Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit

Größe: px
Ab Seite anzeigen:

Download "Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit"

Transkript

1 Informationsdienst Liebe Leserin, lieber Leser, gerade weil die aktuellen Enthüllungen über neugierige Nachrichtendienste Cloud-Anwender nachdenklich machen werden, sind die neuen Bausteine zum Thema Cloud aus dem BSI eine willkommene Nachricht. Die Cloud hat im Ansatz nichts von ihrer Attraktivität für viele Firmen verloren, solange die Vertraulichkeit der Daten gewährleistet ist. Und diese Vertraulichkeit kann durch klare Vorgaben zu Prozessen und technischen Maßnahmen wie im IT-Grundschutz unterstützt werden. Interview: Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Seite 107 Kolumne: IT-Grundschutz nach BSI strategisch planen Seite 109 BSI treibt Cloud-Unterstützung voran Seite 111 Rechtekontrolle erleichtert Grundschutzkonformität Seite 113 Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Max Schulze, Analyst, techconsult Elmar Török, bits+bites Max Schulze ist in den Bereichen Anbieter- und professioneller Anwenderberatung für die techconsult GmbH tätig und deckt dabei die Kompetenzfelder Data Center Automation, Business Process Management sowie Cloud Computing ab. Er hat Wirtschaftswissenschaften mit den Schwerpunkten Wirtschaftsinformatik und Private Public Management studiert und war nach dem Studium als Diplom-Ökonom mehrere Jahre als IT Consultant bei einer Unternehmensberatung tätig. IT-Grundschutz: Herr Schulze, gerade wurde die Cloud als legitimes Element innerhalb der IT-Infrastruktur gesehen, da zeigen die Enthüllungen von Herrn Snowden, dass wenig sicher ist, was die eigenen Rechner verlässt und im Netz lagert oder unterwegs ist. Wird das der Ausbreitung von Cloud-Diensten nachhaltig schaden? Schulze: Generell zeigen die veröffentlichten Spionageskandale, dass die Bedenken und Sorgen gerade bei so genannten Cloud-Gegnern oder Unternehmen, die von der Einführung von Cloud Services noch nicht ganz überzeugt waren, wieder verstärkt zugenommen haben. Der wirklich große Schaden, bezogen auf PRISM und Cloud Computing, dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. IT-Grundschutz: Daten sind laut Snowden vor allem gefährdet, wenn sie die Landesgrenzen überschreiten, weil die NSA und andere Dienste große Aggregator-Leitungen anzapfen. Sorgt das für mehr Interesse bei den Kunden, einen lokalen, also deutschen Cloud-Provider zu nutzen? Schulze: Die Cloud-Technologie hat viele Vorteile, besonders die des Flexibilitätszuwachses und der Kostenreduzierung. Diese verpuffen jedoch sehr schnell, wenn elementare Kriterien wie umfassender Schutz der Daten, hinreichende Detaillierung des Angebots und vor allem Standortfragen nicht klar definiert werden. PRISM hat Cloud- Anbietern, die auf Cloud-Services made in Germany setzen, neuen Aufschwung gebracht. Auf die seit Jahren bekannten Effektivitätsgewinne durch den Einsatz der Cloud- Technologie möchten wohl die wenigsten Unternehmen zukünftig verzichten, daher werden die Wege zwangsläufig zum Serverstandort Deutschland mit seinem strengen 107

2 Studien und Analysen 108 Datenschutzrecht führen. Es liegt jetzt an den Cloud-Anbietern selbst, die neu gewonnene Aufmerksamkeit für sich erfolgreich zu nutzen und an der Justiz, eine glaubwürdige Datenschutzverordnung für Europa durchzusetzen. IT-Grundschutz: Worauf sollten Anwender hinsichtlich Datenschutz und Verfügbarkeit achten, wenn sie Cloud-Technik und einen Cloud-Provider wählen? Schulze: Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringerem Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotenziale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell ent wickeln, um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auf End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. IT-Grundschutz: Haben Ihrer Ansicht nach kleine Unternehmen und Mittelständler bereits das notwendige Wissen, um eine optimale Auswahl zu treffen? Oder lohnt sich der Einsatz eines Beraters in jedem Fall? Schulze: Auf der Suche nach einem geeigneten Cloud Service stehen zumeist kleinere Unternehmen mit wenig IT-Fachpersonal vor einem undurchsichtigen und vielschichtigen Cloud-Dschungel. Um mehr Transparenz zu erhalten, kann die Inanspruchnahme von externen Beratern definitiv sinnvoll sein. Zwar ist der Einsatz von Unternehmensberatern kostspielig, jedoch werden diese Kosten bei der Einführung von umfassenden Cloud Services miteingerechnet und helfen den Anwenderunternehmen zu einer realistischen Einschätzung ihres Bedarfes bezogen auf die Cloud-Technologie. Dazu gehört eine IST-Analyse der unternehmenseigenen IT-Ressourcen im Vergleich zu den analysierten zukünftigen Cloud-Anschaffungen, die für den nachhaltigen Erfolg des Unternehmens notwendig werden. Die Bewertung der Ergebnisse setzt dabei spezifisches Cloud-Knowhow voraus, welches gerade in kleineren Unternehmen mit Fokus auf andere Geschäftsfelder in der Form nicht bereitgestellt werden kann. IT-Grundschutz: Bislang boten die klassischen IT-Zertifizierungen wie ISO oder BSI IT-Grundschutz wenig bis keine Hilfestellung bei Cloud-Angeboten. Glauben Sie, dass das der Verbreitung und Akzeptanz geschadet hat? Schulze: Zertifizierungen wie ISO können gerade bei mittelständischen Anwenderunternehmen Vertrauen hinsichtlich der zu erwartenden Sicherheitsstrategien und Verfahren eines Cloud-Anbieters schaffen und schaden daher nicht bei der Verbreitung oder Akzeptanz von Cloud Services. In Anbetracht der gestiegenen Sensibilität gegenüber Cloud-Angeboten wird sich die Cloud-Branche jedoch stärker denn je für einen transparenten und detaillierten Cloud-Markt stark machen müssen. Anwenderunternehmen erwarten von ihren Cloud-Anbietern die Vorhaltung einer ausreichenden Liquidität sowie detailliertes Fach-Know-how und vorzeigbare Referenzprojekte sowie Innovationsfähigkeit, um langfristig von der Cloud-Technologie profitieren zu können. IT-Grundschutz: Wenn die Daten in der Cloud liegen, fehlt letztendlich der physische Zugriff darauf. Wie kann man sicherstellen, dass die Daten, zum Beispiel nach der Kündigung des Vertrags, sicher gelöscht werden? Schulze: In der Vereinbarung zwischen Auftraggeber und Dienstleister für den entsprechenden Cloud Service muss auch die vollständige Löschung der Daten nach der Kündigung des Vertrages festgehalten sein. Wichtig ist dabei, dass Duplikate ebenfalls in den Löschvorgang einbezogen werden. IT-Grundschutz: Angenommen, der Kunde will von einem zum anderen Cloud-Anbieter wechseln. Gibt es Migrationsstrategien für die Daten und Anwendungen? Oder ist es in der Regel einfacher alles zu löschen und beim neuen Anbieter frisch aufzusetzen? Schulze: Seitdem Cloud Computing zunehmend als strategisches Werkzeug Einzug in die Unternehmen erhält, wachsen auch die Bestrebungen der Cloud-Anbieter, Standards bei den Schnittstellen zur Verfügung zu stellen. Interoperabilität und weitreichende Standards bei Cloud-Services lassen sich schon seit längerem miteinander verbinden. Einheitliche Interfaces mit dazugehörigen Adaptern ermöglichen die Migration eines Cloud Services zwischen verschiedenen öffentlichen und privaten Clouds. Zusätzlich sorgen autonome Abstraktionsebenen dafür, dass Applikationen und Hardware voneinander getrennt werden und Cloud Services leichter von der aufgebauten IT-Infrastruktur abgekoppelt werden können. Eine entsprechende Migrationsstrategie sollte demnach möglich sein, um den reibungslosen Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen. IT-Grundschutz: Was raten Sie Cloudinteressierten Anwendern hinsichtlich des Backups? Selbst In-House lösen oder über den Cloud-Provider abwickeln lassen? Schulze: Die Anwenderunterneh-

3 men sollten im Vorfeld objektiv klären (möglicherweise durch externe Beratung), welche Daten ein Höchstmaß an Sicherheit benötigen und inwiefern In-House diese Sicherheit gewährleistet werden kann. Sollte nach der detaillierten Analyse der Gefährdungspotenziale ein Ergebnis vorliegen, welches Backup-Möglichkeiten bei Cloud- Providern offeriert, die ein höheres Sicherheitniveau bieten als das eigene Unternehmen, ist auch eine Backup-on-demand-Strategie interessant. IT-Grundschutz: Zu guter Letzt: Es gibt wohl keinen Zweifel daran, dass Daten durch ausländische Nachrichtendienste in großem Maß abgegriffen (nicht unbedingt auch ausgewertet) werden. Können Sie einen Trend erkennen, dass deutsche Unternehmen ihre Geschäftsbeziehungen mit (vor allem) amerikanischen Cloud-Providern zurückfahren und nach inländischen Alternativen suchen? Schulze: Unsere Umfragen belegen, dass viele Mittelständler mit Sorge groß angelegte Kooperationen deutscher Cloud-Anbieter über die Landesgrenzen hinweg betrachten. Die Anwenderunternehmen befürchten dadurch den nachhaltigen Kontrollverlust über ihre IT-Systeme, wenn ausländische Cloud-Services hinter deutschen Anbietern stehen und damit auch Max Schulze ist Analyst bei techconsult und dort unter anderem spezialisiert auf das Thema Cloud verbundene rechtliche Unsicherheiten. Daher wird dieses Thema in naher Zukunft eine zentrale Rolle spielen. IT-Grundschutz nach BSI strategisch planen Teil 6: Dokumentation eine Schattenwelt (nicht nur) in der IT Felix Widmer, Inhaber, Tan Consulting Was nicht aufgeschrieben wurde, existiert nicht. Die goldene Regel jeder Dokumentation gilt natürlich ebenso beim Einsatz von IT-Sicherheitsstandards wie dem IT-Grundschutz. Dokumentation ist kein Hexenwerk, hat aber nachhaltigen Einfluss darauf, ob sich IT-Sicherheitsniveaus über längere Zeiträume halten und verbessern lassen. Ein Information Security Management System (ISMS) funktioniert nur in Kombination mit einer ordnungsmäßigen und jederzeit aktuellen Dokumentation. Das ist auch unabhängig von Standards oder Compliance-Vorgaben. ISO fordert beispielsweise ganz klar, dass Maßnahmen auf Managemententscheide und Strategien zurückgeführt werden können. Prozesse müssen messbare und reproduzierbare Ergebnisse liefern. Ohne Dokumentation ist ein ISMS eine Alibiübung und die Ressourcen nicht wert, die dadurch belegt werden. Schritt 1: Dokumentation planen In einem ersten Schritt muss das Dokumentationskonzept erstellt werden. Im Zentrum stehen dabei die für den konkreten Fall relevanten Gesetze, Frameworks, Normen und Standards. Konfuzius sagte: Wenn die Sprache nicht stimmt, dann ist das, was gesagt wird, nicht das, was gemeint ist. Ist das, was gesagt wird, nicht das, was gemeint ist, so kommen keine guten Werke zustande. Kommunikation ist die Basis für die Umsetzung des Dokumentationskonzepts. Mitarbeitende müssen aktiv in den Dokumentationsprozess einbezogen werden. Dokumentationen müssen auch zielgruppenorientiert sein. So ist zum Beispiel eine technische Detailbeschreibung für den Endbenutzer weder verständlich noch relevant. Dokumentationen müssen einfach und jederzeit verfügbar sein. Dazu gibt es heute mehr Möglichkeiten denn je. Online-Hilfen und Wikis, Content Management Systeme (CMS) und Wissensdatenbanken 109

4 Wurden fremde Bestandteile der Dokumentation identifiziert und gekennzeichnet? Ist sichergestellt, dass nur aktuelle Versionen verfügbar sind? Wird die Dokumentation Richtlinien-konform archiviert? Schritt 4: Dokumentation aktualisieren 110 Ob national oder international: Alle Standards verlangen eine korrekte Dokumentation können alle, richtig eingesetzt, den technischen Unterbau für die Dokumentation bilden. Darüber hinaus muss die Dokumentationserstellung standardisiert sein. Es müssen verschiedene Publikationsplattformen bedient werden können, dazu gehören auch mobile Endgeräte. Der Inhalt muss aus einer Quelle zielorientiert gepflegt und generiert werden. Und natürlich hilft die beste Dokumentation nichts, wenn sie nicht gelesen wird. Das Verständnis der Dokumentation muss mit interaktiven Wissensabfragen trainiert und überprüft werden. Schritt 2: Dokumentation erstellen Am Beispiel ISMS mit Konformität zu ISO bedeutet das unter anderem, die Erstellung folgender Dokumente: Sicherheitsleitbild und Zielsetzung Umfang des ISMS Verfahren und Kontrollen zur Unterstützung des ISMS Beschreibung der Methodik der Risikobewertung Risikobewertung Vorgehen zur Verhinderung, Beseitigung und Reduzierung von Risiken Verfahrensbeschreibungen, um die effektive Planung, Durchführung und Kontrolle der Sicherheitsprozesse zu gewährleisten Beschreibung wirksamer Kontrollen. Schritt 3: Dokumentation überprüfen Dokumentation ist keine Eintagsfliege, sie lebt mit den beschriebenen Prozessen und Ergebnissen. Bevor die Dokumente veröffentlicht und genutzt werden, muss klar sein, dass sie richtig und angemessen sind und korrekt aufbewahrt werden. Überprüft werden müssen unter anderem folgende Punkte: Ist die Dokumentation angemessen hinsichtlich Ziel, Zweck, Umfang und Zielgruppe? Ist die Dokumentation noch aktuell? Lassen sich Review, Aktualisierung und erneute Freigabe nach Änderungen nachvollziehen? Sind alle Dokumente eindeutig identifizierbar sein, auch im Kontext mit anderen Dokumenten? Wird unnötige Redundanz vermieden? Sind alle Bestandteile der Dokumentation korrekt klassifiziert und vor unbefugtem Zugriff geschützt? Prozesse und Strategien verändern sich ebenso wie Hard- und Software. Dokumentation ist kein statischer Block, sondern eine flexible Ansammlung dynamischer Informationen. Viele nützliche Erkenntnisse entstehen gerade dadurch, dass die Historie eines Vorgangs sichtbar und nachvollziehbar wird. Aktualisierung bedeutet vor allem: Dokumente an die aktuellen Gegebenheiten anzupassen. Dazu gehören alle Bereiche, Prozessbeschreibungen ebenso wie durchgeführte Kontrollen und Leistungskennzahlen. Alte Dokumente müssen nachvollziehbar aus dem Verkehr gezogen und konform archiviert werden. Die Aktualisierung muss im Rahmen eines Change Management Prozesses erfolgen. Nur so wird sichergestellt, dass auch das Dokumentationskonzept und die Planung kontinuierlich und nachvollziehbar verbessert werden. Zusammenfassung Dokumentation und Kommunikation sind zwingende Voraussetzungen für ein funktionierendes ISMS. Das Wissen der Mitarbeitenden muss aktiv genutzt werden und teilbar sowie personenunabhängig zugänglich sein. Eine mangelhafte, fehlerhafte oder fehlende Dokumentation ist eines der größten und meist unterschätzten Geschäftsrisiken und führt früher oder später zu hohen Kosten und Reputationsschäden. Es ist höchste Zeit, die Dokumentation aus ihrem Schattendasein zu befreien.

5 Wolke erhält Siegel BSI treibt Cloud-Unterstützung voran Elmar Török, bits+bites Cloud Computing ist für die Anwender mehr denn je ein heikles Thema. Sicherheit und Datenschutz haben nach den jüngsten Enthüllungen über mitlesende Nachrichtendienste höchste Priorität. Das BSI unterstützt die Bemühungen der Nutzer durch mehrere neue Bausteine und Initiativen. Quelle: Julien Christ / pixelio.de Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird bis Ende 2013 vier Bausteine zum Thema Cloud Computing für das Informationssicherheitsmanagementsystem (ISMS) IT-Grundschutz fertig stellen. Das kündigte BSI-Präsident Michael Hange anlässlich des Zukunftskongresses Staat und Verwaltung 2013 in Berlin an. Die Bausteine Cloud- Management, Cloud-Nutzung, Webservices und Cloud-Storage gehen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Aktuell, mit neuen Prioritäten Das BSI beschäftigt sich schon seit einiger Zeit mit der Frage nach der Sicherheit von Cloud-Angeboten und hatte bereits im Mai 2011 ein Eckpunktepapier veröffentlicht (1), das einen Überblick über die wesentlichen Felder von Cloud Computing gab, in denen Sicherheit umgesetzt werden sollte. Eine neue Version des Eckpunktepapiers ist zum derzeitigen Stand nicht geplant, es ist nach Ansicht des BSI noch aktuell. Lediglich die Prioritäten bei den Anwendern haben sich verschoben, so stehen Fragen des Datenschutzes heute stärker im Vordergrund als In erster Annäherung ist Cloud eine Spielart des Outsourcings und der Umgang damit ist in zahlreichen Grundschutz-Dokumenten, auch in den Grundschutz-Katalogen, eindeutig für die verschiedenen Sicherheitsansprüche festgelegt. Einige Aspekte beim Cloud Computing jedoch sind neu und gehen über Outsourcing hinaus. Diese Aspekte ergeben sich hauptsächlich aus der Nutzung der gleichen Infrastruktur durch verschiedene Mandanten. Die vier neuen Bausteine Cloud- Management, Web-Services, Cloud- Nutzung und Cloud-Storage sollen dazu dienen, das Thema Cloud umfassend im Rahmen eines ISMS abzubilden. Die Dokumente sind komplementär zu bestehenden Bausteinen. Beispielsweise ergänzt Hilfe für KMU Einfaches Notfallmanagement Wie auf dem Deutschen IT-Sicherheitskongress angekündigt, steht eine weitere Veröffentlichung bevor. Eine Studie zum Thema Notfallmanagement mit der Cloud wird voraussichtlich zur it-sa Anfang Oktober erscheinen. Dabei geht es darum, kleinen und mittelständischen Unternehmen (KMU) zu zeigen, wie sie die oft vorhandene Virtualisierungstechnik nutzen können, um schnell und kostengünstig die Verfügbarkeit der IT-gestützten Geschäftsprozesse zu erhöhen. Cloud-Storage den Baustein B Speichersysteme und Speichernetze um technische Erweiterungen wie Fibre-Channel. Web-Services fügt weitere technische Aspekte zum kürzlich vorgestellten Baustein Web- Anwendungen hinzu. Die Bausteine werden entwickelt, um typische Komponenten und damit auch typische Gefährdungen, Schwachstellen und Risiken in einer sehr heterogenen Umgebung wie einem Cloud-System zu identifizieren. Aus konkreten Schwachstellen ergeben sich auch konkrete Umsetzungshinweise für das Sicherheitsmanagement und Empfehlungen für passende Standard- Sicherheitsmaßnahmen. Als Ziel gibt das BSI an, Cloud-spezifische Anforderungen komplett in den IT-Grundschutz zu integrieren und Cloud-Angebote nach ISO auf Basis von IT-Grundschutz zertifizierbar zu machen. Mittelfristig muss dazu der BSI-Standard um Cloud-spezifische Aspekte ergänzt werden. Die Inhalte der Bausteine sind darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des nativen ISO Standards von großem Nutzen. Allerdings dürfte nicht viel Aufwand nötig sein, um den Standard anzupassen. Netzpläne virtueller Infrastrukturen sind bereits im Grundschutz enthalten und schon heute haben zwei Institutionen eine 111

6 IT-Grundschutz-Zertifizierung, deren Serviceangebote als Cloud bezeichnet werden könnte. Das reine ISMS passt problemlos ins Zertifizierungsschema, andere Bereiche, die bei Cloud-Angeboten besonders wichtig sind, wie SLAs und Datenschutz, kann und darf das BSI ohnehin nicht bewerten. Vorabversionen bis Jahresende Der Baustein Cloud-Nutzung soll bis Ende des Jahres in einer Vorabversion verfügbar sein. Er richtet sich an Sicherheitsverantwortliche, die vor der Herausforderung stehen, Cloud Services im Unternehmen einzuführen und alle relevanten Gefährdungen im Vorfeld erkennen müssen. Auch bestehende Maßnahmen und Bausteine der Grundschutz Kataloge werden überarbeitet, um sie für Cloud-Computing anzupassen. So Plattformen für das Cloud Computing überprüft und zertifiziert werden können. Als Nationale IT- und Cyber- Sicherheitsbehörde sieht das BSI hier dringenden Handlungsbedarf und arbeitet daher unter Einbeziehung der Wirtschaft an entsprechenden IT-Grundschutz-Bausteinen, die dies ermöglichen. Neben den eigenen IT-Standards bringt sich das BSI auch in zahlreichen Cloud-Initiativen ein. Innerhalb der EU sind das beispielsweise Cloud Standards Coordination und European Cloud Partnership. In Deutschland werden die Technologieprogramme des BMWi Trusted Cloud und des BMBF (Forschung für Sicheres Cloud Computing) unterstützt. Neue Cloud-Standards Hilfe für Cloud-willige, aber unsichere Anwender kommt auch von anderer Seite. ISO und IEC verab- Verschlüsselung ist im Cloud- Umfeld ohnehin die wichtigste Maßnahme für Datenschutz und den Kampf gegen ungewollte Mitleser. Inzwischen gehen die Empfehlungen dahin, alle Phasen der Cloud- Nutzung auf dem PC, während der Übertragung und in der Cloud selbst durch harte Kryptografie zu sichern. Viele der kommerziellen Cloud-Anbieter mit eigenen Clients wie Boxcryptor und Wuala haben diesen Trend erkannt und bieten Verschlüsselung innerhalb des Clients an. Für größere Unternehmen sind solche Lösungen eher uninteressant, hier kommen klassische Enterprise- Verschlüsselungslösungen wie fideas von AppliedSecurity zum Einsatz. Dass die Verbindung zum Cloud- Provider mindestens über SSL abgesichert werden muss, ist ohnehin selbstverständlich. Neben den Angeboten des Cloud-Providers, die Daten auch in der Cloud zu verschlüsseln, gibt es mittlerweile Hersteller wie die Chemnitzer Firma HiCrypt, die anbieten, innerhalb der Cloud aktiv zu werden und die dort abgelegten Inhalte zu verschlüsseln. Vermutlich werden im Rahmen der aktuellen Veröffentlichungen bald noch zahlreiche weitere Firmen auf den Zug aufspringen und Kryptografie für die Cloud auf den Markt bringen. 112 Hilfe in Sicht: Neue Bausteine des BSI unterstützen Cloud-Betreiber und Anwender. Quelle: Sebastian von Thadden / pixelio.de wird B 4.1 Heterogene Netze um das Thema virtuelle Netze erweitert und der Baustein B Router & Switche ebenso überarbeitet wie B 4.2 Netz- und Systemmanagement. BSI-Präsident Michael Hange betonte in diesem Zusammenhang: Um von den Vorteilen der Cloud profitieren zu können, müssen die Anwender Vertrauen haben, dass ihre Daten in Cloud-Diensten sicher sind. Dieses Vertrauen kann jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gibt, auf deren Grundlage schiedeten Ende 2012 den ersten Teil des ISO-Standard Er soll die Entwicklung von sicherer Software, auch im Sinne von gehosteten Anwendungen, durch klare Vorgaben erleichtern. Zahlreiche beratende Gremien wie SAFEcode, und die Cloud Security Alliance (CSA) unterstützen den neuen Standard, auch PCI/DSS (Payment Card Industry/ Data Security Standard) haben entsprechende Verweise in ihre Vorschriften aufgenommen. Ebenfalls einen Blick wert ist das Richtlinienwerk der Cloud Security Alliance zum Thema Verschlüsselung (2). Das ist noch aus einem anderen Grund wichtig. Das sichere Löschen von Daten, wie es im IT-Grundschutz vorgeschrieben und auf einer lokalen Festplatte über zahlreiche simple Methoden möglich ist, ist prinzipbedingt in der Cloud nicht möglich. Liegen die Inhalte allerdings nur verschlüsselt auf den Datenträgern des Providers, genügt es den Schlüssel zu vernichten und die Daten sind ebenfalls zerstört. (1) https://www.bsi.bund.de/de/themen/ CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (2) https://cloudsecurityalliance.org/download/ secaas-category-8-encryption-implementation-guidance/

7 So klappt der IT-Grundschutz Berechtigungsmanagement bewahrt den Überblick im Zugriffsdschungel Christian Zander, CTO, protected-networks.com GmbH Informationen und das sind heute vor allem elektronisch verfügbare Daten zählen zu den wertvollsten Gütern. Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen und Behörden. Der Täter sitzt oft genug direkt im Unternehmen. Doch Risiken im eigenen Unternehmen lassen sich durch die Umsetzung gesetzlicher Regularien wie auch durch ein gezieltes Berechtigungsmanagement stark reduzieren. Um die IT Sicherheit zu erhöhen, hilft eine individuelle Risikoanalyse. Diese bringt einen hohen Kosten- und Zeitaufwand mit sich. Eine Alternative bieten nationale wie internationale Normierungen, etwa die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind diese eingeführt, kann die Umsetzung nach ISO/IEC 2700x- zertifiziert werden. Zahlreiche Anforderungen dieser Normierungen sowie internationaler Regularien wie SOX und PCI-DSS lassen sich mit einem softwaregestützten Berechtigungsmanagement umsetzen. Die BSI IT-Grundschutz-Kataloge etwa nennen folgende Anforderungen an IT- Systeme: Identifikation und Authentifizierung Rechteverwaltung und -kontrolle Rollentrennung zwischen Administrator, Revisor und Benutzer Protokollierung einer Rechteverletzung benutzerfreundliche Oberfläche Protokollierung der Administrationstätigkeiten Unterstützung der Protokollauswertung Warum sind fehlerhafte Zugriffsberechtigungen riskant? Es gibt zahlreiche Szenarien, in denen Zugriffsberechtigungen die Ursache für Sicherheitsvorfälle sind. Zum Beispiel, wenn einem Bankmitarbeiter gekündigt wird und er vor seinem Ausscheiden alle ihm zugänglichen Informationen kopiert und an die Steuerfahndungsbehörde verkauft. Oder in dem Fall eines externen IT- Administrators, der zwei Millionen Kundendaten eines Telekommunikationsunternehmens kopiert und weitergibt. Das Vertrauen der Kunden ist beschädigt, die Kosten für das Unternehmen enorm. Beliebt ist auch das Szenario Auszubildender. Ein Lehrling durchläuft im Rahmen seiner Ausbildung alle Abteilungen eines Unternehmens und sammelt dabei verschiedenste Zugriffsrechte ein, die ihm nie entzogen werden. Bis zum Abschluss der Lehre hat er fast unbegrenzten Zugang zu allen Bereichen der IT und kann Daten einsehen, die nur den Fachabteilungen vorbehalten sind. Der nächste Lehrling erbt, wenn mit generischem Accounts gearbeitet wird, diese Rechte, von denen niemand genau weiß, welche das eigentlich sind. Schritte zur Einführung Die grundsätzliche Frage bei der Definition einer Berechtigungsstrategie ist simpel: Wo sind die Daten und wer kann darauf zugreifen? Fast jeder Unternehmer glaubt zu wissen, wer auf welche Daten zugreifen kann. Nur kann er das auch nachweisen? Ist tatsächlich nachvollziehbar, welcher Nutzer Zugriff auf welche Daten und Ordner hat? Fast jede Organisation verfügt über geregelte Prozesse zur Berechtigungsvergabe. Gleichzeitig klagen viele Administratoren über ein undurchsichtiges Berechtigungskonzept und zahlreiche Ausnahmeregelungen. Aufgefordert durch einen Fachabteilungsleiter vergeben Administratoren als zentrale Anlaufstelle Rechte, etwa für das Active Directory, SharePoint oder Exchange. Verlässt der Mitarbeiter das Unternehmen oder wechselt er das Projekt oder in eine andere Abteilung, sollten seine Zugriffsrechte aktualisiert werden. Doch ab einer gewissen Unternehmensgröße verlieren Administratoren beinahe zwangsläufig die Übersicht über die Rechtesituation auf den zahlreichen Systemen. Die Herausforderung besteht darin, einen Überblick über all diese Veränderungen zu behalten und stets zu wissen, dass alle Mitarbeiter die für sie passenden Zugänge haben. Gewährleisten lässt sich das, wenn der eigentliche Dateneigentümer, also der Abteilungsleiter oder Projektverantwortliche, die Zugangsrechte vergibt. Er weiß, im Gegensatz zum Administrator, welcher Mitarbeiter welche Zugangsrechte benötigt und wer Mitglied seiner Abteilung ist. Damit die Vergabe von Zugriffsrechten an Nicht-IT- Profis delegiert werden kann, bedarf es einer einfachen, transparenten und schnell zu nutzenden technischen Lösung. Ideal wäre es, wenn eine Software die transparente 113

8 114 Aministration sämtlicher technischer Ressourcen, angefangen vom Fileserver über Active Directory, Exchange und SharePoint erlaubt. Grundsatzüberlegungen Beinahe jeder Mitarbeiter wird über den Umgang mit vertraulichen Daten belehrt oder unterzeichnet entsprechende Vereinbarungen. Die wenigsten missbrauchen vorsätzlich vertrauliche Daten. Aber angenommen, ein Diplomand arbeitet in der Personalabteilung und stellt fest, dass er Zugriff auf die Gehaltsdaten hat. Gelegenheit macht Diebe, heißt ein bekanntes Sprichwort. Mit einem sauberen Berechtigungsmanagement kommt ein Unternehmen der Pflicht nach, seine Mitarbeiter zu schützen, und zwar auch davor, in Versuchung zu geraten. Das reduziert die Wahrscheinlichkeit, dass Insider vertrauliche Daten weitergeben, auf die sie zufällig gestoßen sind. Schrumpfende Budgets, sowohl für Geld als auch Personalressourcen, sind in der IT weitverbreitet. Ein automatisiertes Bereitstellen und Administrieren von Zugriffsrechten, verbunden mit einer Dokumentation aller Vorgänge und automatisierten Reports, spart Zeit und Geld bei einer gleichzeitigen Steigerung von Bedienkomfort, Effizienz und Sicherheit. Ein erheblicher Unsicherheitsfaktor bei der Berechtigungsvergabe ist die Schnittstelle zwischen Administrator und Fachabteilung. Administratoren haben die Kompetenz, um Berechtigungen zu ändern. Abteilungsleiter wissen, wer tatsächlich in ihrer Abteilung welche Zugriffsrechte benötigt. Eine Softwarelösung sollte es den Dateieigentümern ermöglichen festzulegen, wer Zugriff auf ihre Daten hat. Als Bonus effekt steigt die Sensibilität für den Datenschutz enorm. Kann jeder Abteilungsleiter selbst bestimmen, wer auf diese Daten zugreifen kann, dann ist er auch in der Lage, diesen Zugriff sorgsam zu vergeben und übernimmt damit Verantwortung. Wenn die Verantwortlichen jederzeit überprüfen können, wer Zugriff auf ihre Daten hat, vermindern sie das Risiko einer Datenpanne signifikant. Damit sich so eine Lösung auch im Alltag durchsetzt, muss sie einfach zu verstehen sein. Der IT-Abteilung bleibt dann mehr Zeit, sich ihren eigentlichen Aufgaben zu widmen. Access-Rights-Management optimieren Für die Umsetzung ist es zunächst hilfreich, an einem konkreten Projekt die manuellen Prozesse zur Rechtevergabe zu standardisieren. Das beginnt beim Anlegen eines neuen Benutzers, indem Funktionsrollen erstellt werden. Rollenberechtigungen sind auf lange Sicht einfacher zu handhaben als Personenberechtigungen und erlauben es, neuen Mitarbeitern schnell die nötigen Rechte zuzuweisen. Zunächst ist mit dieser Vorgehensweise viel Aufwand verbunden, denn die Rollen müssen natürlich genau definiert und mit den passenden Rechten ausgestattet sein. Aber auf lange Sicht spart der Ansatz Zeit und erlaubt effizientere Prozesse. Auch im Hinblick auf anstehende Audits ist hier ein erster Grundstein gelegt. Softwaregestütztes Berechtigungsmanagement bietet zahlreiche Vorteile. Für das Management bedeutet es einen Schritt hin zur Haftungsbefreiung, weil geeignete Datenschutzmaßnahmen umgesetzt werden. Für den Administrator ist es eine Arbeitserleichterung und zugleich eine Absicherung. Er kann nachweisen, wer welche Änderungen vorgenommen hat und gerät bei Sicherheitsvorfällen nicht unnötig in die Schusslinie. Der Anwender selbst erlebt Datenschutz als etwas, das zu seinem Arbeitsalltag gehört. Er ist nicht mehr darauf angewiesen, wegen jeder Änderung den Support zu kontaktieren, und er weiß, dass auch seine persönlichen Daten gut geschützt werden. Und am Ende muss niemand fürchten, dass doch Unbefugte versehentlich Einblicke erhalten, die ihnen verborgen bleiben sollten. Und führe uns nicht in Versuchung, verliert seinen Schrecken, denn softwaregestütztes Berechtigungsmanagement verlässt sich nicht auf den guten Glauben, sondern setzt transparent durch, wer Zugriff auf welche Daten hat. Checkliste: Acht Punkte für IT-Grundschutz-konformes Berechtigungsmanagement Jeder bekommt nur, was er braucht Die Rechtevergabe erfolgt nach dem need-to-know- und dem least-privileges-prinzip Jeder ist einzigartig Es gibt eine Rollentrennung zwischen Administrator, Revisor und Benutzer, d.h. zwischen Diensteverwaltung und Datenverwaltung Vier schlägt zwei Benutzerrollen werden nach dem Vier-Augen-Prinzip vergeben, eventuell auch durch den Fachverantwortlichen mit Autorisierung durch den Administrator Zeit ist Geld Zugriffsrechte müssen schnell vergeben, geändert und entzogen werden können Maßgeschneidert Das Rollenkonzept soll sich an den organisatorischen und geschäftlichen Anforderungen orientieren Streitschlichter Rollenkonflikte werden schon bei der Definition aufgelöst Vertrauen ist gut, aber zu wenig Alle Rollenänderungen werden dokumentiert und im Idealfall automatisch als Report ausgegeben Alarmglocken für den Notfall Bei unerlaubten Zugriffen sollte das System den Administrator alarmieren

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out Fileserver Berechtigungen und Active Directory im Griff 8MAN - Berechtigungen auf einen Blick Ihre Situation Große Datenmengen mit den unterschiedlichsten Inhalten und Formaten türmen sich auf Unternehmensservern

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Interview zum Thema Datenschutz & Datensicherheit in der Cloud

Interview zum Thema Datenschutz & Datensicherheit in der Cloud Interview zum Thema Datenschutz & Datensicherheit in der Cloud Matthias Bongarth Götz Piwinger Zehn Fragen an Matthias Bongarth, Geschäftsführer des Landesbetriebs Daten und Information, Rheinland Pfalz

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Cloud Computing für die öffentliche Hand

Cloud Computing für die öffentliche Hand Hintergrundinformationen Cloud Computing für die öffentliche Hand Die IT-Verantwortlichen in allen Bereichen der öffentlichen Verwaltung Bund, Länder und Kommunen sehen sich den gleichen drei Herausforderungen

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die IT- Abteilungen der Unternehmen heute vor völlig neue

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo IT-Grundschutz-Baustein Cloud Management Erwan Smits & Dominic Mylo Projekt-Beteiligte Kooperation BSI und Atos Erwan Smits Atos Dominic Mylo Atos Dr. Clemens Doubrava BSI Alex Didier Essoh BSI Dr. Patrick

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die ITAbteilungen der Unternehmen heute vor völlig neue

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

VARONIS DATA GOVERNANCE SUITE

VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE Funktionen und Vorteile VOLLSTÄNDIG INTEGRIERTE LÖSUNGEN Varonis DatAdvantage für Windows Varonis DatAdvantage für SharePoint Varonis DatAdvantage

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter.

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter. BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT Access Rights Management. Only much Smarter. Die Firma: Protected Networks Die 2009 in Berlin gegründete Protected Networks GmbH entwickelt integrierte

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Besser aufgestellt: Wettbewerbsvorsprung durch verstärkte Cloud-Nutzung Ergebnisse für Deutschland

Besser aufgestellt: Wettbewerbsvorsprung durch verstärkte Cloud-Nutzung Ergebnisse für Deutschland Besser aufgestellt: Ergebnisse für Deutschland Landesspezifischer August 2015 Zusammenfassung Die Cloud ist im Aufwind, doch nur wenige Unternehmen verfügen über fortschrittliche Cloud-Strategien Eine

Mehr

April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT

April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT Bedeutung der Cloud-Technologie 2 Als neues Schlagwort der Informationstechnik ist "Cloud Computing" in aller Munde,

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out Fileserver Berechtigungen und Active Directory im Griff 8MAN - Berechtigungen auf einen Blick Ihre Situation Ihre Lösung - 8MAN Große Datenmengen mit den unterschiedlichsten Inhalten und Formaten türmen

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Klaus Tenderich Funktion/Bereich: Director Automation Services Organisation: Basware GmbH

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Siemens IT Solutions and Services presents

Siemens IT Solutions and Services presents Siemens IT Solutions and Services presents Cloud Computing Kann Cloud Computing mein Geschäft positiv beeinflussen? Ist Cloud Computing nicht nur eine Marketing-Idee? Unsere Antwort: Mit Cloud Computing

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

Verschlüsselung ohne Hintertüren. Dr. Volker Scheidemann Direktor Marketing & Produktmanagement Applied Security GmbH

Verschlüsselung ohne Hintertüren. Dr. Volker Scheidemann Direktor Marketing & Produktmanagement Applied Security GmbH Verschlüsselung ohne Hintertüren Dr. Volker Scheidemann Direktor Marketing & Produktmanagement Applied Security GmbH apsec Historie und Milestones Seit 2007: diverse Awards Firmensitz: Großwallstadt apsec

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Mehr als Cloud Computing. force : cloud

Mehr als Cloud Computing. force : cloud Mehr als Cloud Computing force : cloud Force Net Mehr als ein IT-Unternehmen Force Net ist ein Infrastruktur- und Cloud-Service-Provider, der die Lücke zwischen interner und externer IT schließt. Force

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2014

HYBRID CLOUD IN DEUTSCHLAND 2014 Fallstudie: SAP IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2014 SAP Fallstudie: BOA BKT Informationen zum Kunden www.sap.de Die BOA Group ist einer der weltweit führenden Hersteller von flexiblen

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

In die Cloud aber sicher!

In die Cloud aber sicher! In die Cloud aber sicher! Basisschutz leicht gemacht Tipps und Hinweise zu Cloud Computing 1 In die Cloud aber sicher! Eine Cloud ist ein Online-Dienst. Mit dem Dienst speichern Sie Daten im Internet,

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Sicherheit und Compliance in der Cloud

Sicherheit und Compliance in der Cloud Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Open Cloud Alliance. Choice and Control for the Cloud. Open Cloud Alliance

Open Cloud Alliance. Choice and Control for the Cloud. Open Cloud Alliance Choice and Control for the Cloud CeBIT 2015 16. - 20. März Die Cloud aus Sicht von Unternehmenskunden Nutzen und Herausforderungen von Cloud Computing für Endanwender in Unternehmen und Behörden Cloud

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

TOP 5. Funktionen. von Retain

TOP 5. Funktionen. von Retain ediscovery Leichtes Audit Management Unified Archiving Compliance Die Facebook & Twitter Archivierung TOP 5 End-User Message Deletion Schnelle & leichte Wiederherstellung Funktionen [Archivierungs-] von

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr