrollen zu haben. Auch wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, kann das Kontrollumfeld im Ergebnis weiter ein einheitliches Rahmenwerk sein, in dem alle Kontrollen berücksichtigt und als effektiv betrieben bestätigt werden. Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur für einen höheren Grad der Überprüfung des Kontrollumfelds, sondern können Kunden die Anforderung abnehmen, bestimmte Überprüfungsaufgaben für ihre IT-Umgebung in der AWS-Cloud selbst zu erledigen. Seite 4 von 146

5 AWS-IT-Kontrollinformationen AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen: 1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen bestimmen. Schlüsselkontrollen sind für das Kontrollumfeld des Kunden sehr wichtig und erfordern eine externe Bescheinigung der Betriebseffektivität dieser Schlüsselkontrollen, um Compliance-Anforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem Service Organization Controls 1 (SOC 1) Type II-Bericht. Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70, Service Organizations-Bericht und allgemein SSAE 16-Bericht (Statement on Standards for Attestation Engagements No. 16 genannt, ist eine umfassend anerkannte Prüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten (zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). "Type II" bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht identifizierten Kontrollen Kunden mit einem hohen Maß an Vertrauen in das Kontrollumfeld von AWS versehen. Die Kontrollen von AWS zeichnen sich für zahlreiche Compliance-Zwecke, so z. B. Bilanzprüfungen nach Sarbanes-Oxley (SOX) Abschnitt 404, durch einen effektiven Entwurf und Betrieb aus. Das Arbeiten mit SOC 1 Type II-Berichten wird auch von anderen externen Zertifizierungsstellen generell zugelassen (beispielsweise können DIN ISO/IEC Prüfer einen SOC 1 Type II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen). Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS mit Payment Card Industry (PCI)- und Federal Information Security Management Act (FISMA)-Standards. Wie nachfolgend erläutert, befolgt AWS die FISMA Moderate-Standards und den PCI Data Security Standard. Diese PCI- und FISMA-Standards zeichnen sich durch strenge Vorschriften aus und erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards befolgt. 2. Allgemeine Kontrolle der Standard-Compliance. Wenn ein AWS-Kunde will, dass eine breite Palette von Kontrollzielen erfüllt wird, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen. AWS ist nach DIN ISO/IEC zertifiziert, erfüllt somit einen weitreichenden Sicherheitsstandard und befolgt bewährte Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data Security Standard (PCI DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen, die für Kreditkartendaten verarbeitende Unternehmen maßgeblich sind. AWS befolgt die FISMA-Standards und bietet dadurch einen breite Palette spezifischer Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung dieser allgemeinen Standards sind Kunden in umfassender Weise und eingehend über das Wesen der vorhandenen Kontrollen und Sicherheitsprozesse, die beim Compliance-Management Berücksichtigung finden können, informiert. AWS-Berichte und -Zertifizierungen sowie Bescheinigungen durch Dritte werden im weiteren Verlauf dieses Dokuments detaillierter behandelt. AWS Globale Regionen Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit errichtet. Derzeit gibt es neun Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), Asien- Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney) und Südamerika (São Paulo). Seite 5 von 146

6 AWS-Risiko- und Compliance-Programm AWS bietet Informationen zu seinem Risiko- und Compliance-Programm, damit Kunden AWS-Kontrollen in ihr Überwachungsrahmenwerk integrieren können. Mithilfe dieser Informationen können Kunden ein vollständiges Kontroll- und Überwachungsrahmenwerk dokumentieren, in dem AWS eine wichtige Rolle einnimmt. Risikomanagement Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Aufgrund dieses Plans muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den Umgang mit solchen Risiken umsetzen. Zusätzlich wird das Kontrollumfeld von AWS verschiedenen internen und externen Risikoanalysen unterzogen. Die Compliance- und Sicherheitsteams von AWS haben ein Rahmenwerk für die und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related Technology) und ist wirksam integriert mit dem auf ISO Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC Rahmenwerk, den Prinzipien des American Institute of Certified Public Accountants (AICPA) Trust Services, PCI DSS v3.0 und National Institute of Standards and Technology (NIST) Publication Rev 3 (Recommended Security Controls for Federal Information Systems). AWS pflegt die Sicherheitsrichtlinien nach, führt Sicherheitsschulungen für Mitarbeiter durch und prüft die Anwendungssicherheit. Im Rahmen dieser Überprüfungen wird die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für die bewertet. In regelmäßigen Abständen untersucht das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen ab (Instances von Kunden werden nicht untersucht). Das AWS- Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Überprüfung auf Schwachstellen beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Diese Untersuchungen werden zum Erhalten der Integrität und Funktionsfähigkeit der zugrunde liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht dazu gedacht, die kundeneigenen Untersuchungen auf Schwachstellen zu ersetzen, die notwendig sind, um die jeweils geltenden Compliance-Anforderungen zu erfüllen. Kunden können die Erlaubnis zur Durchführung solcher Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine Genehmigung dieser Arten von Untersuchungen kann über das Formular "AWS Vulnerability/Penetration Testing" beantragt werden. Kontrollumfeld AWS verwaltet ein umfassendes Kontrollumfeld, zu dem Richtlinien, Prozesse und Kontrollaktivitäten gehören, die verschiedene Funktionen des allgemeinen Kontrollumfelds von Amazon nutzen. Dieses Kontrollumfeld dient der sicheren Bereitstellung der AWS-Serviceangebote. Das gemeinsame Kontrollumfeld umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, die die Betriebseffektivität des AWS-Kontrollrahmenwerks unterstützt. AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud Computing-Branchengremien definiert wurden, in das AWS-Kontrollrahmenwerk integriert. AWS verfolgt ständig, welche Vorschläge diese Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden bei der Verwaltung ihres Kontrollumfelds besser unterstützt werden können. Seite 6 von 146

7 Das Kontrollumfeld von Amazon setzt auf der Führungsebene des Unternehmens ein. Geschäftsleitung und leitende Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslinien für sie vorgesehen. Als Teil des Verifizierungsprozesses des Unternehmens für Einstellungen werden Ausbildung, bisherige Arbeitsverhältnisse und in manchen Fällen Hintergrundprüfungen einbezogen, soweit dies durch Arbeitnehmergesetze und -regelungen im Hinblick auf die Position des Mitarbeiters und die Zugriffsebene auf AWS-Einrichtungen angemessen ist. Neue Mitarbeiter werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des Unternehmens vertraut gemacht. AWS hat ein formelles sprogramm zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zur Sicherheit, das auf der öffentlichen Website verfügbar ist und in dem erklärt wird, wie AWS Kunden beim Schutz ihrer Daten helfen kann. AWS-Berichte, Zertifizierungen und Bescheinigungen durch Dritte AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert wurden und umgesetzt werden. FedRAMP SM AWS ist ein zugelassener Anbieter von Cloud-Services für das Federal Risk and Authorization Management Program (FedRAMP sm ). AWS wurde durch eine von FedRAMP sm autorisierte Third Party Assessment Organization (3PAO) geprüft und hat zwei ATO-Genehmigungen (Agency Authority to Operate) vom US-Gesundheitsministerium erhalten, nachdem die Einhaltung der FedRAMP sm -Anforderungen auf der mittleren Sicherheitsstufe nachgewiesen wurde. Alle US- Bundesbehörden können die im FedRAMP sm -Repository gespeicherten Agentur-ATO-Pakete verwenden, um AWS für ihre Anwendungen und Arbeitslasten zu bewerten, Autorisierungen für die Verwendung von AWS bereitzustellen und Arbeitslasten in die AWS-Umgebung zu übertragen. Die beiden FedRAMP sm -Agentur-ATOs umfassen sämtliche Regionen der USA (die AWS GovCloud (US)-Region und die AWS US East/West-Regionen). Seite 7 von 146

8 Die folgenden Services fallen unter die Zulassung für die zuvor genannten Regionen: Amazon Redshift Amazon Redshift ist ein schneller, vollständig verwalteter Data Warehouse-Service für Datenmengen im Petabyte-Bereich, mit dem Sie im Zusammenspiel mit Ihren vorhandenen Business Intelligence-Tools alle Ihre Daten einfach und wirtschaftlich analysieren können. Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 bietet anpassbare Rechenkapazität in der Cloud. Der Service ist darauf ausgelegt, Cloud Computing für Entwickler zu erleichtern. Amazon Simple Storage Service (S3) Amazon S3 bietet eine einfache Web-Service-Schnittstelle zum Speichern und Abrufen einer beliebigen Datenmenge zu jeder Zeit und von jedem Ort im Internet aus. Amazon Virtual Private Cloud (VPC) Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten Bereichs in AWS, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Amazon Elastic Block Store (EBS) Amazon EBS bietet hochverfügbare, zuverlässige und berechenbare Speicher- Volumes, die mit einer ausgeführten Amazon EC2-Instance verbunden und als Gerät zur Verfügung gestellt werden können. AWS Identity and Access Management (IAM) Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern. Weitere Informationen zur AWS FedRAMP sm -Compliance finden Sie in den häufig gestellten Fragen zu AWS FedRAMP sm. FIPS Die Veröffentlichung des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US- Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS Anforderungen zu unterstützen, werden SSL-Terminierungen auf AWS GovCloud (US) mit FIPS validierter Hardware ausgeführt. AWS arbeitet mit AWS GovCloud (US)-Kunden zusammen, um ihnen die Informationen bereitzustellen, die sie beim Compliance-Management mit der AWS GovCloud (US)-Umgebung benötigen. FISMA und DIACAP AWS ermöglicht es US-Bundesbehörden, die langfristige Einhaltung des Federal Information Security Management Act (FISMA) zu erreichen. Die AWS-Infrastruktur wurde von unabhängigen Prüfern für verschiedene Regierungssysteme im Rahmen ihres Genehmigungsprozesses für Systeminhaber bewertet. Zahlreiche Zivilbehörden und Abteilungen des Verteidigungsministeriums haben erfolgreich Sicherheitsautorisierungen für auf AWS gehostete Systeme gemäß dem Risk Management Framework-Prozess (RMF) erhalten, der in NIST und dem Zertifizierungs- und Akkreditierungsprozess für des Verteidigungsministeriums (DoD Information Assurance Certification and Accreditation Process, (DIACAP) festgelegt ist. HIPAA AWS ermöglicht Körperschaften, die dem Health Insurance Portability and Accountability Act (HIPAA) der USA unterliegen, sowie ihren Geschäftspartnern, geschützte patientenbezogene Daten zu verarbeiten, zu warten und zu speichern; AWS schließt mit solchen Kunden Verträge über eine Geschäftspartnerschaft ab. AWS bietet außerdem ein Whitepaper mit Schwerpunkt auf HIPAA für Kunden, die mehr darüber erfahren möchten, wie AWS zur Verarbeitung und Speicherung von Patientendaten genutzt werden kann. Das Whitepaper Creating HIPAA-Compliant Medical Data Applications with AWS zeigt auf, wie Unternehmen AWS einsetzen können, um die Compliance mit HIPAA and Health Information Technology for Economic and Clinical Health (HITECH) zu unterstützen. Seite 8 von 146

9 Kunden können jeden AWS-Service in einem Konto nutzen, das als HIPAA-Konto ausgewiesen ist, sie sollten PHI jedoch nur in den HIPAA-konformen Services speichern und übertragen, die in den BAA definiert sind. Es gibt derzeit sechs HIPAA-konforme Services: Amazon EC2, Amazon EBS, Amazon S3, Amazon Redshift, Amazon Glacier und Amazon Elastic Load Balancer. AWS befolgt ein standardbasiertes Risikomanagementprogramm, um sicherzustellen, dass die HIPAA-konformen Services die spezifischen Sicherheits-, Kontroll- und Verwaltungsprozesse unterstützen, die gemäß HIPAA erforderlich sind. Indem unsere Kunden diese Services nutzen, um PHI zu speichern und zu verarbeiten, können sie und AWS die HIPAA-Anforderungen erfüllen, die für unser dienstprogrammbasiertes Betriebsmodell gelten. AWS gibt je nach Kundennachfrage neuen konformen Services Vorrang bzw. fügt diese hinzu. ISO 9001 AWS hat eine ISO 9001-Zertifizierung erhalten. Die ISO 9001-Zertifizierung von AWS unterstützt direkt diejenigen Kunden, die ihre qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln, migrieren und betreiben. Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen Programme gemäß ISO 9001 und branchenspezifischen Qualitätsprogrammen nutzen, etwa GxP in Biowissenschaften, ISO für medizinische Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS im Automobilsektor. AWS-Kunden, die für ihr Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der zusätzlichen Gewissheit und Transparenz, die eine Zertifizierung gemäß ISO 9001 bietet. Die ISO 9001-Zertifizierung deckt das Qualitätsmanagementsystem über einen festgelegten Umfang von AWS-Services und -Betriebsregionen (siehe unten) sowie Services hinweg ab. Dazu gehören: AWS Cloud Formation AWS Cloud-Hardware-Sicherheitsmodul (HSM) AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) AWS Storage Gateway Amazon Simple Workflow Service (SWF) Amazon Virtual Private Cloud (VPC) Die zugrunde liegende physische Infrastruktur und die AWS-Verwaltungsumgebung Die Zertifizierung gemäß ISO 9001 von AWS gilt für diese AWS-Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), Asien-Pazifik (Singapur), Asien- Pazifik (Sydney) und Asien-Pazifik (Tokio). Seite 9 von 146

10 ISO 9001:2008 ist eine weltweite Norm für das Qualitätsmanagement von Produkten und Dienstleistungen. Die Norm 9001 umreißt ein Qualitätsmanagementsystem auf der Grundlage von acht Prinzipien, die vom technischen Ausschuss für Qualitätsmanagement und Qualitätssicherung der Internationalen Organisation für Normung (International Organization for Standardization ISO) definiert wurde. Dazu gehören die Folgenden: Kundenorientierung Führerschaft Einbeziehung von Personen Prozessorientierte Verfahrensweise Systemorientierter Managementansatz Kontinuierliche Verbesserung Sachbezogene Entscheidungsfindung Lieferantenbeziehungen zum gegenseitigen Nutzen DIN ISO/IEC AWS hat die ISO Zertifizierung seines s-managementsystems (ISMS) erreicht, das Infrastruktur, Rechenzentren und Services von AWS abdeckt. Dazu gehören: AWS CloudFormation AWS CloudTrail Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) AWS Direct Connect Amazon EC2 VM Import/Export AWS Cloud-Hardware-Sicherheitsmodul (HSM) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWS-Verwaltungsumgebung Seite 10 von 146

11 DIN ISO/IEC 27001/ISO ist ein weit verbreiteter globaler Sicherheitsstandard, der Anforderungen und bewährte Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über einen systematischen und kontinuierlichen Ansatz für den Umgang mit srisiken verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung unterstreicht das Engagement von Amazon, Sicherheitskontrollen und -praktiken transparent zu machen. Die Zertifizierung von AWS nach DIN ISO/IEC umfasst alle AWS-Rechenzentren in allen Regionen weltweit. Außerdem hat AWS ein formelles Programm eingeführt, um die Zertifizierung zu bestätigen. AWS bietet auf seiner Website weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach DIN ISO/IEC ITAR Die AWS GovCloud (US)-Region unterstützt die Einhaltung der US International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels). Als Teil der Verwaltung eines umfangreichen Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Daher können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und speichern. Die Umgebung AWS GovCloud (USA) wurde durch einen unabhängigen Dritten geprüft, um sicherzustellen, dass die ordnungsgemäßen Kontrollen zur Unterstützung der Exportregelungsprogramme von Kunden vorhanden sind. PCI DSS Level 1 AWS erfüllt die Anforderungen von "Level 1" des PCI (Payment Card Industry) DSS (Data Security Standard), dem Datensicherheitsstandard der Zahlungs- und Kreditkartenbranche. Kunden können ihre Anwendungen auf unserer PCIkonformen Technologieinfrastruktur für die Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten in der Cloud ausführen. Im Februar 2013 hat das PCI Security Standards Council die PCI DSS Cloud Computing Guidelines herausgegeben. Diese Leitlinien bieten Kunden, die eine Datenumgebung für Karteninhaber betreiben, Anleitungen zum Einrichten von PCI DSS-Kontrollen in der Cloud. AWS hat die PCI DSS Cloud Computing-Leitlinien in das AWS PCI- Compliance-Paket für Kunden integriert. Das AWS PCI Compliance-Paket umfasst die AWS PCI Attestation of Compliance (AoC), die bestätigt, dass AWS die Standards für Dienstanbieter der Stufe 1 gemäß PCI DSS Version 3.0 erfüllt, und die AWS PCI Responsibility Summary, in der erläutert wird, wie sich AWS und seine Kunden die Zuständigkeiten für Compliance in der Cloud teilen. Für folgende Services gilt PCI DSS der Stufe 1: AWS Auto Scaling AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB (DDB) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Seite 11 von 146

12 Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB (SDB) Amazon Simple Storage Service (S3) Amazon SQS Amazon SWF Amazon Virtual Private Cloud (VPC) Welche Services aktuell unter die AWS PCI DSS-Zertifizierung der Stufe 1 fallen, kann hier eingesehen werden: Häufige Fragen zu PCI DSS der Stufe 1. SOC 1/SSAE 16/ISAE 3402 Amazon Web Services veröffentlicht den Bericht "Service Organization Controls 1 (SOC 1), Type II". Die dieser Berichterstattung zugrunde liegende Prüfung wird in Übereinstimmung mit den Standards "Statement on Standards for Attestation Engagements No. 16 (SSAE 16)" und "International Standards for Assurance Engagements No (ISAE 3402)" durchgeführt. Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine breite Palette finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und die einzelnen zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden. Dieser Bericht ersetzt den Prüfbericht "Statement on Auditing Standards Nr. 70 (SAS 70) Type II". Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese Ziele unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers angegeben. Zielbereich Sicherheitsorganisation Amazon- Benutzerzugriff Logische Sicherheit Sicherer Umgang mit Daten Physische Sicherheit und Schutzvorkehrungen für die Umgebung Änderungsmanagement Integrität, Verfügbarkeit und Redundanz von Daten Umgang mit Vorfällen Zielbeschreibung Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien für die in Kraft gesetzt und in der gesamten Organisation vermittelt wurden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Verfahren so eingerichtet wurden, dass Amazon-Benutzerkonten zeitgerecht hinzugefügt, geändert und gelöscht sowie regelmäßig überprüft werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass unerlaubter Zugriff auf die Daten von interner und externer Stelle beschränkt wird und dass der Zugriff auf die Daten eines Kunden vom Zugriff auf die Daten anderen Kunden getrennt ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenverarbeitung zwischen dem Ausgangspunkt des Kunden und dem Speicherort von AWS sicher und ordnungsgemäß zugeordnet ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass der physische Zugriff auf das Betriebsgebäude von Amazon und die Rechenzentren auf autorisiertes Personal beschränkt ist und dass Verfahren zum Minimieren der Auswirkungen einer Fehlfunktion oder eines physischen Ausfalls der Computer- und Rechenzentrumsanlagen in Kraft sind. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Änderungen (einschließlich bei Notfällen/Abweichungen von der Routine und Konfigurationen) an den vorhandenen IT-Ressourcen protokolliert, autorisiert, getestet, genehmigt und dokumentiert werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenintegrität in allen Phasen von der Übermittlung über die Speicherung bis hin zur Verarbeitung gewährleistet ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Systemvorfälle aufgezeichnet, untersucht und behoben werden. Seite 12 von 146

13 Bei den SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS ebenso breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen von Kundenbilanzen vom jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige Kontrollen ab, die während einer Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite Palette allgemeiner IT-Kontrollen abgedeckt, um eine Vielzahl von Nutzungs- und Prüfszenarien zu berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWS-Infrastruktur zum Speichern und Verarbeiten kritischer Daten einschließlich derjenigen, die für den Bilanzberichtsprozess wesentlich sind. AWS analysiert regelmäßig die Auswahl dieser Kontrollen neu, um Kundenfeedback und die Nutzung dieses wichtigen Prüfberichts zu berücksichtigen. AWS arbeitet weiter am SOC 1-Bericht und wird den Prozess regelmäßiger Prüfungen fortsetzen. Der SOC 1-Bericht umfasst Folgendes: SOC 2 AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export Amazon Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon ElastiCache Amazon Elastic Compute Cloud (EC2) Amazon Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Workflow (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Zusätzlich zum SOC 1-Bericht (Service Organization Controls) veröffentlicht AWS einen SOC-Bericht, Typ II. Der SOC 2- Bericht ist ähnlich wie der SOC 1-Bericht eine Bescheinigung, für die die Bewertung der Kontrollfunktionen auf die Kriterien der American Institute of Certified Public Accountants (AICPA) Trust Services Principles ausgeweitet wird. Diese Grundsätze bestimmen für Serviceanbieter wie AWS maßgebliche Kontrollfunktionen für die Praxis hinsichtlich Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Der AWS SOC 2-Bericht ist eine Bewertung der Entwurfs- und Betriebseffektivität von Kontrollfunktionen, die die Kriterien der Sicherheitsgrundsätze in den Trust Services Principles-Kriterien der AICPA erfüllen. Dieser Bericht bietet mehr Transparenz hinsichtlich der AWS- Sicherheitseinstellungen basierend auf einem vordefinierten Branchenstandard für bewährte Methoden und unterstreicht ferner den unbedingten Willen von AWS, Kundendaten zu schützen. Der SOC 2-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung. Seite 13 von 146

14 SOC 3 AWS veröffentlicht einen Bericht "Service Organization Controls 3 (SOC 3)". Der SOC 3-Bericht ist eine öffentlich zugängliche Zusammenfassung des SOC 2-Berichts und bietet das Sicherheitssiegel AICPA SysTrust Security Seal. Der Bericht umfasst die Auffassung des externen Auditors hinsichtlich des Einsatzes der Kontrollen (basierend auf den im SOC 2-Bericht eingeschlossenen AICPA s Security Trust Principles ), die Aussage der AWS-Führung bezüglich der Wirksamkeit der Kontrollen und einen Überblick über die AWS-Infrastruktur und -Services. Der AWS SOC 3-Bericht schließt alle AWS-Rechenzentren weltweit ein, deren Services diesen Vorschriften unterliegen. Dieser Bericht ermöglicht Kunden eine Bestätigung, dass AWS eine externe Prüfbescheinigung erhalten hat, ohne den Prozess der Beantragung eines SOC 2- Berichts durchlaufen zu müssen. Der SOC 3-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung. Den AWS SOC 3-Bericht können Sie hier anzeigen: Sonstige bewährte Methoden zur Compliance Die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform erlaubt die Bereitstellung von Lösungen, die branchenspezifischen Zertifizierungsanforderungen genügen. CSA: AWS hat den Fragenkatalog der Cloud Security Alliance (CSA) Consensus Assessments Initiative beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Bezugnahme und Dokumentation, welche Sicherheitsvorkehrungen in der IaaS-Infrastruktur von AWS geboten werden. Der Fragebogen (CAIQ) umfasst 140 Fragen, die ein Cloud-Nutzer und Cloud-Auditor einem Cloud-Anbieter eventuell stellen möchten. In Anhang A dieses Dokuments finden Sie den von AWS ausgefüllten Fragenkatalog der CSA Consensus Assessments Initiative. MPAA: Die Motion Picture Association of America (MPAA) hat bewährte Methoden für die sichere Speicherung, Verarbeitung und Bereitstellung geschützter Medien und Inhalte erarbeitet (http://www.fightfilmtheft.org/facility-security-program.html). Medienunternehmen nutzen diese bewährten Methoden als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur. AWS hat die Befolgung bewährter Methoden von MPAA unter Beweis gestellt und die AWS-Infrastruktur erfüllt sämtliche geltenden MPAA-Infrastrukturkontrollen. Wenngleich die MPAA keine "Zertifizierung" bietet, können Kunden aus der Medienbranche AWS MPAA-Dokumentation zur Verbesserung ihrer Risikoanalyse und Überprüfung von MPAA-Inhalten in AWS benutzen. In Anhang B dieses Dokuments finden Sie Informationen über die Ausrichtung von AWS am Content Security Model der Motion Picture of America Association (MPAA). Seite 14 von 146

15 Wichtige Compliance-Fragen und AWS In diesem Abschnitt werden allgemeine AWS-spezifische Fragen zur Compliance beim Cloud Computing behandelt. Diese allgemeinen Compliance-Fragen sind ggf. bei der Überprüfung des Betriebs in einer Cloud Computing-Umgebung von Interesse und können die Anstrengungen von AWS-Kunden beim Kontrollmanagement unterstützen. Punkt Fragen zum Cloud- Informationen zu AWS Computing 1 Zuständigkeit für Kontrollen. Wer ist für welche Kontrollen in der Infrastruktur zuständig, die in der Cloud bereitgestellt ist? 2 Überprüfung der IT. Wie kann eine Überprüfung des Cloud- Anbieters erfolgen? 3 Compliance mit Sarbanes- Oxley (SOX). Wie wird SOX- Compliance erreicht, wenn SOX unterliegende Systeme in der Umgebung des Cloud- Anbieters bereitgestellt werden? 4 Compliance mit HIPAA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters HIPAA-Vorgaben erfüllt werden? Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen Komponenten der jeweiligen Technologie. Der Kunde übernimmt die Zuständigkeit und Kontrolle für alle anderen Komponenten, einschließlich Verbindungspunkte und Übertragungen. Um Kunden besser zu veranschaulichen, welche Kontrollen vorhanden sind und wie effektiv diese sind, veröffentlicht AWS einen SOC 1 Type II-Bericht zu den für EC2, S3 und VPC definierten Kontrollen sowie detaillierte Angaben zu den Kontrollen der physischen Sicherheit und Umgebung. Diese Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der physischen Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die Definition der von AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht dokumentiert (SSAE 16). Dieser Bericht steht Audit- und Compliance-Teams zur Prüfung zur Verfügung. Die AWS-Zertifizierung nach DIN ISO/IEC und andere Zertifizierungen können ebenfalls von Prüfern geprüft werden. Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen Prüfer des Kunden ggf. fest, dass einige AWS-Systeme den Sarbanes-Oxley (SOX)- Vorschriften unterliegen. Die Prüfer des Kunden müssen selbständig bestimmen, ob SOX-Vorschriften gelten. Da die meisten logischen Zugriffskontrollen vom Kunden verwaltet werden, ist der Kunde am ehesten in der Lage zu bestimmen, ob seine Kontrollmaßnahmen geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische Informationen zu den physischen Kontrollen von AWS wünschen, können sie Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die Kontrollen von AWS detailliert beschrieben werden. HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen zu, die branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen. Kunden können AWS-Services nutzen, um für einen Sicherheitsgrad zu sorgen, der die Vorschriften zum Schutz elektronischer Patientenakten auf jeden Fall erfüllt. Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Sicherheits- und Datenschutzregeln von HIPAA entsprechen. AWS bietet auf seiner Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein Whitepaper zu diesem Thema. Seite 15 von 146

16 Punkt Fragen zum Cloud- Computing 5 Compliance mit GLBA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters GLBA- Zertifizierungsvorgaben erfüllt werden? 6 Compliance mit US- Bundesvorschriften. Kann eine US-Bundesbehörde bei einer Bereitstellung in der Umgebung des Cloud- Anbieters Sicherheits- und Datenschutzvorschriften erfüllen? 7 Speicherort der Daten. Wo sind Kundendaten gespeichert? 8 E-Discovery. Erfüllt der Cloud- Anbieter die Anforderungen des Kunden hinsichtlich E- Discovery-Verfahren und - Vorgaben? 9 Rechenzentrumsbesuche. Lässt der Cloud-Anbieter Besuche von Rechenzentren zu? Informationen zu AWS Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden. AWS bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten von Berechtigungen und Erstellen GLBA-konformer Anwendungen in der AWS- Infrastruktur. Wenn Kunden sich vergewissern möchten, ob physische Sicherheitskontrollen effektiv arbeiten, können sie den Anforderungen entsprechend Bezug auf den AWS SOC 1 Type II-Bericht nehmen. US-Bundesbehörden können eine Reihe von Standards einhalten wie z. B. den Federal Information Security Management Act (FISMA) von 2002, Federal Risk and Authorization Management Program (FedRAMP sm ), den Federal Information Processing Standard (FIPS) Publication und die International Traffic in Arms Regulations (ITAR). Je nach Vorgaben im jeweiligen Regelwerk ist auch die Einhaltung weiterer Gesetze und Vorschriften möglich. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. Die Datenreplikation für S3-Datenobjekte erfolgt innerhalb des regionalen Clusters, in dem die Daten gespeichert sind, und die Daten werden nicht in andere Rechenzentrums-Cluster in anderen Regionen repliziert. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es neun Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), Asien- Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney) und Südamerika (São Paulo). AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und installierte Anwendungen. Es liegt in der Zuständigkeit des Kunden für den Fall eines Rechtsverfahrens, elektronische Dokumente, die in AWS gespeichert oder verarbeitet werden, zu bestimmen, zu sammeln, zu verarbeiten, zu analysieren und vorzulegen. Auf Antrag arbeitet AWS ggf. mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung durch AWS benötigen. Nein. Aufgrund der Tatsache, dass in unseren Rechenzentren viele Kunden gehostet werden, lässt AWS keine Rechenzentrumsbesuche durch Kunden zu, da damit das Risiko besteht, dass eine dritte Partei physischen Zugriff auf die Daten vieler Kunden hat. Zur Erfüllung dieser Kundenanforderung überprüft ein unabhängiger und kompetenter Prüfer das Vorhandensein und den Einsatz von Kontrollen als Teil unseres SOC 1 Type II-Berichts (SSAE 16). Durch diese weitreichend akzeptierte Bescheinigung durch einen Dritten erhalten Kunden eine unabhängige Sicht auf die Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Prüfungen der physischen Sicherheit von Rechenzentren gehören zum ISO Audit, der PCI-Bewertung, dem ITAR-Audit und den Testprogrammen der FedRAMP sm. Seite 16 von 146

17 Punkt Fragen zum Cloud- Computing 10 Zugriff durch Dritte. Dürfen Dritte auf die Rechenzentren des Cloud-Anbieters zugreifen? 11 Privilegierte Aktionen. Werden privilegierte Aktionen überwacht und kontrolliert? 12 Zugriff durch Unternehmensangehörige. Wie geht der Cloud-Anbieter mit dem Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige auf Kundendaten und - anwendungen um? 13 Mehrere Mandanten. Ist die Trennung der Daten verschiedener Kunden sicher umgesetzt? 14 Hypervisor-Schwachstellen. Hat der Cloud-Anbieter bekannte Hypervisor- Schwachstellen beseitigt? Informationen zu AWS AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei internen Mitarbeitern. Dritte erhalten nur Zutritt zu AWS-Rechenzentren, wenn dies explizit durch den zuständigen Manager des jeweiligen AWS-Rechenzentrums gemäß der AWS-Zutrittsrichtlinie genehmigt ist. Im SOC 1 Type II-Bericht finden Sie die für den physischen Zutritt und die Zutrittsgenehmigung für Rechenzentren geltenden Kontrollen sowie weitere Kontrollen. Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Zutrittskontrolle für berechtigte Benutzer wird von einem unabhängigen Auditor im Rahmen der SOC 1-, ISO , PCI-, ITAR- und FedRAMP sm -Audits bei AWS überprüft. AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige beziehen, und die öffentlichen Zertifizierungs- und Compliance-Initiativen, die in diesem Dokument behandelt werden, befassen sich mit dem Zugriff durch Unternehmensangehörige. Bei sämtlichen Zertifizierungen und Bescheinigungen durch Dritte werden präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht wird. Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten. AWS hat Sicherheitsverwaltungsprozesse, PCI-Kontrollen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden daran gehindert werden, auf physische Hosts oder Instances zuzugreifen, die ihnen nicht zugewiesen sind, indem eine Filterung durch die Virtualisierungssoftware erfolgt. Diese Architektur wurde von einem unabhängigen PCI Qualified Security Assessor (QSA) bestätigt und hält alle Anforderungen der im November 2013 veröffentlichten PCI DSS Version 3.0 ein. Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestartet werden und nur zur Ausführung der Hardware eines einzigen Kunden dienen. Mithilfe von Dedicated Instances kommen Sie in den vollen Genuss der Vorteile der Amazon VPC und AWS-Cloud, während Ihre Amazon EC2-Instances auf Hardware-Ebene isoliert werden. Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zum Xen-Hypervisor und zur strikten Trennung von Instances. Seite 17 von 146

18 Punkt Fragen zum Cloud- Computing 15 Umgang mit Schwachstellen. Werden Patches ordnungsgemäß in Systeme eingespielt? 16 Verschlüsselung. Unterstützen die bereitgestellten Services eine Verschlüsselung? 17 Rechte an Daten. Welche Rechte werden dem Cloud- Anbieter an Kundendaten eingeräumt? 18 Datenisolierung. Trennt der Cloud-Anbieter Kundendaten auf angemessene Weise? 19 Zusammengesetzte Services. Bietet der Cloud-Anbieter seinen Service im Zusammenspiel mit Cloud- Services anderer Anbieter an? 20 Physische und Umgebungskontrollen. Werden diese Kontrollen vom angegebenen Cloud-Anbieter übernommen? 21 Schutz auf Client-Seite. Erlaubt der Cloud-Anbieter Kunden die Absicherung und Verwaltung des Zugriffs von Clients wie PCs und mobilen Geräten? 22 Serversicherheit. Erlaubt der Cloud-Anbieter Kunden die Absicherung ihrer virtuellen Server? Informationen zu AWS AWS ist zuständig für das Einspielen von Patches in Systeme, die für die Bereitstellung von Services für die Kunden genutzt werden, z. B. Hypervisor und Netzwerkdienste. Dies erfolgt gemäß AWS-Richtlinien sowie DIN ISO/IEC , NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle ihrer eigenen Gastbetriebssysteme, Software und Anwendungen. Sie sind demzufolge für das Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich. Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. IPsec- Tunnel zu VPC sind auch verschlüsselt. Amazon S3 bietet Kunden auch als Option die serverseitige Verschlüsselung. Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen finden Sie im AWS-Whitepaper zur Sicherheit. Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Amazon S3 bietet erweiterte Datenzugriffskontrollen. Weitere Informationen zur Sicherheit bestimmter Datenservices finden Sie im AWS-Whitepaper zur Sicherheit. AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden AWS-Services zu bieten. Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht. Zudem sind aufgrund weiterer von AWS unterstützter Zertifikate, wie ISO und FedRAMP sm, bewährte Methoden für physische und Umgebungskontrollen erforderlich. Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen entsprechend ihren Anforderungen. Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen Sicherheitsarchitektur. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zur Server- und Netzwerksicherheit. Seite 18 von 146

19 Punkt Fragen zum Cloud- Computing 23 Identitäts- und Zugriffsverwaltung. Bietet der Service Funktionen für die Identitäts- und Zugriffsverwaltung? 24 Geplante Ausfallzeiten für Wartungen. Wird der Kunde benachrichtigt, wenn Systeme zu Wartungszwecken heruntergefahren werden? 25 Skalierbarkeit. Erlaubt der Anbieter Kunden eine Skalierung, die über den Ursprungsvertrag hinausgeht? 26 Verfügbarkeit von Services. Verpflichtet sich der Anbieter zu einem hohen Grad an Verfügbarkeit? 27 DDoS-Angriffe (Distributed Denial Of Service). Welche Schutzvorkehrungen bietet der Anbieter gegen DDoS- Angriffe? 28 Portierbarkeit von Daten. Können die bei einem Service- Anbieter gespeicherten Daten auf Kundenwunsch exportiert werden? 29 Aufrechterhaltung des Geschäftsbetriebs durch den Service-Anbieter. Bietet der Service-Anbieter ein Programm zur Aufrechterhaltung des Geschäftsbetriebs? 30 Betriebskontinuität auf Kundenseite. Erlaubt der Service-Anbieter Kunden die Implementierung eines Plans zur Betriebskontinuität? Informationen zu AWS AWS bietet verschiedene Funktionen für die Identitäts- und Zugriffsverwaltung, die Kunden das Verwalten von Benutzeridentitäten, das Zuweisen von Anmeldeinformationen, das Organisieren von Benutzern in Gruppen und das Verwalten von Benutzerberechtigungen zentral ermöglichen. Auf der AWS-Website finden Sie weitere Informationen. AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht offline schalten. Die internen Wartungs- und System-Patch-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden. Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und Ausfallsicherheit aus und bietet Kunden ein enormes Skalierungspotenzial. Kunden können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was sie nutzen. In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Bei Amazon S3 beträgt die mindestens zugesagte Betriebszeit 99.9 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten werden, erfolgen Servicegutschriften. Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen Netzwerk- Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zu diesem Thema und auch eine Erläuterung von DDoS-Angriffen. AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export- Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs. Ausführliche Informationen finden Sie im AWS-Whitepaper zur Sicherheit. AWS bietet Kunden die Möglichkeit der Implementierung eines zuverlässigen Plans zur Betriebskontinuität, einschließlich häufiger Sicherungen von Server- Instances, Replikation zur Datenredundanz und sich über mehrere Regionen/Availability Zones erstreckender Bereitstellungsarchitekturen. Seite 19 von 146

20 Punkt Fragen zum Cloud- Computing 31 Lebensdauer von Daten. Bestimmt der Service die Lebensdauer von Daten? 32 Sicherungskopien. Ermöglicht der Service Sicherungen auf Band? 33 Preisanstiege. Darf der Service-Anbieter seine Preise unangemeldet erhöhen? 34 Nachhaltigkeit. Bietet der Service-Anbieter ein langfristiges Nachhaltigkeitspotenzial? Informationen zu AWS Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind auf eine Beständigkeit von 99, % und eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren Standorten wird mittels redundanter Datenspeicherung erreicht. Informationen zur Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website. AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren hat AWS seine Preise stets reduziert. AWS ist ein führender Cloud-Anbieter und ein langfristiges Strategieprojekt von Amazon.com. AWS hat ein sehr hohes langfristiges Nachhaltigkeitspotenzial. Kontakt mit AWS Kunden können die von unseren externen Auditoren erstellten Berichte und ausgestellten Zertifizierungen sowie weitere Informationen über AWS Compliance anfordern, indem sie sich an AWS Sales and Business Development wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team weiter. Weitere Informationen zur AWS-Compliance finden Sie auf der Website zur AWS-Compliance oder senden Sie Fragen direkt an Seite 20 von 146

Amazon Web Services Risiko und Compliance Juli 2012

Amazon Web Services Risiko und Compliance Juli 2012 Amazon Web Services Risiko und Compliance Juli 2012 (Die aktuelle Version finden Sie unter http://aws.amazon.com/security.) 1 Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr

Mehr

Microsoft Azure Sicherheit, Datenschutz & Compliance

Microsoft Azure Sicherheit, Datenschutz & Compliance Sicherheit, Datenschutz & Compliance Daniel R. Bösel Microsoft Deutschland GmbH Technologietrend: Cloud Einführung VORTEILE Cloud Trend: 70% Tempo 2 Wochen für den neuen Service im Gegensatz zu 6-12 Monate

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Skalierbare und elas.sche Cloud Services. Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de

Skalierbare und elas.sche Cloud Services. Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de Skalierbare und elas.sche Cloud Services Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de U.lity Compu.ng U.lity Compu.ng Nach Bedarf Abrechnung nach Verbrauch Einheitlich Verfügbar U.lity

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen P2PE-HW Version 3.0 Februar 2014 Abschnitt 1: Beurteilungsinformationen Anleitung zum Einreichen

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Business Intelligence& Datenanalyse in der Cloud in wenigen Minuten zur nutzbaren Umgebung

Business Intelligence& Datenanalyse in der Cloud in wenigen Minuten zur nutzbaren Umgebung Business Intelligence& Datenanalyse in der Cloud in wenigen Minuten zur nutzbaren Umgebung Steffen Krause Technical Evangelist @sk_bln skrause@amazon.de Wie sieht Ihre Workload aus? An und aus Schnelles

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA 1 EV

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Vor-Ort-Beurteilungen - Händler Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss Cloud-Standards und Zertifizierungen im Überblick Session I Andreas Weiss IT Ressourcing Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Compliance-Management leicht gemacht

Compliance-Management leicht gemacht Compliance-Management leicht gemacht Compliance-Management leicht gemacht Log- und Compliance- Management in einer Lösung Das Management der Security-Infrastruktur unter Einhaltung aller Compliance- Richtlinien

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Magento goes into the cloud Cloud Computing für Magento. Referent: Boris Lokschin, CEO

Magento goes into the cloud Cloud Computing für Magento. Referent: Boris Lokschin, CEO Magento goes into the cloud Cloud Computing für Magento Referent: Boris Lokschin, CEO Agenda Über symmetrics Unsere Schwerpunkte Cloud Computing Hype oder Realität? Warum Cloud Computing? Warum Cloud für

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen D - Dienstanbieter Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

CA Access Control for Virtual Environments

CA Access Control for Virtual Environments HÄUFIG GESTELLTE FRAGEN for Virtual Environments Oktober 2011 Die zehn häufigsten Fragen 1. Was ist for Virtual Environments?... 2 2. Welche Vorteile bietet for Virtual Environments?... 2 3. Welche zentralen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

(Oracle) BPM in der Cloud

(Oracle) BPM in der Cloud ti&m seminare (Oracle) BPM in der Cloud Integration, Chancen und Risiken Alexander Knauer Architect ti&m AG Version 1.0 28. Januar 2013 ti&m AG Buckhauserstrasse 24 CH-8048 Zürich Belpstrasse 39 CH-3007

Mehr

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer #1 Security Platform for Virtualization & the Cloud Timo Wege Sales Engineer Trend Micro marktführender Anbieter von Sicherheitslösungen für Rechenzentren Führender Sicherheitsanbieter für Server, Cloud

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Microsoft Azure für KMU

Microsoft Azure für KMU Microsoft Azure für KMU IT bei KMU entwickelt sich weiter 47% aller Applikationen on-prem 70% der Server nicht virtualisiert Virtualisierung wächst ums 2.5x Cloudwachstum basiert auf IaaS Neue Applikationen

Mehr

Rahmenbedingungen für die Bereitstellung von Cloud Services

Rahmenbedingungen für die Bereitstellung von Cloud Services Rahmenbedingungen für die Bereitstellung von Cloud Services Das Rechenzentrum und die Cloud Antje Gerwig Sales Manger, Cloud & IT Services Präsentiert am: 14. Mai 2013 2013 Equinix Inc. Relevanz des Rechenzentrums

Mehr

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN CLOUD-ENTWICKLUNG: BESTE METHODEN 1 Cloud-basierte Lösungen sind auf dem IT-Markt immer weiter verbreitet und werden von immer mehr

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

SQL Server 2012 Datenblatt zur Lizenzierung

SQL Server 2012 Datenblatt zur Lizenzierung SQL Server 2012 Datenblatt zur Lizenzierung Veröffentlicht am 3. November 2011 Produktüberblick SQL Server 2012 ist ein bedeutendes Produkt- Release mit vielen Neuerungen: Zuverlässigkeit für geschäftskritische

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein?

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Worauf sollten Sie achten, wenn Sie eine Inspektion benötigen? 3 Wie gewinnen Sie Vertrauen in eine 4 Wie kann das Vertrauen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

Sr. Technology Strategist

Sr. Technology Strategist Sr. Technology Strategist Situation Einwände Fragen Status Ein- Aussichten After fire and the wheel, cloud is the new game changer. Montreal Gazette, November 2011 GTI Report Die rote Pille und

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt it-sa 2012 Identity und Access Management Area Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt Ga-Lam Chang Leiter ISM Solutions g.chang@peak-solution.de

Mehr

Siemens IT Solutions and Services presents

Siemens IT Solutions and Services presents Siemens IT Solutions and Services presents Cloud Computing Kann Cloud Computing mein Geschäft positiv beeinflussen? Ist Cloud Computing nicht nur eine Marketing-Idee? Unsere Antwort: Mit Cloud Computing

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

SafeNet - ProtectV. Schutz von virtuellen Appliances im Rechenzentrum

SafeNet - ProtectV. Schutz von virtuellen Appliances im Rechenzentrum SafeNet - ProtectV Schutz von virtuellen Appliances im Rechenzentrum Insert Matthias Your Partl Name Insert SFNT Germany Your TitleGmbH Insert Presales Date Engineer Agenda Vorstellung SafeNet Wer wir

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten.

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten. TRusted Ecosystem for Standardized and Open cloud-based Resources Das Vorhaben hat den Aufbau eines Cloud-Ecosystems zum Ziel, welches exemplarisch für den Anwendungsbereich der Patientenversorgung im

Mehr

DGQ Regionalkreis Hamburg 21.05.2012 ISO 10007. Konfigurationsmanagement

DGQ Regionalkreis Hamburg 21.05.2012 ISO 10007. Konfigurationsmanagement DGQ Regionalkreis Hamburg 21.05.2012 ISO 10007 Leitfaden zum Konfigurationsmanagement g Geschichte des Konfigurationsmanagements Mit stetig steigender Produktkomplexität entstanden zunehmend Probleme (z.b.

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Oracle Datenbank: Chancen und Nutzen für den Mittelstand

Oracle Datenbank: Chancen und Nutzen für den Mittelstand Oracle Datenbank: Chancen und Nutzen für den Mittelstand DIE BELIEBTESTE DATENBANK DER WELT DESIGNT FÜR DIE CLOUD Das Datenmanagement war für schnell wachsende Unternehmen schon immer eine große Herausforderung.

Mehr

Leitfaden zur Unterstützung der Einführung von Cloud Computing

Leitfaden zur Unterstützung der Einführung von Cloud Computing . R G m b H Leitfaden zur Unterstützung der Einführung von Cloud Computing Organisationshilfe und Certification Grundsätzliche Fragen zur Zielbestimmung Festlegung von Verantwortlichkeiten Interne Anforderung

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr