SaaS Sicherheitsprofil für ein CRM System. Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell

Größe: px
Ab Seite anzeigen:

Download "SaaS Sicherheitsprofil für ein CRM System. Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell"

Transkript

1 SaaS Sicherheitsprofil für ein CRM System Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell

2 CSC Deutschland Solutions GmbH Abraham-Lincoln Park Wiesbaden Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Internet: https://www.bsi.bund.de/cloud Bundesamt für Sicherheit in der Informationstechnik 2014

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Bedrohungs- und Risikopotentiale Die signifikantesten Cloud Computing Bedrohungen Cloud Computing Schwachstellen Organisatorische Schwachstellen Technische Schwachstellen und Sicherheitslücken Bedrohungs- und Risikoanalyse für CRM SaaS Akteure Enduser Service Subscriber IT-Administrator Subscriber IT-Administrator Provider Sub-Provider Komponenten Access und Delivery Layer Cloud Service Layer Cloud Management Plane Resource Control Layer Kommunikation Subscriber Cloud Service Provider Vorgehen Abbildungsverzeichnis Abbildung 1: Übersicht über im SaaS CRM Service Modell involvierte Akteure und Komponenten...13 Abbildung 2: Sicherheitsaspekte im Resource Control (Composition & Orchestration) Layer...16 Tabellenverzeichnis Tabelle 1: Bedrohungen und Sicherheitseigenschaften...5 Tabelle 2: Neun sicherheitskritische Bedrohungen für Cloud Computing...8 Tabelle 3: Muster der Bedrohungs-und Risikosteckbriefe...18 Tabelle 4: ALARP Graph Bundesamt für Sicherheit in der Informationstechnik 3

4 Einleitung 1 1 Einleitung Die Nutzung eines Customer-Relationship-Management Systems (CRMS) als Software-as-a-Service (SaaS) bedeutet für den Cloud-Service-Abonnenten die Beauftragung eines Dritten mit der Bereitstellung erforderlicher Rechen- und Speicherkapazitäten für die Erfassung, Bearbeitung und die Aufbewahrung von Kundendaten. Ein Verlust, eine Manipulation, eine unbefugte Kenntnisnahme dieser Daten durch Dritte oder auch nur eine Störung oder gar ein Ausfall des in Anspruch genommenen Service kann zu einer erheblichen Beeinträchtigung der Geschäftsfähigkeit des Unternehmens und in der Folge auch zu einem erheblichen Ansehens- und Vertrauensverlust sowohl auf seiten des Cloud-Service-Abonnenten wie auch des Cloud-Service-Providers führen. Vor diesem Hintergrund wurden in Teil 1 dieses Dokuments - Sicherheitsanforderungen für das CRM SaaS Modell - der Schutzbedarf hinsichtlich Vertraulichkeit und Integrität sowohl für Kundendaten wie auch für die Nutzerkontodaten des Cloud-Service-Abonnenten als hoch eingestuft. Für den Cloud-Service-Provider erwächst hieraus die Verantwortung, durch geeignete technische und organisatorische Maßnahmen dafür Sorge zu tragen, dass eine unbefugte Kenntnisnahme, eine Manipulation oder auch ein Verlust der ihm anvertrauten Daten des Cloud-Service-Abonnenten nach Maßgabe zu erwartender Gefährdungen zuverlässig ausgeschlossen und das CRMS mit der vereinbarten Leistungsgüte bereitgestellt werden kann. In diesem Dokument werden Bedrohungen für das Einsatzszenario CRM als SaaS beschrieben. Dafür wird das Akteursmodel aus dem ersten Teil zur Grundlage genommen und an allen Komponenten, Akteuren und Verbindungen Bedrohungen gemäß der STRIDE Klassifikation von Angriffsmustern identifiziert. STRIDE ist ein Akronym und steht für Spoofing (nachahmen, vortäuschen einer Identität), Tampering (fälschen, manipulieren von Daten), Repudiation (abstreiten einer Handlung), Information Disclosure (aufdecken, veröffentlichen von Informationen), Denial of Service (Dienstverweigerung) und Elevation Privilege (unzulässige Erweitering von Rechten). STRIDE wurde 2002 von Microsoft für die Klassifizierung von Angriffsmustern entwickelt. Das Angriffsmuster Spoofing zielt vor allem auf Schwachstellen in der Authentifizierung. Tampering fokussiert vornehmlich auf die Veränderung (Manipulation) von persistenten Daten, wie Log-Dateien, oder Angriffen auf die Integrität von Daten, die über Netze transportiert werden. Ziel von Repudiation ist die Verschleierung (Bestreiten) böswilliger oder auch fahrlässiger Handlungen, in einem CRMS beispielsweise die Ausführung von Marketingaktionen, die geeignet sind, das Ansehen des Unternehmens zu beschädigen. Information Disclosure bezeichnet nicht autorisierte Zugriffe auf Datenbanken oder die Weitergabe von Kundendaten. Zu den Denial of Service Angriffen gehören die Überlastung netzbasierter Infrastrukturen oder auch die Manipulation von Konfigurationsdaten, mit dem Ziel eine Störung oder einen Ausfall der Verfügbarkeit eines Dienstes, hier des CRMS, herbeizuführen. Elevation of Privilege klassifiziert Angriffe, die bspw. mittels Buffer-Overflows oder SQL-Injections darauf abzielen, eigene Berechtigungen im Umgang mit dem CRMS zu erhöhen. Die folgende Tabelle ordnet Bedrohungen den Eigenschaften zu, die davor schützen. Tabelle 1: Bedrohungen und Sicherheitseigenschaften 1 Spoofing Bedrohung Tampering (Datenmanipulation) Repudiation (Abstreitung) Information disclosure (Veröffentlichung von Informationen) Sicherheitseigenschaft Authentifizierung Integrität Nichtabstreitbarkeit Vertraulichkeit 1 Quelle: Hernan, S., Lambert, S., Ostwald, T., Shostack, A.: Aufdecken von Fehlern im Sicherheitsentwurf mithilfe des STRIDE-Ansatzes, abgerufen unter am Bundesamt für Sicherheit in der Informationstechnik 5

5 1 Einleitung Bedrohung Denial of Service (Dienstverhinderung) Elevation of Privilege (Rechteerweiterung) Verfügbarkeit Autorisierung Sicherheitseigenschaft Auf der Grundlage der STRIDE Klassifikation wird in den Anlagen zu diesem Dokument in Form von Steckbriefen exemplarisch aufgezeigt, wie eine Bedrohungs- und Risikoanalyse für die Akteure, Komponenten und Kommunikationsverbindungen eines als SaaS bereitgestelltes CRMS unter Berücksichtigung des IETF Cloud Computing Stack durchgeführt werden kann. Darüber hinaus werden Restrisiken und Bereiche für detailliertere Untersuchungen benannt, die Gegenstand für weitere Analysen sein sollten. Rein kombinatorisch ergeben sich aus den vier Cloud-Komponenten (Access & Delivery Layer, Cloud Service Layer, Cloud Management Layer, Ressource Assignment), den internen und externen Kommunikationsverbindungen und den 6 STRIDE-Kategorien 6*6=36 Risiken, die für die vier Akteure (Subsciber End User, Subscriber User Admin, CSP Admin, Sub-Provider) insgesamt 4*36=144 Risikoausprägungen ergeben. Einige von den Ausprägungen fallen jedoch weg, da bestimmte Akteure nicht auf alle Komponenten zugreifen können. Auf Grundlage der folgenden Überlegungen werden die Risiken (und 120 Risikoausprägungen) noch weiter konsolidiert: Für dieses Dokument wird davon ausgegangen, dass der Abonnent (in den verschiedenen Rollen als Benutzer und Administrator) ein eigenes ISMS betreibt. Daher werden die gemäß STRIDE klassifizierten Bedrohungen bei ihm hier nicht näher betrachtet. STRIDE Angriffsmuster der externen Kommunikationswege lassen sich, bis auf die Verfügbarkeit durch den Internet-Service-Provider, alle auf die nach STRIDE klassifizierten Bedrohungen des Access und Delivery Layer zurückführen und werden dort mit betrachtet (verbleiben 5*6+1=31 Risiken). Die gemäß STRIDE klassifizierten Bedrohungen der internen Kommunikationswege lassen sich alle (bis auf Verfügbarkeit) auf STRIDE Angriffsmuster der internen Komponenten abbilden und werden dort mit betrachtet. Da Verfügbarkeit von externen und internen Verbindungen das gleiche Risiko ist, werden beide Risiken zusammen betrachtet (verbleiben 4*6+1=25 Risiken). Grundsätzlich lässt sich die Abstreitung von Handlungen durch Logging und Monitoring der jeweiligen Komponenten erledigen. Daher wird die Abstreitung nur einmal betrachtet (verbleiben 4*5+1+1=22 Risiken). Die Bedrohungen von Sub-Providern bzw. Ketten von Sub-Providern und die damit einhergehenden Risiken können, mit einer entsprechenden Vertragsgestaltung, auf die Sub-Provider übertragen werden. Die Bedrohungen nach STRIDE im Cloud Service Layer bedingen, dass zuvor eine Bedrohung im Access und Delivery Layer eingetreten ist. Dessen ungeachtet, stellen die Manipulation (Tampering), die auch die Rechteeskalation als einen besonderen Fall der Manipulation umfasst, und Information Disclosure durch ungenügende oder fehlerhafte Mandantentrennung hier ernsthafte Bedrohungen dar (verbleiben 3* =19 Risiken). Im Cloud Management Layer werden auch die Sicherheitsdienste des Cloud Providers selbst verwaltet. Daher sind hier besonders die Manipulation und die Rechteeskalation wichtig. Alle weiteren STRIDE Angriffsmuster werden mit den nach STRIDE klassifizierten Bedrohungen des Access und Delivery Layer mit behandelt (verbleiben 2* =16 Risiken). Die gemäß STRIDE klassifizierten Bedrohungen des Ressource Assignment Layers lassen sich nahezu vollständig durch STRIDE Angriffsmuster im Access und Delivery Layer oder im Cloud Management Layers abbilden, da der Zugriff nur über den Access & Delivery-Layer oder den Cloud Management-Layer geschehen kann. Lediglich der Vertraulichkeitsverlust und die Verfügbarkeit werden hierfür näher betrachtet (verbleiben =13 Risiken). Insgesamt bleiben so dreizehn Bedrohungen übrig: für das Access & Delivery Layer: Spoofing, Tampering, Repudiation, 6 Bundesamt für Sicherheit in der Informationstechnik

6 Einleitung 1 Information Disclosure, Denial of Service und Elevation of Privilege, für das Cloud Service Layer: Tampering und Information Disclosure für die Cloud Management Plane: Tampering und Elevation of Privilege für das Cloud Ressource & Orchestration Layer: Information Disclosure und Denial of Service für die Kommunikation des Serviceabonnenten mit der Access & Delivery Layer Denial of Service. Der gemäß STRIDE Klassifikation vollständigen Beschreibung möglicher Bedrohungen für das Access & Delivery Layer liegt die Überlegung zugrunde, dass es sich hier um eine sehr kritische Komponente handelt, da über diese Komponente sowohl berechtigte als auch unberechtigte Nutzer und Administratoren Zugriff auf die Cloud Services nehmen können. Ferner fallen die STRIDE Bedrohungen dort auf alle Akteure zurück. Die Bedrohungs- und Risikoanalyse nimmt dabei vornehmlich mögliche Gefährdungen in den Blick, denen die im IETF Cloud Stack benannten Schichten und Komponenten nach heutigem Kenntnisstand ausgesetzt sind. Ziel ist es nicht, mögliche oder auch nur vorstellbare Angriffsszenarien zu beschreiben. In Teil 3 dieses Dokuments werden technische, organisatorische und personelle Maßnahmen beschrieben, die geeignet sind, den im diesem zweiten Teil beschriebenen Bedrohungen angemessen zu begegnen. Eine Bedrohungs- und Risikoanalyse für die darunter liegenden Cloud Computing Services, also Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), ist nicht Gegenstand der Betrachtung. Bundesamt für Sicherheit in der Informationstechnik 7

7 2 Bedrohungs- und Risikopotentiale 2 Bedrohungs- und Risikopotentiale Alljährlich veröffentlicht die Cloud Security Alliance, eine Non-Profit-Organisation mit Mitgliedern weltweit, eine Rangliste von Sicherheitsbedrohungen für Cloud Computing. Nicht alle davon sind neu, die meisten sind schon aus dem klassischen IT-Outsourcing Umfeld bekannt. Neu ist die Anzahl und Wechselwirkung von Herausforderungen und Risiken für die IT in der Cloud, verursacht vor allem durch die dynamische Skalierung und die Virtualisierung physischer Ressourcen. Das gilt natürlich auch für Software-as-a-Service Dienstleistungen. 2.1 Die signifikantesten Cloud Computing Bedrohungen Für das Jahr 2013 benennt die Cloud Security Alliance neun sicherheitskritische Bedrohungen für Cloud Computing: 2 Tabelle 2: Neun sicherheitskritische Bedrohungen für Cloud Computing 1. Dateneinbrüche: ermöglicht durch die ungenügende oder unsichere Trennung von Daten und Anwendungen, eine ungenügende Authentifikation und Autorisierung beim Zugriff auf Daten und Anwendungen, die inkonsistente Nutzung von Verschlüsselungsmaßnahmen oder die Aufdeckung von Schlüsselmaterial, mit dem die Daten in der Cloud gesichert werden sollen. Nach dem Bericht kann die Aufdeckung und der Missbrauch von Schlüsselmaterial auch über virtuelle Maschinen hinweg, die auf demselben physikalischen Server zum Einsatz kommen, nicht ausgeschlossen werden. 2. Datenverlust: durch böswillige Angriffe, fahrlässiges Verhalten des Providers, eine ungenügende Absicherung beherrschbarer physischer Ereignisse, aber auch ein unsicherer Umgang des Serviceabonnenten mit Schlüsselmaterial. 3. Account oder Service Traffic Hijacking: durch Fälschung, Diebstahl und Missbrauch von Authentifikations- und Autorisierungsdaten 4. Unsichere Schnittstellen: Cloud Computing stellt den Nutzern eine Reihe komplexer Schnittstellen für das Management des Service zur Verfügung. Dieselben Schnittstellen werden ggf. auch durch den Serviceprovider für die Bereitstellung, das Management, die Orchestrierung und Überwachung der Dienstleistung und die Inanspruchnahme von Dienstleistungen Dritter genutzt. Unsichere Authentifikations- und Autorisierungsmaßnahmen, unzureichendes Monitoring und Protokollierung (logging) der Nutzung dieser Schnittstellen oder auch unbekannte, unentdeckte Abhängigkeiten bedrohen die Vertraulichkeit, STRIDE Klassifikation Information disclosure Repudiation Denial of Service Spoofing Tampering Repudiation Information disclosure Elevation of privilege Tampering Repudiation Information disclosure Elevation of privilege 2 https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/ abgerufen am Bundesamt für Sicherheit in der Informationstechnik

8 Bedrohungs- und Risikopotentiale 2 Integrität und Verfügbarkeit der Anwendung. 5. Dienstverhinderung: durch Distributed Denial of Service (DDoS) Attacken, aber auch zunehmend asymmetrische Angriffe auf Schwachstellen von Webservern, Datenbanken oder anderen Cloud Ressourcen. 6. Böswillige Insider: die Schadenswirkungen durch böswillige Aktionen von Mitarbeiten des Cloud Dienstleister werden verstärkt durch die Konvergenz von IT-Dienstleistungen seitens des Providers und der Servicekonsumenten unter einer gemeinsamen Managementdomäne sowie dem generellen Mangel an Transparenz der Prozesse und Abläufe des Dienstleisters. Unzureichende Sicherheitsüberprüfungen oder Zugriffskontrollen auf sicherheitskritische Bereiche steigern die Attraktivität der Möglichkeiten interner Angriffe nicht nur für Hobbyhacker. 7. Missbrauch: durch ungenügende oder unsichere Registrierungsprozesse sowie eine unzureichende Überwachung des Netzverkehrs und der Nutzung von Cloud Dienstleistungen. Cloud Provider bieten ihren Kunden die Hoffnung auf unbegrenzte Rechenleistung, Netz- und Speicherkapazität in Kombination mit einem reibungslosen Anmeldeprozess. Jedermann mit einer gültigen Kreditkarte kann sich registrieren und sofort beginnen, die Cloud Dienstleistung zu nutzen. Der mögliche Missbrauch relativer Anonymität in Kombination mit der Nutzung gemeinsamer Ressourcen durch unterschiedliche Serviceabonnenten erleichtert das Hosting und die Ausführung von Schadcode und damit die Kompromittierung von Anwendungen und Daten. 8. Unzureichende Sensibilisierung und Bewertung (Audits) von Sicherheitsrisiken sowie unsichere Wahrnehmung und Reaktionsfähigkeit auf sicherheitskritischer Ereignisse 9. Technologische Bedrohungen: durch Technologien oder Anwendungen, die für eine strikte Isolierung in Mandanten-fähigen Umgebungen ungeeignet sind. Nur eine Anwendungsschwachstelle oder falsche Konfiguration reicht aus, um die gesamte Dienstleistung zu gefährden. Denial of Service Spoofing Tampering Information disclosure Elevation of privilege Spoofing Information disclosure Information disclosure Elevation of privilege 2.2 Cloud Computing Schwachstellen In ihrem Bericht weist die Cloud Security Alliance ausdrücklich darauf hin, dass für ein erfolgreiches Risikomanagement ein Verständnis der Art der Bedrohungen, möglicher Ursachen oder Angriffspunkte unabdingbar ist. Ein wichtige Grundlage hierfür ist die Wahrnehmung und angemessene Berücksichtigung bekannter Schwachstellen und möglicher Sicherheitslücken im operativen Cloud Computing Modell. Dazu gehören: Organisatorische Schwachstellen (1) Informationssicherheit-Management: Ein fehlendes oder unzureichendes Informationssicherheit-Management fußt in der Regel auf einer unzulänglichen Bewertung organisatorischer und technischer Risiken und führt zwangsläufig zu einem unzureichenden Risikomanagement sowie fehlenden oder unzureichenden Sicherheitsrichtlinien und einer angemessenen Kontrolle ihrer Umsetzung. Bundesamt für Sicherheit in der Informationstechnik 9

9 2 Bedrohungs- und Risikopotentiale (2) Sicherheitsrichtlinien: Fehlende oder unzureichende Sicherheitsrichtlinien sowie die ungenügende Kontrolle ihrer Umsetzung begünstigen die fahrlässige oder beabsichtigte Umgehung von Sicherheitsmaßnahmen, den fahrlässigen oder böswilligen Umgang mit sicherheitsrelevanten Informationen. (3) Trennung von Zuständigkeiten: Fehlende oder ungenügende Trennung von Zuständigkeiten (least privilege) erleichtern die fahrlässige oder auch böswillige Eskalation von Zugriffsrechten. (4) Konfigurations- und Änderungsmanagement: Fehlende oder unzureichende Test- und Freigabeverfahren für Konfigurations-, Software- und Hardwareänderungen, Updates und Patches, begünstigen das Eintreten von Fehlfunktionen sowie externe Angriffe durch nicht entdeckte oder noch nicht behobene Schwachstellen und Abhängigkeiten. (5) Management kryptografischer Infrastrukturen: Sicheres Cloud Computing erfordert ein sicheres Management kryptografischen Materials zur Verschlüsselung von Kommunikationskanälen und gespeicherter Daten, zur zuverlässigen Authentisierung von Serviceprovidern und Servicenutzern oder (geographisch) verteilten physischen Ressourcen. Das Management und die zuverlässige Replikation kryptographischer Infrastrukturen, bspw. von Hardware-Sicherheits-Modulen (HSM) in verteilten Umgebungen ist eine besondere Herausforderung und demzufolge auch mit einer Reihe besonderer Risiken behaftet. (6) Schulungsmaßnahmen: Fehlende oder ungenügende Schulungen von Mitarbeitern begünstigen die fahrlässige Administration und Konfiguration der Cloud Plattform und führen ggf. zu unangemessenen oder unzureichenden Reaktionen auf sicherheitsrelevante Ereignisse. (7) Sicherheitsüberprüfung: Fehlende oder unzureichende regelmäßige Sicherheitsüberprüfungen erleichtern Angriffe durch böswillige Insider. (8) Zutrittskontrolle: Fehlende oder unzureichende Zutrittskontrollen zu sicherheitsrelevanten Betriebsräumen erleichtern den Diebstahl oder die Beschädigung von Geräten und Infrastrukturen sowie den nicht autorisierten Zugriff auf Medien. (9) Planung von Ressourcen: Eine ungenügende oder fehlerhafte Planung der Ressourcennutzung kann zu einer unerwarteten Erschöpfung virtueller und physischer Ressourcen und damit zu einer (partiellen) Nichtverfügbarkeit der angebotenen Dienstleistung führen. (10) Backup: Eine fehlende oder unzureichende Vorsorge für beherrschbare physische Ereignisse wie Stromausfall, Feuer oder Wassereinbruch kann zu einem Totalverlust gespeicherter Daten führen. (11) Kundenmanagement: Eine fehlende oder unzureichende Identifikation und Prüfung von Serviceabonnenten erleichtert externen Angreifern den Zugriff auf gemeinsam genutzte Ressourcen und damit gegebenenfalls den unbefugten Zugang zu Informationen. (12) Kundenmanagement: Nicht aufgelöste Konflikte zwischen Sicherheitsanforderungen von Serviceabonnenten und der verfügbaren Cloud Umgebung können zu einem erhöhten Sicherheitsrisiko für die Daten des Serviceabonnenten führen. (13) Management von Sub-Dienstleistern: Unzureichende oder fehlende Überwachung zugesicherter Leistungen durch Subdienstleister können die Verfügbarkeit des Services gefährden. (14) Mangelnde Transparenz: Mangelnde Transparenz über die Spiegelung von Daten oder die Inanspruchnahme von Rechenleistung an verteilten Standorten unterschiedlicher Rechtshoheit kann für den Serviceabonnenten zu einer fahrlässigen Verletzung rechtlicher Regelungen führen und in der Folge ziviloder strafrechtliche Konsequenzen nach sich ziehen Technische Schwachstellen und Sicherheitslücken (1) IAA: Unsichere Identifikations-, Authentifikations- und Autorisierungsmechanismen erleichtern den nicht autorisierten Zugriff auf Daten und Ressourcen, die Eskalation von Zugriffsrechten, die 10 Bundesamt für Sicherheit in der Informationstechnik

10 Bedrohungs- und Risikopotentiale 2 Verschleierung des Missbrauchs von Ressourcen und behindern die Entdeckung sicherheitsrelevanter Ereignisse. (2) Unsichere Managementinterfaces: Die unsichere oder unzureichende Überwachung von Managementschnittstellen begünstigt die Eskalation von Zugriffsrechten, die fahrlässige oder auch böswillige Manipulation von Konfigurationsdaten, den fahrlässigen oder auch böswilligen Missbrauch von virtuellen oder physischen Ressourcen. (3) Unsichere Kommunikationskanäle: Die ungenügende kryptographische Sicherung von Kommunikationsendpunkten, -kanälen und -protokollen erleichtert das Abhören und die Übernahme von Kommunikationssitzungen. Begünstigt wird ein solcher Angriff durch unsichere Authentifikationsmechanismen oder die Akzeptanz selbst-signierter Software-Zertifikate. (4) Unzureichende Datenverschlüsselung: Fehlende oder unzureichende Verschlüsselung bewegter und gespeicherter Daten erleichtert die Aufdeckung und den Missbrauch von Informationen. (5) Unsichere Ressourcentrennung: Die unsichere Trennung (Segregation) von Ressourcen und Anwendungen erleichtert den nicht autorisierten Zugriff auf Information sowie den Missbrauch von Ressourcen. (6) Unsicheres Kryptographisches Schlüsselmaterial: Die Erzeugung und der Einsatz von Verschlüsselungsmaterial ungenügender Entropie erleichtert die Aufdeckung verschlüsselter Informationen. (7) Ressourcenerschöpfung: Fehlerhafte Ressourcenallokationsalgorithmen und -prozeduren können eine unerwartete Ressourcenerschöpfung zur Folge haben. (8) SIEM: Das Fehlen oder eine unzureichende Aggregation und Korrelation von Systemaktivitäten in einem zentralen Informationssicherheitsmonitor (SIEM) behindern die rechtzeitige Entdeckung und Abwehr des Missbrauchs von Ressourcen oder externer Angriffe. (9) Unzureichende Forensische Fähigkeiten: Unzureichende forensische Mittel und Fähigkeiten behindern die Entdeckung und Abwehr externer Angriffe. (10) Unzureichende Schwachstellentests: Unzureichende oder unregelmäßige Schwachstellentests erhöhen die Gefahr der Ausnutzung von Schwachstellen der Konfiguration und Topologie der Cloud Plattform. (11) Unsicheres Orchestration Management: Ein unsicheres Resource Orchestration Management oder eine Kompromittierung der Resource Orchestration Management Schnittstelle erhöht die Gefahr eines unsicheren oder unzuverlässigen Zusammenspiels der in die Dienstleistung involvierten Services und des Missbrauchs der involvierten Ressourcen. (12) Unsichere Konfiguration: Eine unsichere Konfiguration durch die fehlerhafte Bedienung oder ungenügende Überwachung der Nutzung von Management Schnittstellen kann externe Angriffe erleichtern oder Fehlfunktionen und den Ausfall beteiligter Komponenten auslösen. (13) Unsichere Hypervisoren: Die erfolgreiche Ausnutzung von Schwachstellen in Hypervisoren bedeutet einen erfolgreichen Angriff auf sämtliche virtuellen Maschinen, die unter ihrer Kontrolle laufen. (14) Unsichere Migration: Die unsichere Migration oder Replikation virtueller Maschinen erleichtert die feindliche Übernahme virtueller Maschinen. (15) Fehlende Standards: Fehlende oder unzureichende Standards können ebenso wie der fehlende oder unzureichende Einsatz von Standardtechnologien und Standardlösungen Inkompatibilitäten, neue und unentdeckte Schwachstellen sowie ein unerwünschtes lock-in zu einem Provider zur Folge haben. (16) Unsicherer Einsatz von HIDS: Der unzureichende oder unsichere Einsatz (die unsichere Konfiguration) von Host-based Intrusion Detection Systemen behindert die Entdeckung und Abwehr lokaler Angriffe. Bundesamt für Sicherheit in der Informationstechnik 11

11 2 Bedrohungs- und Risikopotentiale (17) Unsicherer Einsatz von NIDS: Der unzureichende oder unsichere Einsatz (die unsichere Konfiguration) von Netzwerk Intrusion Detection Systemen verhindert die sichere Überwachung des Netzverkehrs mit der Cloud Plattform bzw. verteilt eingesetzten Komponenten. (18) Unzureichende Härtung: Die unzureichende oder unsichere Härtung von Betriebssystemen erleichtert lokale bzw. netz-basierte Angriffe. (19) Unzureichende Redundanz: Eine ungenügende redundante Auslegung virtueller und physischer Ressourcen kann zu einer unerwarteten Erschöpfung von Ressourcen oder der Nicht-Verfügbarkeit des Service im Falle des Eintritts unerwarteter physischer Ereignisse (wie Stromausfall, Brand, oder Wassereinbruch) (20) Unzureichende Wartung: Unregelmäßige Wartungsmaßnahmen, wie das unregelmäßige Einspielen von Sicherheitsupdates oder -patches erleichtert die Ausnutzung neuer Softwareschnittstellen durch externe Angreifer. 12 Bundesamt für Sicherheit in der Informationstechnik

12 Bedrohungs- und Risikoanalyse für CRM SaaS 3 3 Bedrohungs- und Risikoanalyse für CRM SaaS Für die in den Anlagen zu diesem Dokument ausgeführten Bedrohungs- und Risikoanalysen gemäß dem STRIDE Modell werden die in Teil 1 dieses Dokuments identifizierten Akteure, Komponenten und (externen) Kommunikationsverbindungen, die Aktivitäten sowie der IETF Cloud Stack zugrunde gelegt (siehe hierzu auch die folgende Abbildung). Abbildung 1: Übersicht über im SaaS CRM Service Modell involvierte Akteure und Komponenten. In der Bedrohungsanalyse nach dem STRIDE Modell werden die betrachteten Komponenten auf ihre logischen Einheiten (Layer) gemäß dem IETF Cloud Stack generalisiert. 3.1 Akteure Enduser Service Subscriber Auf der Seite der Serviceabonnenten (subscriber) sind wenigstens zwei Gruppen von Akteuren direkt in die Nutzung des als SaaS bereitgestellten CRMS involviert. Da sind zunächst die Endnutzer des Abonnenten, die den Service für die Unterstützung der Geschäftsprozesse im Kundenmanagement nutzen. Sie greifen über das Access & Delivery Layer auf das im Cloud Service Layer bereitgestellte CRM System zu. Für diesen Zugriff müssen sie sich im Access & Delivery Layer authentisieren (Login) und können abhängig von der für sie im Access & Delivery Layer hinterlegten Autorisierung auf die Kundendaten CRMS Datenbank zugreifen. Bundesamt für Sicherheit in der Informationstechnik 13

13 3 Bedrohungs- und Risikoanalyse für CRM SaaS Hieraus folgt unmittelbar, das Access & Delivery Layer muss eine zuverlässige Authentisierung und Trennung von Mandanten (unterschiedlichen Serviceabonnenten) durchsetzen, um bspw. ein Spoofing, d. h. die Vortäuschung falscher Identitäten, mit dem Ziel einer Eskalation von Zugriffsrechten oder einer Datenmanipulation, zu unterbinden. Authentisierungs- und Autoriserungsdaten sind deshalb in besonderem Maße vor unbefugten Zugriffen oder auch Diebstahl zu schützen. Da der Zugriff in der Regel über das Internet erfolgt (in Abbildung 1 als ComPath1 und ComPath2 veranschaulicht) müssen die Endpunkte der Kommunikation zwischen Cloud Service Provider und Cloud Abonnenten ausreichend kryptographisch geschützt werden IT-Administrator Subscriber Der IT-Adminstrator des Serviceabonnenten erhält ebenfalls über das Access & Delivery Layer (ComPath 2 in Abbildung 1) und der für ihn hinterlegten Authentisierungsdaten Zugriff auf das CRMS, um Nutzerkonten inklusive der benötigten Berechtigungen anzulegen, zu verändern oder auch zu löschen. Über ein logisch im Access & Delivery Layer bereitgestelltes Management Interface erhält er zudem Zugriff auf die Cloud Mangement Plane, um unterstützt durch ein Self-Service Portal nutzerspezifische Konfigurationen der Anwendung sowie die Allokation zusätzlicher Ressourcen (bspw. Rechenleistung oder Speicher) vornehmen zu können. Fahrlässiges oder böswilliges Verhalten eines IT-Administrators auf der Seite des Subscribers können sowohl zu einer unerwarteten Erschöpfung erforderlicher Ressourcen (Denial of Service) oder zu einer un befugten Kenntnisnahme (Information Disclosure) und Manipulation von Kundendaten oder Nutzerkonten (Tampering) führen IT-Administrator Provider Relevante Akteure auf der Seite des Providers sind vor allem IT-Administratoren, die - vornehmlich über die Cloud Management Plane - die Administration und Überwachung der für die Erbringung des Dienstleistung erforderlichen virtuellen und physischen Cloud Services und Komponenten im Access & Delivery Layer, im Cloud Service Layer, im Composition & Orchestration Layer, im Resource Abstraction & Virtualization Layer sowie im Physical Resource Layer auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien steuern. Die Cloud Management Plane stellt administrative Funktionen für die Konfiguration und das Aufsetzen von Cloud Services, die Bereitstellung und Entlastung von IT-Resourcen, die Überwachung (Monitoring) des Cloud Service Status, der Nutzung und Performanz, das Management von Nutzerkonten, Sicherheitsnachweisen, Authentifizierungs- und Autorisierungsdaten, die Überwachung interner und externer Zugriffe auf bereitgestellte IT-Resourcen, die Planung und Überprüfung der Bereitstellung von IT-Resourcen sowie die Steuerung und Überwachung der Bereitstellung technischer Ressourcen (Netze, Rechenleistung oder Speicherkapazitäten) durch Dritte bereit. Fahrlässiges oder auch böswilliges Verhalten haben an dieser Stelle unmittelbare Auswirkungen auf die Vertraulichkeit und Integrität von Daten sowie die Verfügbarkeit des CRM Systems. IT-Administratoren des Cloud Service Providers sollen daher regelmäßig einer Sicherheitsüberprüfung unterzogen werden und ausreichend geschult sein. Das gilt insbesondere vor dem Hintergrund, dass die Cloud Management Plane auch Überwachungs- und Alarmfunktionen hinsichtlich des operativen Zustands der Cloud Umgebung, des Zugriffs und des Auftretens sicherheitsrelevanter Ereignisse steuert. Eine Umgehung oder auch Kompromittierung sicherheitsrelevanter Funktionen muss in Ansehung erwartbarer Bedrohungen ausgeschlossen werden können. 14 Bundesamt für Sicherheit in der Informationstechnik

14 Bedrohungs- und Risikoanalyse für CRM SaaS Sub-Provider Relevante Akteure auf der Seite des Sub-Providers sind vor allem IT-Administratoren, die ggf. über die Cloud Management Plane die Administration und Überwachung der für die Erbringung des Dienstleistung erforderlichen Sub-Services im Access & Delivery Layer, im Cloud Service Layer, im Composition & Orchestration Layer, im Resource Abstraction & Virtualization Layer sowie im Physical Resource Layer auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien steuern. Fahrlässiges oder auch böswilliges Verhalten kann an dieser Stelle unter Umständen die Verfügbarkeit der Dienstleistung gefährden. 3.2 Komponenten Access und Delivery Layer Das Access and Delivery Layer auf der Seite des Serviceproviders stellt Funktionen und allgemeine Infrastrukturkomponenten bereit, die dem Serviceabonnenten den Zugriff und die Nutzung des Service er möglichen. Dazu gehören sowohl Nutzerportale wie auch Servicegateways zur Steuerung und Kontrolle der Zugriffe. So genannte Inter-Cloud Funktionen stellen Infrastrukturen und Komponenten bereit, um verteilte Ressourcen oder auch die Kommunikation mit Cloud Service Drittanbietern zu ermöglichen und zu steuern. Da die Nutzung überwiegend über das Internet erfolgt, umfasst diese Schicht im Allgemeinen auch Netzwerkkomponenten, die in der Regel durch Netzprovider als beteiligte Dritte zur Verfügung gestellt werden. Ein erfolgreiches Spoofing im Access und Delivery Layer ermöglicht den Zugriff auf Kundendaten und erleichtert gegebenenfalls weitergehende und zudem verschleierte Angriffe, wie die Manipulation oder Fälschung Kundendaten bzw. Nutzerkonten, oder gar die Umleitung von SaaS Endnutzern auf nicht legitimierte Webseiten Cloud Service Layer Das Cloud Service Layer als unmittelbare Laufzeitumgebung des SaaS CRM Systems steuert den Bedarf an funktionalen virtuellen und physischen Ressourcen, die für die Ausführung des CRMS benötigt werden, d. h. neben dem Ressourcentyp (CPU, Arbeitsspeicher, Festplattenspeicher usw.) sowie Leistungsfähigkeit und Umfang der benötigten Ressourcen, insbesondere auch die Art der Bereitstellung (ausschließlich reserviert für einen Abonnenten oder gemeinsam nutzbar, Transportmedien usw.). Damit betrifft eine Gefährdung bspw. durch Information Disclosure im Cloud Service Layer nicht nur Konfigurations- und Prozessdaten involvierter Anwendungen und Schnittstellen, sondern auch die in den Anwendungen verarbeiteten und über die Schnittstellen kommunizierten Kundendaten. Vor dem Hintergrund, dass ein erfolgreiches Information Disclosure im Cloud Service Layer auch durch eine unzureichende oder unsichere Trennung von Mandanten ermöglicht oder auch erleichtert werden kann, muss das Cloud Service Layer Sicherheitsfunktionen bereithalten, die vor allem bei gemeinsam genutzten Ressourcen - eine strikte Segregation von Mandanten-bezogenen Anwendungen und Daten gewährleisten Cloud Management Plane Die Cloud Management Plane stellt Funktionen für die Administration und Überwachung des Cloud Umgebung bereit. Dazu gehören vor allem: die automatische Einbindung (der Einsatz) verschiedener Cloud Komponenten auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien, die Registrierung und Verwaltung von Services, Bundesamt für Sicherheit in der Informationstechnik 15

15 3 Bedrohungs- und Risikoanalyse für CRM SaaS Überwachungs- und Alarmfunktionen hinsichtlich des operativen Zustands der Cloud Umgebung, d. h. der Nutzung des Cloud Service, der Einhaltung der vereinbarten Leistungsparameter sowie des Zugriffs und des Auftretens sicherheitsrelevanter Ereignisse. Vor dem Hintergrund, dass eine unzulässige oder auch nur unbemerkte Erweiterung von Berechtigungen (Elevation of Privilege) in der Cloud Management Plane ggf. den Zugriff auf die Konfiguration von Cloud Sicherheitsdiensten gestattet, erleichtert oder ermöglicht erfolgreiches Elevation of Privilege die Vorbereitung und Ausführung weiterer Attacken, wie bspw. Tampering, Information Disclosure oder Denial of Service Resource Control Layer Das Resource Control (Composition & Orchestration) Layer orchestriert die Bindung der über das Abstraction & Virtualization Layer virtualisierten physischen Ressourcen an mandantenbezogene Anwendungen, Konfigurationen und Daten. Die Orchestrierung beginnt mit der Anforderung eines Services, einer Anwendung oder einer Funktion im Access & Delivery Layer und endet mit der Koordination verschiedener IT-Schichten und Komponenten, die direkt oder auch indirekt in die vom Endnutzer angeforderte Leistung involviert sind. Aus sicherheitstechnischer Perspektive ist die Orchestrierung ein prozessualer Verbund von Komponenten, die in einer sicheren und zuverlässigen Art und Weise zusammenarbeiten müssen. Zu den für die Orchestrierung zu beachtenden Sicherheitsaspekten gehören (siehe auch Abbildung 2): Abbildung 2: Sicherheitsaspekte im Resource Control (Composition & Orchestration) Layer sichere Serviceübergabeschnittstellen, d. h. geeignete Sicherheitsmaßnahmen, mit denen der Ende-zu-Ende Lebenszyklus des Services überwacht werden kann, sichere Ressourcenbereitstellung, d. h. ein Sicherheitsdesign aus operativer Perspektive der prozessual orchestrierten Bindung von Ressourcen sowie ein sicheres Management der Orchestrierung, denn die Managementschnittstellen für die Orchestrierung bestimmen maßgeblich die Verfügbarkeit und Sicherheit der gesamten SaaS Cloud Umgebung und müssen daher in besonderer Weise geschützt werden, ein zuverlässiges Sicherheitsmonitoring der Orchestrierung zur Laufzeit, so dass verdächtiges, oder auch nur außergewöhnliches Verhalten im Orchestrierungsprozess nicht unentdeckt bleibt. 16 Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsprofil für eine SaaS Collaboration Plattform. Teil 2: Bedrohungs- und Risikoanalyse

Sicherheitsprofil für eine SaaS Collaboration Plattform. Teil 2: Bedrohungs- und Risikoanalyse Sicherheitsprofil für eine SaaS Collaboration Plattform Teil 2: Bedrohungs- und Risikoanalyse CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Bundesamt für Sicherheit

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

SaaS Sicherheitsprofil für ein CRM System. Teil 1: Sicherheitsanforderungen für das SaaS CRM Modell

SaaS Sicherheitsprofil für ein CRM System. Teil 1: Sicherheitsanforderungen für das SaaS CRM Modell SaaS Sicherheitsprofil für ein CRM System Teil 1: Sicherheitsanforderungen für das SaaS CRM Modell CSC Deutschland Solutions GmbH Abraham-Lincoln Park1 65189 Wiesbaden www.csc.com/de Bundesamt für Sicherheit

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

SaaS Sicherheitsprofil für ein CRM System. Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell

SaaS Sicherheitsprofil für ein CRM System. Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell SaaS Sicherheitsprofil für ein CRM System Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell CSC Deutschland Solutions GmbH Abraham-Lincoln Park 1 65189 Wiesbaden www.csc.com/de Bundesamt für Sicherheit

Mehr

Sicherheitsprofil für eine SaaS Collaboration Plattform. Teil 1: Sicherheitsanforderungen

Sicherheitsprofil für eine SaaS Collaboration Plattform. Teil 1: Sicherheitsanforderungen Sicherheitsprofil für eine SaaS Collaboration Plattform Teil 1: Sicherheitsanforderungen CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Bundesamt für Sicherheit in

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

SaaS Sicherheitsprofil für eine Collaboration Platform. Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell

SaaS Sicherheitsprofil für eine Collaboration Platform. Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell SaaS Sicherheitsprofil für eine Collaboration Platform Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Bundesamt

Mehr

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing von Ulrike Wendel (ulrike.wendel@crn.de) 18.08.2010 Cyberkriminelle werden immer raffinierter wenn es darum geht, Daten von Unternehmen

Mehr

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo IT-Grundschutz-Baustein Cloud Management Erwan Smits & Dominic Mylo Projekt-Beteiligte Kooperation BSI und Atos Erwan Smits Atos Dominic Mylo Atos Dr. Clemens Doubrava BSI Alex Didier Essoh BSI Dr. Patrick

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Sicherheitsprofil für ein SaaS Archivierungssystem

Sicherheitsprofil für ein SaaS Archivierungssystem Sicherheitsprofil für ein SaaS Archivierungssystem CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Postfach 20 03 63 53133 Bonn E-Mail: cloudsecurity@bsi.bund.de Internet:

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Smart Grid: Problembereiche und Lösungssystematik

Smart Grid: Problembereiche und Lösungssystematik Smart Grid: Problembereiche und Lösungssystematik Claudia Eckert Fraunhofer-Institut AISEC, München VDE/GI-Forum: Informationssicherheit im Stromnetz der Zukunft. 14.3.2014 IKT ist das Nervensystem des

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

GRUNDSCHUTZBAUSTEIN WEB-SERVICES

GRUNDSCHUTZBAUSTEIN WEB-SERVICES BSI-GRUNDSCHUTZTAG 2014 GRUNDSCHUTZBAUSTEIN WEB-SERVICES Frank Rustemeyer 1 MOTIVATION Die neuen Cloud-Bausteine in der 14. Ergänzungslieferung: Cloud-Nutzer Cloud-Anbieter Cloud-Management Virtualisierung

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Musterexamen EXIN Cloud Computing Foundation Ausgabe Mai 2012 Copyright 2012 EXIN Alle Rechte vorbehalten. Veröffentlichung, Wiedergabe, Vervielfältigung oder Aufzeichnung auf einem Speichermedium bzw.

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

IAM in the Cloud - Guidance der Cloud Security Alliance

IAM in the Cloud - Guidance der Cloud Security Alliance Klaus Gribi United Security Providers IAM in the Cloud - Guidance der Cloud Security Alliance MEET SWISS INFOSEC, 26. Juni 2013 Agenda Vorstellung der Cloud Security Alliance (CSA) Vorstellung CSA Switzerland

Mehr

ROSIK Mittelstandsforum

ROSIK Mittelstandsforum ROSIK Mittelstandsforum Virtualisierung und Cloud Computing in der Praxis Virtualisierung in der IT Einführung und Überblick Hermann Josef Klüners Was ist Virtualisierung? In der IT ist die eindeutige

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Cloud Security Management bei Canopy. Dr. Ekkard Schnedermann IT-Grundschutz-Tag am 12.09.2013

Cloud Security Management bei Canopy. Dr. Ekkard Schnedermann IT-Grundschutz-Tag am 12.09.2013 Cloud Security Management bei Canopy Dr. Ekkard Schnedermann IT-Grundschutz-Tag am 12.09.2013 Agenda Canopy Canopy im Überblick Sicherheitsarchitektur von Canopy Umsetzung von Maßnahmen mit Hilfe von Vmware/VCE

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Erklärung zum Zertifizierungsbetrieb der HvS PKI

Erklärung zum Zertifizierungsbetrieb der HvS PKI Erklärung zum Zertifizierungsbetrieb der HvS PKI HvS-Consulting AG Seite 1 von 10 Freigabe Datum Erstellt: Marc Ströbel Technical Security Consultant HvS-Consulting AG Genehmigt: Michael Hochenrieder Vorstand

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Band M, Kapitel 5: Server

Band M, Kapitel 5: Server Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global Erklärung zum Zertifizierungsbetrieb der DFN-PKI Sicherheitsniveau Global DFN-Verein CPS der DFN-PKI V2.3 26. Juni 2012 Dieses Dokument einschließlich aller Teile ist urheberrechtlich geschützt. Die unveränderte

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Storage as a Service im DataCenter

Storage as a Service im DataCenter Storage as a Service im DataCenter Agenda Definition Storage as a Service Storage as a Service und IT-Sicherheit Anwendungsmöglichkeiten und Architektur einer Storage as a Service Lösung Datensicherung

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack CeBIT 2014 14. März 2014 André Nähring Cloud Computing Solution Architect naehring@b1-systems.de - Linux/Open Source Consulting,

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James Sicherheitskonzept für externe Datenbank Erstellt von Alt Roman und Schüpbach James Inhaltsverzeichnis 1 Risikoanalyse...3 1.1 Intern...3 1.2 Extern...3 1.3 Physisch...3 2 Risiko Klassifizierung...4 3

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Innovative Elektronikversicherung für Rechenzentren

Innovative Elektronikversicherung für Rechenzentren Innovative Elektronikversicherung für Rechenzentren Seite 1 Inhalt Welche Auswirkungen haben Risiken auf Rechenzentren? Versicherung und ganzheitliches Risikomanagement Welche Versicherungsmöglichkeiten

Mehr

Informatikdienste Virtualisierung im Datacenter mit VMware vsphere

Informatikdienste Virtualisierung im Datacenter mit VMware vsphere Virtualisierung im Datacenter mit ware vsphere Luzian Scherrer, ID-IS-SYS1 Virtual Center Virtualisierung im Datacenter mit ware vsphere Luzian Scherrer, ID-IS-SYS1 Cloud SaaS otion DRS ware otion Fault

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Netzmanagement Cloud Computing Cloud & Security

Netzmanagement Cloud Computing Cloud & Security Netzmanagement Cloud Computing Cloud & Security Hochschule Bonn-Rhein-Sieg Sommersemester 2011 Dr. Michael Pauly Organisatorisches Was erwartet Sie: Vorlesung 1: Einführung und Überblick Was ist Cloud

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Inhaltsverzeichnis. Web Hacking

Inhaltsverzeichnis. Web Hacking Inhaltsverzeichnis zu Web Hacking von Manuel Ziegler ISBN (Buch): 978-3-446-44017-3 ISBN (E-Book): 978-3-446-44112-5 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-44017-3

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6 Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6 Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing

Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing Prof. Dr. Peter Buxmann André Loske Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische

Mehr