Trusted Cloud Service

Größe: px
Ab Seite anzeigen:

Download "Trusted Cloud Service"

Transkript

1 Trusted Cloud Service Sicherheit und Datenschutz in der Cloud Freitag, den

2 Trusted Cloud was geht und was geht nicht? Seite 2

3 Prüfstandard Trusted Cloud Inhalte und Anforderungen Seite 3

4 Trusted Cloud Entwicklung Zusammenwirken Seite 4

5 Trusted Cloud Konzept Validierte Standards fügen sich neu zusammen Trusted Cloud Standard mit Referenz zu Normen, Gesetzen und Best Practices ISO ISO ISO PCI-DSS Trusted Cloud Service IDW PS COBIT BSI IT- Grundschutz BDSG NIST Seite 5

6 Anforderungen an eine Trusted Cloud Umfassendes Prüfsystem Bewertungsgrundlage beruht auf relevanten Normen und Standards (COBIT, ITIL, ISO 27001, PS 330, NIST, PCI DSS ) sowie anwendbaren Gesetzen (BDSG, TKG, GoB, ) Mapping, Matching und Cross Referenzen der unterschiedlichen Standards Insgesamt 248 Prüfpunkte im Prüfkatalog Trusted Cloud Organisatorische Sicherheit Technische Sicherheit Cloud Betrieb Compliance Zuordnung der Relevanz der Anforderungen zu IaaS, PaaS, SaaS Prüfpunkte sind Zertifizierungsgrundlage nach Trusted Cloud für Cloud-Provider Seite 6

7 Trusted Cloud Service Vorgehen der Zertifizierung Das Vorgehen der Zertifikatserlangung unterteilt sich in folgende Schritte: Bestimmung des Scopes Dokumentenprüfung Organisatorische Prüfung Technische Prüfung Abschlussbericht und Zertifikatsvergabe Eintritt in den dreijährigen Zertifikatskreislauf mit jährlichem Überwachungsaudit Re-zertifizierung nach drei Jahren Seite 7

8 Inhalte der Prüfungen im Rahmen der Cloud-Zertifizierung Sichten der SLAs mit den Cloud-Service-Nehmern Begehungen der relevanten Rechenzentren Dokumentenanalyse Prozess- und Betriebsdokumentation Vereinbarungen mit Dienstleistern Interviews Nachvollziehen von Prozess- und Betriebsabläufen Stichproben Einsichtnahme in Tools Technische Überprüfungen SaaS: zusätzliche Untersuchungen des Applikationslayers Seite 8

9 Anforderungskatalog Themenfelder des Prüfkatalogs Technische Sicherheit Organisatorische Sicherheit Cloud Betrieb Compliance Netzwerk Risikomanagement Service Level Mnmgt Interne Vorgaben Firewalls Schwachstellen-Mnmgt Change Mnmgt Datenschutz Benutzerverwaltung Kommunikation Incident Mnmgt Standards und Gesetze Verschlüsselung Physikalische Sicherheit Capacity Mnmgt Audits Software-Entwicklung Klassifizierung & Handhabung von Daten ITSCM IT-Systeme Personal Configuration Management Schadcode Schulung Seite 9

10 Prüfkatalog Auszug aus dem Katalog Prüfungs-MUSS Themencluster Thema Anforderungsbeschreibung Maßnahmen-ID Maßnahme Detailbeschreibung Cloud Betrieb Kapazitätsmanagement IT-Ressourcen sind durch ein TC-Op-12 Überwachung und Steuerung von IT-Ressourcen Verfügbarkeit, Qualität und ausreichende Kapazitäten und Ressourcen Kapazitätsmanagement zu überwachen und müssen so gemessen und analysiert werden, dass die erforderliche Systemzu steuern. Die Ergebnisse des Performance in Einklang mit rechtlichen, vertraglichen und geschäftlichen Kapazitätsmanagements sind regelmäßig zu Anforderungen zur Verfügung gestellt werden kann. reporten und Kapazitätserweiterungen sind frühzeitig zu planen. TC-Op IT-Strategie Ist Zusammenhang von IT-Strategie zur Geschäftsstrategie hergestellt? D.h. wie wird insbesondere sichergestellt, dass auch der zukünftige Bedarf an IT bekannt ist? TC-Op Technologische Entwicklung Wie wird die fortschreitende technologische Entwicklung beobachtet und berücksichtigt? TC-Op Application Sizing Prognosen (aufgrund von Schätzungen oder Simulationen) über zukünftige Kapazitätsanforderungen müssen getroffen werden, um das Risiko einer Überlastung von Systemen zu mindern. ISO ISO COBIT IT-Grundschutz IDW PS ISO PCI-DSS allg. Gesetze TKG BDSG IaaS PaaS SaaS Kunde Provider A X X X X X 6.5 DS3 M A DS3 M X X X A DS3 M X X X X A DS3 M X X X Datenschutz Datenschutz - allgemeine Vorgaben Bei der Übermittlung personenbezogener Daten sind europäische oder anerkannt angemessene Datenschutzniveaus zu gewährleisten. Entsprechende Regelungen sind zu etablieren. Technische Sicherheit Firewalls Die Übergänge zu nicht vertrauenswürdigen Netzen sind durch Firewalls abzusichern. Ein Firewall-Management muss etabliert sein. Software-Entwicklung TC-Op Reporting Auswertungen bzgl. der realisierten Verfügbarkeiten und Kapazitäten müssen zur Verfügung gestellt werden. TC-Op Entwurf der Verfügbarkeit Maßnahmen für die angeforderte Verfügbarkeit und Wiederherstellung müssen konzipiert und implementiert sein TC-TS Implementierung von Firewalls Alle Verbindungen aus öffentlichen Netzen sind nur zu definierten Systemen erlaubt. Verbindungen aus öffentlichen Netzen sollen per se als nicht vertrauenswürdig betrachten werden und entsprechend authentifiziert und autorisiert. TC-TS Regelwerk Eingehende Verbindungen mit internen IP-Adressen sollen auf die externen Interfaces geblockt werden. Die Prüfung von eingehenden und ausgehenden Verbindungen sollen wenn möglich mit zustandsorientierten Paketüberprüfung (Stateful Inspection) erfolgen TC-TS Regelwerk-Änderung Neue Regeln sowie Regeländerungen sollten über den Standard-Change- Management-Prozess abgewickelt werden. Firewall-Regeln sollten stets zeitlich befristet und dokumentiert sein. Der Freigabeprozess soll nach dem Vier-Augen-Prinzip erfolgen. TC-TS Klartext-Protokolle Nicht verschlüsselte Protokolle wie z.b. FTP, RSH und Telnet sollten standardmäßig geblockt werden und nur in begründeten Fällen mit Sonderfreigaben zugelassen werden. TC-TS Ermitteln von Sicherheitsanforderungen Für jedes Projekt sollten Sicherheitsanforderungen identifiziert werden, die dazu geeignet sind, Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der verarbeitenden Daten sicherstellen. 6.5 DS3 X X X X X 6.3 X X X Themencluster Thema Anforderungsbeschreibung Maßnahmen-ID Maßnahme Detailbeschreibung Cloud Betrieb TC-Op Kapazitätssteuerung Kapazitätsmanagement Wie wird sichergestellt, dass nicht zu viel oder zu wenig Kapazität IT-Ressourcen vorgehalten wird? sind durch ein TC-Op-12 Überwachung und Steuerung von IT-Ressourcen Verfügbarkeit, Qualität und ausreichende Kapazitäten und Ressourcen müssen Wie wird sichergestellt, dass Investitionen im richtigen Moment getätigt Kapazitätsmanagement werden (Vermeidung von Panikkäufen)? zu überwachen und zu so gemessen und analysiert werden, dass die erforderliche System- TC-DS-01 Übermittlung von Daten ins Ausland steuern. Personenbezogene Die Ergebnisse Daten dürfen nur des an Stellen im Ausland übermittelt Performance in Einklang mit rechtlichen, vertraglichen und geschäftlichen (EU/Schutzniveau) werden, die im Anwendungsbereich des Rechts der Europäischen Kapazitätsmanagements Gemeinschaften liegen oder sich in Ländern sind befinden, regelmäßig die über ein zu Anforderungen zur Verfügung gestellt werden kann. TC-DS-02 Übermittlung von Daten ins Ausland (BCR) anerkannt angemessenes Schutzniveau verfügen. reporten und Kapazitätserweiterungen sind Personenbezogene Daten dürfen an Stellen im sonstigen Ausland nur TC-Op IT-Strategie Ist Zusammenhang von IT-Strategie zur Geschäftsstrategie hergestellt? D.h. wie frühzeitig übermittelt zu werden, planen. wenn diese schaffen, um ein einheitliches wird insbesondere sichergestellt, dass auch der zukünftige Bedarf an IT bekannt verbindliche unternehmensinterne Regeln Datenschutzniveau auf dem Stand der ist? europäischen Richtlinien zu erreichen. TC-Op Technologische Entwicklung Wie wird die fortschreitende technologische Entwicklung beobachtet und X A DS3 M X X X A A B : b X X X X X 4b Abs.2,3 X X X X X X X X X berücksichtigt? TC-Op Application Sizing Prognosen (aufgrund von Schätzungen oder Simulationen) über zukünftige Kapazitätsanforderungen müssen getroffen werden, um das Risiko einer Überlastung von Systemen zu mindern. TC-Op Reporting Auswertungen bzgl. der realisierten Verfügbarkeiten und Kapazitäten müssen A B : X X X X A B 1.14 PS 330 (77-78) X X X X zur Verfügung gestellt werden. TC-Op Entwurf der Verfügbarkeit Maßnahmen für die angeforderte Verfügbarkeit und Wiederherstellung müssen konzipiert und implementiert sein A B 5.3 M X X X TC-Op Kapazitätssteuerung Wie wird sichergestellt, dass nicht zu viel oder zu wenig Kapazität vorgehalten X A wird? TC-TS Organisatorischer Prozess Ein formaler Prozess zur Implementierung, Test, Dokumentation, Freigabe, B 1.9 Inbetriebnahme und regelmäßigen Prüfung von Firewalls soll definiert M Wie wird sichergestellt, dass Investitionen im richtigen Moment getätigt werden werden und im unternehmensweiten Dokumentenmanagementsysten integriert werden. (Vermeidung von Panikkäufen)? TC-TS Firewall-Management Firewalls sollen im Patchmanagement Prozess integriert werden und A M Datenschutz Datenschutz - allgemeine Vorgaben TC-TS Benutzer-Verwaltung Regelmäßig Patches und Fixes versorgt werden. Bei der Übermittlung personenbezogener Die Benutzer-Verwaltung von berechtigten Benutzer soll zentral in einer TC-DS-01 X A 11.2 B 1.14 Übermittlung von Daten ins Ausland (EU/Schutzniveau)Personenbezogene Daten dürfen nur an Stellen im Ausland übermittelt werden, M Daten Verzeichnis-Struktur sind europäische erfolgen. Die Authentifizierung oder anerkannt und Autorisierung die im Anwendungsbereich des Rechts der Europäischen Gemeinschaften kann M M 4.13 mittels eines AAA-Protokolls erfolgen. angemessene Es sollte eine vom Datenschutzniveaus Management bestätigte Leitlinie über zu die Sicherheit liegen oder sich in Ländern befinden, die über ein anerkannt angemessenes Es muss eine Leitlinie für den Software- TC-TS Security-Policy im A.12 M PS 880 (47) Entwicklungsprozess existieren. Die Leitlinie muss für alle Adressaten gewährleisten. aktuellen Version bekannt Entsprechende und zugänglich sein. Regelungen Schutzniveau verfügen. Entwicklungsprozess existieren. Diese muss in der M 2.80 PS 880 (51-52) Vorgaben zum Umgang mit M 2.83 sind zu etablieren. TC-DS-02 Übermittlung von Daten ins Ausland (BCR) Personenbezogene Daten dürfen an Stellen im sonstigen Ausland nur Sicherheitsanforderungen, Vorgaben zur Bedrohungsanalyse, Testverfahren, Quality übermittelt werden, wenn diese verbindliche unternehmensinterne Regeln TC-TS Security Advisor Alle Für jedes Software-Projekt sollte ein Sicherheitsbeauftragter benannt Gates, etc beinhalten. werden, der die Verantwortung für die Sicherheit des Produktes trägt und schaffen, um ein einheitliches Datenschutzniveau auf dem Stand der Ansprechpartner für Sicherheitsfragen in der Entwicklung ist. europäischen Richtlinien zu erreichen. X X X X 6.1 X X X X X X 6.3 X X PS 880 (51) X X PS 880 (51) PS 880 (66) X TC-TS Threat Model Die spezifischen Bedrohungen für ein Software-System sollten über ein Threat-Model ermittelt in einem Model kategorisiert werden und in einer Bedrohungsdatenbank klassifiziert werden. TC-TS Bewertung von Bedrohungen Basierend auf die Ergebnisse des Threat-Models sollen konkrete Maßnahmen zur Begegnung der Risiken definiert und kategorisiert werden. PS 880 (51) X X PS 880 (50) X X TC-TS Implementierung Für jede verwendete Programmiersprache sollten Implementierungsrichtlinien definiert werden. Die Richtlinien sollten regelmäßig geprüft und ggf. aktualisiert werden. PS 880 (51-52) PS 880 (54) PS 880 (57-58) X X TC-TS Testing Entsprechend einer Policy klassifizierter Code sollte vor dem Release vorgeschriebenen Testmethoden unterzogen werden. PS 880 (51) PS 880 (54) PS 880 (59) PS 880 (66-72)./. X X TC-TS Quality-Gate Vor dem Deployement sollte ein Quality Gate durchlaufen werden, in dem die Einhaltung der Sicherheitsanforderungen geprüft wird. PS 880 (51) PS 880 (54) PS 880 (59) PS 880 (66-72) X X Gesamtzahl der Controls im vollständigen Prüfkatalog : 220+ TC-TS Response Es sollte eine Response-Policy existieren, die den Umgang mit nach dem release bekannt gewordenen Sicherheitslücken regelt. PS 880 (51) X X Seite 10

11 Komplexität managen Unterschiedliche Verarbeitungskontexte haben in den verschiedenen Servicemodellen unterschiedliche Auswirkungen. Ein ergänzendes Konzept der Sicherheitslevel bricht die Komplexität auf und gibt Entscheidungshilfen. Für jedes im Anforderungskatalog dargestellte Themenfeld wurden Anforderungen für die TRUST-Level 1 bis 4 definiert. Somit ist es möglich, für die jeweiligen Cloud Servicemodelle in Abhängigkeit zu den Anforderungen der ausgelagerten Informationswerte ein Mindest-Subset an Anforderungen zu definieren und in Form eines TRUST-Levels festzuschreiben. Seite 11

12 Anpassung an Business Kontexte Trust Level zur Differenzierung Seite 12

13 Bewertung von Cloud-Services Auch die Anwender haben Aufgaben Problemfelder des Kunden: Schaffung einer Entscheidungsgrundlage Prüfung geeigneter Cloud Anbieter Identifizierung der Sicherheits- und Qualitäts- Anforderungen an Provider Compliance Rückgabe / Löschung von Daten Auslagerung von Services / Daten ins Ausland Aufbewahrungspflichten und Fristen Unterstützung des Kunden durch Cloudability-Check Realisierung durch formalisierte Checkliste und Interviews Ergebnis: Identifizierte Anforderungen zu Sicherheit, Service-Qualität und Compliance Cloud-Profil korrespondiert mit Trust Level Seite 13

14 Von der Trusted Cloud zur Cloudability Die Angebote der Provider mit Kundenanforderungen matchen Auf Basis der Cloud Prüfgrundlage ist ein Cloudability Analyse Tool entstanden, das Anwendern hilft, entsprechende Anforderungen für ihre Cloudvorhaben zu identifizieren. Cloud Prüfstandard Cloudability Analyse Seite 14

15 Cloudability Das Tool für den Fachbereich Vor der Entscheidung, Cloud Services zu nutzen, ist die eigene Cloudability festzustellen (TÜV TRUST IT Cloudability Analyse) Bestandsaufnahme: Identifikation der eigenen Geschäftsprozesse / Services Identifikation der verarbeiteten Informationen Erhebung der Schutzanforderungen an die Informationen Umsetzungsplanung: Welches Service-Modell kann genutzt werden? Welches Umsetzungs-Modell kann genutzt werden? Umsetzung Vertragliche Regelungen für organisatorische und technische Maßnahmen Kommunikationstool zwischen IT und Fachbereich Seite 15

16 Die Cloudability-Analyse Anforderungen für die Auslagerung von Services in die Cloud managen Ziel dieser Bewertung (Cloudability- Check) ist es, für einen betrachteten IT- Service einschließlich seiner Daten und Funktionalität zu entscheiden, welche Sicherheits- und Qualitäts-Anforderungen bei der Auslagerung dieses Services in die Cloud an den entsprechenden Cloud- Dienstleister gestellt werden müssen. Außerdem wird der Cloud-Level für die relevanten Schutzziele ermittelt Trust Level 1-4 Die Analyse wird fragebogengestützt durchgeführt und umfasst über 50 Fragebereiche. Seite 16

17 Trusted Cloud Standard Nutzen von Cloudability und Zertifizierung Kunde Nachweis der Datenund Rechtssicherheit anhand einer Zertifizierung Identifizierte Anforderungen an den Cloud Provider Provider Fazit: - Auf beiden Seiten werde Ressourcen gespart - Sicherheit und Transparenz werden erhöht Seite 17

18 Cloud Computing Der Hype wirkt Das Angebot von Cloud Services steigt ständig Neue und reine Cloud Anbieter drängen auf den Markt Anwender und Cloud Provider stellen Anfragen beim TÜV Erstes TRUSTED CLOUD SERVICE Zertifikat an Host Europe im November 2011 Seite 18

19 Reaktionen Anwender, Provider, Behörden Nach der Pilotzertifizierung von Host Europe gab und gibt es: Gespräche mit diversen Verbänden und Behörden wie dem BSI, der Bitkom, Voice über den Trusted Cloud-Standard als empfohlenen Standard. Eine Vielzahl von Anfragen und einige abgeleitete Angebote an Provider, die die Möglichkeit der Differenzierung ihrer angebotenen Services vom Wettbewerb erreichen wollen. Die Anwenderanfragen nehmen derzeit zu Suche nach Orientierung in der Vielzahl der am Markt platzierten Cloud Service Angebote. Seite 19

20 Trusted Cloud! Kunde GmbH Musterstraße Musterstadt Seite 20

21 Backup Seite 21

22 Scoping für die Cloud-Zertifizierung Welche Kunden sollen durch das Zertifikat angesprochen werden (Privat und/oder Geschäftskunden)? Wie soll das Zertifikat geschnitten sein: Serviceorientiert Global-Aussage Welche Serviceausprägung soll zertifiziert werden IaaS, PaaS, SaaS? Seite 22

23 Beispiel für Trust-Level-Ausprägung Seite 23

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Sichere Cloud-Entscheidungen

Sichere Cloud-Entscheidungen Leitfaden Sichere Cloud-Entscheidungen Inhalt Vorbemerkungen 3 Typische Schwächen in Cloud-Vereinbarungen 4 Notwendigkeit eines Cloudability-Checks 6 15 beispielhafte Anforderungen an die Cloud-Provider

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

ISACA Empfehlungen für sicheres Cloud Computing. ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9.

ISACA Empfehlungen für sicheres Cloud Computing. ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9. ISACA Empfehlungen für sicheres Cloud Computing ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9.2013 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 datacenter.de ist eine Marke der noris network AG Was ist die ISO/IEC 20000 International

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 Die Gefahr von innen Ihre geschäftskritischen Daten sind in Gefahr Spionage Mitarbeiter

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Rechtssicher in die Cloud so geht s!

Rechtssicher in die Cloud so geht s! Rechtssicher in die Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Computing Services für die Wirtschaft IHK Niederrhein, 14. Februar 2013 Ist die (Public-)Cloud nicht...

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss Cloud-Standards und Zertifizierungen im Überblick Session I Andreas Weiss IT Ressourcing Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung

Mehr

15. Compliance Netzwerktreffen

15. Compliance Netzwerktreffen 15. Compliance Netzwerktreffen Die CMS-Prüfung nach IDW PS 980 Dr. Martin Walter, Director Group Compliance Warum externe Prüfung? Das Ziel einer externen Prüfung des Compliance Management Systems ist

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Wie können diese Ziele erreicht werden?

Wie können diese Ziele erreicht werden? Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infotisch 4: Messbarer und bewertbarer Datenschutz durch Ausweis von Schutzzielen speziell für Datenschutz, mit Musterprozessen und KPIs Herrn

Mehr

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7.

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7. Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens Fachgruppe Management von Informationssicherheit 7. Juni 2013 Klaus Foitzick Vorstand activemind AG Geschäftsführer

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Configuration management

Configuration management Hauptseminar im Wintersemester 2003/2004 Neue Ansätze im IT-Service-Management-Prozessorientierung (ITIL/eTom) Configuration management 18. Februar 2004 Tingting Hu Betreuer: Vitalian A. Danciu Inhalt

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

IT-Grundschutz-Zertifizierung einer Cloud-Umgebung. Projektbericht. 3. IT-Grundschutz-Tag 2013 Berlin, 12. September

IT-Grundschutz-Zertifizierung einer Cloud-Umgebung. Projektbericht. 3. IT-Grundschutz-Tag 2013 Berlin, 12. September IT-Grundschutz-Zertifizierung einer Cloud-Umgebung Projektbericht 3. IT-Grundschutz-Tag 2013 Berlin, 12. September Michael Schmidt-Plankemann, LL.M. activemind AG 1 Agenda Kurzvorstellung activemind AG

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Cloud-Rechtssicherheit

Cloud-Rechtssicherheit Cloud-Rechtssicherheit TechDay Kramer & Crew 30 Minuten Stefan Fischerkeller Diplomverwaltungswirt (FH) Geprüfter, fachkundiger Datenschutzbeauftragter 1 Profil DDK Standorte: München, Bodensee, Stuttgart,

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Governance- und Compliance-Aspekte im Cloud-Umfeld Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Der Referent Martin Schweinoch Rechtsanwalt und Partner bei SKW Schwarz, München

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box E-POST Vorteile für Geschäftskunden Zeit sparen Prozesse abkürzen Sicher kommunizieren Die Vorteile für Geschäftskunden Kosten

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr