8. Security Forum. 16. Januar Mit freundlicher Unterstützung von

Größe: px
Ab Seite anzeigen:

Download "8. Security Forum. 16. Januar 2014. Mit freundlicher Unterstützung von"

Transkript

1 8. Security Forum 16. Januar 2014 Mit freundlicher Unterstützung von

2 8. Security Forum 16. Januar 2014 Fachhochschule Brandenburg 2

3 Inhalt Vorwort Prof. Dr.-Ing. Burghilde Wieneke-Toutaoui 4 Vorwort Prof. Dr. Friedrich-Lothar Holl 5 Sichere Informationen in offenen Umgebungen 5 Das 8. Security Forum 6 Veranstalter 6 Keynote Soziologie offener Netze: digital sozial 7 Keynote Sicherheitsaspekte & IT-Forensik in offenen Umgebungen 7 BYOD Roadmap 8 Endpoint Security heute 8 Malware wird mobil bei Arbeit, Sport und Spiel 9 Berechtigungen- nicht nur bei Cloud und BYOD ein Problem 9 Security Awareness leicht gemacht oder: Machen wir es uns mit Security Awareness zu leicht 10 BYOD und die Sicherheit von Apps 10 D - ein Überblick 11 Keynote: Sicherheit durch Videoanalyse 11 Fachbeiträge 12 GRC und die Cloud - Ein Ansatz zur Definition der Cloud-Architektur kleiner und mittelständischer Unternehmen 13 Bedrohungspotentiale für Unternehmen von innen und außen 22 Evaluation der Angreifbarkeit von KMU mittels Social Engineering 31 Impressionen vom 7. Security Forum 42 Programm 8. Security Forum 43 3

4 Vorwort Prof. Dr.-Ing. Burghilde Wieneke-Toutaoui Präsidentin der Fachhochschule Brandenburg Sehr geehrte Damen und Herren, zuerst einmal ein Frohes Neues Jahr, Glück und Gesundheit Ihnen allen. Ich begrüße Sie herzlich an der Fachhochschule Brandenburg und freue mich, dass Sie am heutigen Tag den Weg in den wunderschönen Audimax unserer Hochschule gefunden haben. Zum 8. Mal in Folge findet nun das Security Forum statt, wie immer im Januar, direkt zu Beginn eines neuen Jahres. Mit der Zeit hat sich das Security Forum zu einem Aushängeschild, einer DER Veranstaltungen unserer Hochschule entwickelt, bei der Vertreter von Unternehmen, wissenschaftlichen Institutionen und Behörden interdisziplinär zu Sicherheitsthemen zusammenfinden und über aktuelle und zukünftige Trends diskutieren. Als Präsidentin der Fachhochschule Brandenburg erfüllt mich dies mit Stolz. Das Thema Sicherheit ist von Natur aus interdisziplinär - man benötigt Menschen, Prozesse und Technik, um Sicherheit erzielen zu können. Dass wir uns dieser Interdisziplinarität stellen, belegen die Themen der vergangenen Security Foren, z.b. Zukunft der Unternehmenssicherheit, Spannungsfeld zwischen Öffentlicher Sicherheit und Datenschutz und Safety und Security in der Anlagen-, Produkt- und Verkehrssicherheit. Sicherheit prägt inzwischen in hohem Maße das Forschungsprofil der Fachhochschule Brandenburg. In allen drei Fachbereichen findet Forschung zu sicherheitsrelevanten Themen statt, und die damit eingeworbenen Drittmittel stellen einen erheblichen Finanzierungsanteil unserer Forschungsaktivitäten. Es gibt ein Promotionskolleg, BMBF-Projekte, ein EU-FP7-Projekt und viele weitere Aktivitäten. Nicht zuletzt deswegen wurde auch das Projekt der E-Business-Lotsen West-Brandenburg, das in diesem Jahr das Security Forum mit ausrichtet, an unsere Hochschule vergeben. Herr Bohne wird im Folgenden sicherlich ein paar Worte hierzu sagen. Sicherheit ist zudem Querschnittsthema in der gemeinsamen Innovationsstrategie von Berlin und Brandenburg, und unsere Hochschule hat sich bei der Strukturierung von Aktivitäten in den Bereichen Forschung, Qualifizierung und Profilierung in den letzten Jahren stark in den Cluster-Prozess eingebracht. Entsprechend werden wir bei der Umsetzung des Hochschulvertrags, der uns für die nächsten 5 Jahre finanzielle Sicherheit gibt, neben der Rolle der FHB als regionaler Fachkräfte-Garant auch die Sicherheitskompetenz weiter ausbauen. Der Master-Studiengang Security Management, seit Jahren für die Organisation des Security Forums verantwortlich, könnte nicht funktionieren ohne das Engagement unserer Partner aus der Industrie. Nur durch die enge Zusammenarbeit in der Lehre ist es möglich, ein wirklich hochkarätiges Programm mit aktuellster Information aus der Praxis zu bieten. Die Immatrikulationszahlen sprechen für sich, wir haben die Kapazität des Studiengangs dieses Jahr um mehr als 30% überschritten. Es ist mir daher eine besondere Freude, bei dieser Gelegenheit zwei wichtige Unterstützer persönlich zu ehren: Herrn Prof. (habil) Dr. Manfred Martins (Gesellschaft für Anlagen- und Reaktorsicherheit mbh): Herr Prof. Martins unterrichtet Veranstaltungen im Umfeld der Anlagen- und Reaktorsicherheit; seine Honorarprofessur wird um weitere zwei Jahre verlängert und Herrn Prof. Dr. Igor Podebrad (Leiter der Forensik-Abteilung der Commerzbank AG): Herr Prof. Podebrad unterrichtet Veranstaltungen im Umfeld der IT-Forensik; seine Honorarprofessur wird unbefristet verlängert. Ich möchte mich bei beiden für das eingebrachte Engagement sehr bedanken, ohne das der Studiengang heute nicht so erfolgreich wäre. Das diesjährige Forum steht unter dem Motto Sichere Informationen in Offenen Umgebungen. Es ist Tradition, dass das Motto des nächsten Forums jeweils schon im Vorjahr durch die Abschluss-Keynote eingeleitet wird. Im Januar 2013 hatte der Chief Information Security Officer des CERN darüber vorgetragen, wie er versucht, den Wildwuchs von Anwendungen in seinem Haus zu strukturieren und Mindest-Sicherheits-Standards bei maximaler internationaler Forschungsfreiheit durchzusetzen. Die im Laufe des Jahres tröpfchenweise veröffentlichten Informationen über die Aktivitäten der NSA - insbesondere der technischen Möglichkeiten, die diese Behörde ausnutzt, und damit ist sie sicherlich nicht alleine - geben dem Motto eine besondere Aktualität und auch Brisanz. Ich bin daher sehr gespannt auf die Vorträge, und wünsche Ihnen viele interessante Diskussionen. 4

5 Vorwort Prof. Dr. Friedrich-Lothar Holl Sichere Informationen in offenen Umgebungen - Sicherheit in der modernen Gesellschaft Der NSA-Skandal begleitet uns nun schon einige Monate und hat uns die Sicherheitsprobleme der modernen, IT-gestützten Gesellschaft mit schonungsloser Deutlichkeit vor Augen geführt. Die Reaktionen auf diese Enthüllungen sind vielfältig und reichen von Resignation bis hin zu Trotz. Resignation insofern, als die Notwendigkeit von Sicherheitsmaßnahmen komplett infrage gestellt wird, weil das alles sowieso nichts mehr nützt und wir deshalb auch nichts mehr schützen müssen; Trotz bspw. im Sinne eines das können wir uns doch nicht gefallen lassen. Dabei vergessen beide Positionen, dass die derzeitigen Bedrohungen weitaus vielfältiger sind als die, die auf der Basis des NSA-Vorgehens entstehen hier sei nur auf (organisierte) Kriminalität, Wirtschaftsspionage und Know-how-Diebstahl verwiesen, auf die jenseits der Angriffe der NSA auch weiterhin reagiert werden muss. Andererseits führen neue technologische Entwicklungen, wie beispielsweise das Cloud Computing oder das Einbringen eigener Geräte in Netze von Unternehmen und Organisationen, die Entwicklung zum Internet der Dinge usw. zu weiteren potentiellen Schwierigkeiten mit der Sicherheit. Die gesamte Situation wird immer unübersichtlicher worauf immer weniger mit den bisher entwickelten traditionellen Konzepten reagiert werden kann. Insgesamt muss Neues gedacht und entwickelt werden, wobei dieses neue Denken auch das Verhalten der Beteiligten beinhaltet bzw. beinhalten muss. Das Security Forum 2014 versucht nun exemplarisch aufzuzeigen, welche Schutzmaßnahmen derzeit und zukünftig in offenen Umgebungen, auf denen unsere moderne Lebenswelt immer stärker basiert, notwendig und sinnvoll sind sowie auf neue Entwicklungen hinzuweisen, mit denen wir uns zukünftig auseinandersetzen müssen. 5

6 Das 8. Security Forum Sichere Informationen in offenen Umgebungen Der Schwerpunkt der diesjährigen Veranstaltung liegt auf der Sicherstellung von informationellen Schutzzielen in offenen Umgebungen und Netzen. Dabei werden die Bereiche Bring Your Own Device, Endpunktkontrolle und neuartige Lösungen wie Enterprise-DRM oder D näher beleuchtet. Firewalls, die Unternehmensinformationen für sich behalten, sind von Gestern - auch Verbraucher vertrauen ihre Informationen zunehmend Cloud-basierten Dienstleistungen an, die sich nicht weiter abschotten lassen, und quasi aus Prinzip offen sind. Im Unternnehmenskontext sind hierbei insbesondere Konzepte wie Bring Your Own Device modern, stellen die Informationssicherheit aber zunehmend vor große Herausforderungen. Technologieansätze wie Endpunktkontrolle, Berechtigungsmanagement oder Antivirus- und Anti-Malware- Lösungen geraten an ihre Grenzen und neue Ansätze wir Enterprise-DRM und D sind gefragt. Technik alleine jedoch kann die Problematik nicht auflösen - entsprechend sind auch soziologische Aspekte, Awareness-Maßnahmen und der sorgfältige Umgang mit großen Datenmengen von erheblicher Bedeutung. Erfahrungsaustausch zwischen Industrie, Dienstleistern und Forschung Das am 16. Januar 2014 an der Fachhochschule Brandenburg stattfindende Security Forum bietet interessierten Unternehmen, Studierenden und Sicherheitsverantwortlichen die Möglichkeit zum direkten Informationsaustausch sowie zur Diskussion über aktuelle Entwicklungstrends und Perspektiven im Bereich der Sicherheit. Zum achten Mal bietet die Fachhochschule Brandenburg damit eine Plattform zur branchenübergreifenden Kommunikation und dem Auf- und Ausbau von Kontakten, Kooperationen und Netzwerken. Veranstalter Masterstudiengang Security Management (M.Sc.) Der Masterstudiengang Security Management richtet sich an zukünftige Sicherheitsverantwortliche, vermittelt in integrierter Form Management- und Führungsqualifikationen wie entsprechende technische Kenntnisse. Der Studiengang ist in dieser Form in Europa einzigartig. Studiengangsleiter: Prof. Dr. Sachar Paulus Institut für Security und Safety Zielsetzung des An-Instituts für Safety und Security (ISS) ist die Schaffung einer Plattform, um die an der Fachhochschule Brandenburg zur Verfügung stehenden Kompetenzen und Potenziale auf dem Gebiet der Sicherheitsforschung fachbereichsübergreifend zusammenfassen und nach außen hin einheitlich darstellen zu können. Das ISS dient insgesamt der Kooperation und Zusammenarbeit unterschiedlichster Akteure auf dem Gebiet der Forschung und Entwicklung im Safety- und Security-Bereich. Geschäftsführer: Prof. Dr. Friedrich-L. Holl ebusiness-lotse Westbrandenburg Im Rahmen der Initiative ekompetenz-netzwerk für Unternehmen verantwortet der ebusiness-lotse Westbrandenburg die Information und Sensibilisierung von Unternehmen in der gleichnamigen Region. Aufgabe ist die allgemeinen Information, Sensibilisierung und Hilfe von regionalen Unternehmen zu allen Themen rund um den Elektronischen Geschäftverkehr, der inhaltliche Schwerpunkt liegt auf dem Thema Sicherheit. Die Förderinitiative ist Teil des Förderschwerpunkts Mittelstand-Digital IKT-Anwendungen in der Wirtschaft des Bundesministeriums für Wirtschaft und Energie. Leiter: Dennis Bohne 6

7 Keynote Soziologie offener Netze: digital sozial Dr. Stephan G. Humer Forschungsleiter Arbeitsbereich Internetsoziologie, UdK Berlin Vorstandsvorsitzender, Netzwerk Terrorismusforschung e. V. Vita Dr. phil. Stephan G. Humer, Diplom-Soziologe, Gründer und Forschungsleiter des ersten Arbeitsbereichs Internetsoziologie in Deutschland an der Universität der Künste (UdK) Berlin. Damit ist er als Digitalisierungserklärer das Gesicht des Forschungsfeldes Internet und Gesellschaft im deutschsprachigen Raum. Sein Wirken gilt der Analyse der Digitalisierung unserer Gesellschaft in all ihren sozialwissenschaftlichen Facetten, ganz besonders jedoch dem Schwerpunkt Sicherheit. Neben seiner Tätigkeit an der UdK ist er Vorsitzender des NTF. Vortrag In Zeiten der digitalen Revolution wandelt sich nicht nur die Technik in einem atemberaubenden Tempo, sondern auch das Soziale. Denn die Digitalisierung läßt niemanden unberührt und man kann sich ihr realistischerweise kaum mehr entziehen. Das wissen natürlich auch Vertreter von Sicherheitsinteressen wie Behörden und Firmen. Auch sie wollen sich die digitalen Möglichkeiten zunutze machen, doch wie kann das freiheitlichdemokratisch gelingen? Brauchen wir beispielsweise einen brachialen Paradigmenwechsel wie die Vorratsdatenspeicherung, wenn nicht ohnehin schon unzählige Datenspuren von uns im digitalen Raum verfügbar sind und diese unter Umständen mindestens genauso aussagekräftig sind wie eine gezielte Speicherung unserer Kommunikationsmetadaten? Wie können wir Schritt halten mit den ständigen Innovationen, Updates und technischen Ablösungen und ihren sozialen Auswirkungen? Der Vortrag will Lösungsvorschläge vorstellen, damit Menschen das Digitale beherrschen - und nicht umgekehrt. Keynote Sicherheitsaspekte & IT-Forensik in offenen Umgebungen Prof. Dr. Igor Podebrad Direktor, Bereichsleitung Threats Defense Commerzbank AG Vita Prof. Dr. Igor Podebrad ist Direktor und Leiter des Bereichs Threats Defense bei der Commerzbank AG. In seiner Funktion hat er die globale und unternehmensweite Verantwortung für die Themenbereiche: Analyse der aktuellen Angriffsmethoden und -vektoren, Bestimmung der unternehmensspezifischen Bedrohungspotenziale bzw. Angriffsfläche, Entwicklung geeigneter Cyber-Verteidigungsstrategien, Definition von Maßnahmen zur Risikominderung, IT-Forensik. Desweiteren ist er verantwortlich für Spezialisten-Teams, die speziell auf die Überprüfung und Durchsetzung von IT-Sicherheit innerhalb der Commerzbank AG ausgerichtet sind. Diese Teams erfüllen eine Vielzahl von Funktionen, darunter die technische Untersuchung von Cyber-Attacken innerhalb der Finanzindustrie, Penetrationstests der Unternehmens-IT sowie die Bereitstellung von know-how, welches der Untermauerung der IT-Security Strategie der Commerzbank AG dient. Er ist Honorarprofessor und hat einen Lehrauftrag für die Themengebiete IT-Forensik und Cyber Crime an der Fachhochschule Brandenburg an der Havel. Darüber hinaus forscht er auf dem Gebiet Sichere Computer Architekturen in Zusammenarbeit mit der Helmut Schmidt Universität, Universität der Bundeswehr in Hamburg. Prof. Dr. Igor Podebrad besitzt ein Diplom der Wirtschaftswissenschaften und promovierte an der Freien Universität Berlin. Vortrag Der Vortrag beginnt mit einem kurzen Exkurs über die veränderten IT-Paradigmen in offenen Umgebungen respektive deren Auswirkungen auf die Sicherheit. Anschließend werden aktuelle Herausforderungen der IT-Forensik in offenen Umgebungen bzw. entsprechende Problemstellungen skizziert und diskutiert. Die Bewertung schließt als Fazit ab. 7

8 BYOD Roadmap Prof. Dr. Sachar Paulus Studiendekan Studiengang Security Management Fachhochschule Brandenburg Vita Prof. Dr. Sachar Paulus ist Professor für Wirtschaftsinformatik und Security Management an der Fachhochschule Brandenburg und Studiendekan für den Master-Studiengang Security Management. Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen zu Sicherheit tätig, unter anderem Leiter der Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat SAP als Vorstandsmitglied in den beiden Vereinen Deutschland Sicher im Netz und TeleTrusT. Er engagiert sich für sichere Software- Entwicklung und ist Vorstandsvorsitzender des Vereins ISSECO e.v. sowie in Vorständen weiterer Initiativen zur Förderung von Sicherheitsthemen (SesamBB e.v., ProBuilding e.v., ASQF e.v.). Vortrag Bring Your Own Device ist inzwischen nicht mehr die Ausnahme, sondern der Normalfall. Immer mehr Unternehmen und behördliche Organisationen sehen sich damit konfrontiert, dass die Mitarbeiter ihre eigenen privaten Geräte mitbringen - und damit auch betriebliche Aktivitäten ausführen. Ignorieren kann man das Thema daher nicht mehr. Daher ist eine Strategie erforderlich, wie das eigene Untermehmen mit dieser Problematik umgehen kann. IABG hat für SesamBB zwischen Mitte 2012 und Februar 2013 eine Vorgehensweise erstellt, die er einem Unternehmen ermöglicht, anhand einer Roadmap konstruktiv mit dem Thema Bring Your Own Device umzugehen. Dabei wird das Unternehmen durch Abarbeitung eines Fragebogens in die Lage versetzt, wichtige Entscheidungen in Bezug auf mobile IT-Geschäftsprozesse zu treffen um die erforderliche Sicherheit beizubehalten. Dieser Vortrag stellt die Roadmap vor, und wie man sie bekommen kann. Endpoint Security heute Robert Manuel Beck Managing Consultant, Information Security HiSolutions AG Vita Robert Manuel Beck ist Managing Consultant im Bereich Information Security Management bei der HiSolutions AG in Berlin und arbeitet seit über 10 Jahren im Umfeld der Informationssicherheit. In dieser Zeit war er für das Fraunhofer ISST, die IT-Services und Solutions GmbH (Tochter der IBM) und die HiSolutions AG tätig. Er ist zertifizierter ISO27001 Lead Auditor sowie lizensierter Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz. Seine fachlichen Schwerpunkte liegen u. a. im Aufbau und der Auditierung von Informationssicherheitsmanagementsystemen nach ISO und IT-Grundschutz. Er studierte in Berlin, wo er sowohl Diplom-Arbeit und Master-Thesis zu Themen der Informationssicherheit schrieb. Vortrag Die in Unternehmen eingesetzte Informationstechnologie hat sich in den vergangenen Jahren rasant weiterentwickelt. Wo vor einigen Jahren noch über den heimischen oder Telearbeits-PC per Modem Fernzugriffe getätigt wurden, geschieht dies heutzutage mobil per Notebook, Smartphone oder Tablet. Wo einst der Zugriff über die analoge Telefonleitung erfolgte, stehen heute High-Speed-DSL, UMTS oder gar LTE zur Verfügung. Die Gefährdungslage hat sich dadurch verändert bzw. erweitert. Daten können schneller und in größeren Mengen heruntergeladen werden und der Besuch einer Webseite reicht aus, um unbemerkt Schadsoftware zu installieren. Um Unternehmen vor diesen Gefährdungen zu schützen, hat sich das Thema Endpoint Security etabliert. Unter diesem Begriff werden unterschiedliche Sicherheitsmaßnahmen für Endgeräte wie Virenschutz, Personal Firewall, Patch- oder Policy-Verteilung, Datenträgerverschlüsselung, etc. subsumiert. Doch nicht jedes Produkt ist für alle Unternehmen geeignet. In diesem Vortrag werden die grundlegenden Aspekte für eine sinnvolle Tool-Auswahl beleuchtet und die Grenzen dieser Technik aufgezeigt. 8

9 Malware wird mobil bei Arbeit, Sport und Spiel Ronny von Jan G Data Software AG Vita Abschluss als Master of General Management und Dipl. Betriebswirt (FH). Seit 2010 bei G Data als Channel Account Manager für die Region Nord-Ost zuständig. Vortrag Telefonieren in der Vergangenheit und Heute. Welche Gefahren und Schäden können heutzutage bei Smartphone Nutzern entstehen. Wie kann sich umfassend als Unternehmen und Endnutzer vor solchen Gefahren geschützt werden.. Berechtigungen- nicht nur bei Cloud und BYOD ein Problem Christian Zander Dipl. Ing., CTO, Forschung und Entwicklung protected-networks.com GmbH/8MAN Vita Geht nicht, gibt es nicht. Am besten sofort und in herausragender Qualität. Damit lässt sich das Motto von Christian Zander auf den Punkt bringen. Der Diplom-Ingenieur für technische Informatik ist der visionäre Kopf des 8MAN Teams. Ihm untersteht der Bereich Forschung und Entwicklung. Als der Fachmann in der Konzeption innovativer Software-Architekturen setzt er mit seinem Entwicklerteam auf agile Software-Entwicklung. Usability sowie deren modulare und effiziente Implementierung im.net-umfeld ermöglichen die rasante Weiterentwicklung und hohe Bedienerfreundlichkeit der Software 8MAN. Vortrag Wer hat Zugriff auf Ihre Daten? Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen oder Behörden. Die Täter sitzen oft genug in den eigenen Reihen. Das zentrale Risiko für internen Datenmissbrauch sind Fehlberechtigungen. Sie entstehen aus ganz alltäglichen Abläufen heraus. Etwa so: Mitarbeiter Hans Harmlos hat sechs Stationen bei Forschgut durchlaufen. Jetzt ist er Abteilungsleiter. In jeder Abteilung wurden ihm neue Zugriffsrechte eingeräumt, die alten aber nie entzogen. Das weiß auch Hans Harmlos. So gelingt ihm nach seiner Kündigung ein fulminanter Neustart dank der mitgenommenen Patentdaten. Minimieren lassen sich diese Risiken durch die Umsetzung gesetzlicher Regularien wie auch durch gezieltes, softwaregestütztes Berechtigungsmanagement. Die persönliche Verantwortung für kritische Daten sollte tief im Unternehmen implementiert werden. Genau an diesem Punkt setzt softwaregestütztes Berechtigungsmanagement an. Es schützt sensible Daten effizient, einfach und jederzeit nachprüfbar vor unberechtigten Zugriffen und Missbrauch. Damit lässt sich eine fehlerhafte Berechtigungsvergabe von Anfang an vermeiden. 9

10 Security Awareness leicht gemacht oder: Machen wir es uns mit Security Awareness zu leicht Michael Helisch Business Security Officer Europe, Middle-East, Asia (EMEA) ADP Employer Services Inc. Vita Michael Helisch ist seit 2001 in verschiedenen Fach- und Führungsfuntionen im IT- und Security-Umfeld tätig. Von 2002 bis 2007 war er für die Konzeption und Leitung des International Security Awareness Programs (ISAP) der Münchener Rückversicherungs-AG verantwortlich, eine der umfangreichsten Security Awareness Kampagnen in Deutschland gründete er HECOM Security Awareness Consulting, eine auf den Sicherheitsfaktor Mensch fokussierte Unternehmensberatung. Er ist Dozent für Security Awareness an der FH Hagenberg, Österreich und Mitherausgeber des bisher einzigen Fachbuchs zum Thema Security Awareness im dt. Sprachraum. Neben zahlreichen Veröffentlichungen und Vorträgen hat Herr Helisch 2009 und 2011 in Zusammenarbeit mit der Zeitschrift <kes> die D/A/CH-weite Studienreihe Security Awareness in der betrieblichen Praxis initiiert und umgesetzt. Aktuell verantwortet Herr Helisch als Director und Business Security Officer der ADP Employer Services Inc. deren Sicherheitsaktvitäten im Raum EMEA. Vortrag Wenngleich man heutzutage nicht mehr über den Sinn respektive die Notwendigkeit der Mitarbeitersensibilisierung streiten muß, so folgt die Methodik, mit der dieses Thema im betrieblichen Alltag umgesetzt wird, allzu oft althergebrachten Strickmustern, deren Erfolg, sofern er denn überhaupt gemessen wird, meist keiner belastbaren Überprüfung standhält. Da werden Massen von Mitarbeitern jahrein jahraus durch Online-Trainings gejagt, um die entsprechende Anforderug der ISO Norm abhaken zu können. Das dies recht wenig mit dem angestrebten Ziel der nachhaltigen Verhaltensänderung im Hinblick auf die Umsetzung von Sicherheitsvorgaben zu tun hat, liegt auf der Hand. Warum aber folgen wir immer wieder allzu gern der realitätsfernen Annahme, dass Wissen gleichsam automatisch zur Umsetzung des Gelernten führe. Können wir als Verantwortliche eines solchen Vorhabens nicht anders oder wollen wir es einfach nicht? Der Vortrag beleuchtet die Einflussfaktoren auf menschliches Handeln im Unternehmen sowie im Kontext betriebliche Sicherheit und zeigt, warum Security Awareness Aktivitäten, die echte Compliance anstreben, eben nicht auf die leichte Schulter zu nehmen sind. BYOD und die Sicherheit von Apps Stefan Strobel Gründer und geschäftsführender Gesellschafter der cirosec GmbH Vita Stefan Strobel studierte medizinischen Informatik der Fachhochschule Heilbronn und der Universität Heidelberg sowie Intelligence Artificielle am LIA der Université de Savoie in Chambery/Frankreich. Er war einer der Gründer der Centaur Communication GmbH in Heilbronn, die später in der IntegralisCentaur und der Articon-Integralis AG aufging. Bei der Centaur Communication GmbH war er für die erfolgreiche Umstrukturierung zu einem reinen IT-Security Unternehmen verantwortlich. Er war Technischer Leiter der IntegralisCentaur GmbH und später Technical Development Director der IntegralisCentaur bzw. im Strategic Development bei der Articon-Integralis AG beschäftigt. Er verfügt über langjährige Erfahrungen in der Beratung großer Firmen mit sehr hohem Sicherheitsbedarf und in der Erstellung von Konzepten und Policies. Neben seiner Tätigkeit hält er Vorträge auf Fachkongressen und ist Autor verschiedener Fachbücher, die in mehreren Sprachen erschienen sind. Darüber hinaus ist er in zahlreichen Fachbeiräten vertreten. Heute ist es geschäftsführender Gesellschafter der im Februar 2002 gegründeten cirosec GmbH. Vortrag Spätestens seit moderne Smartphones und Tablets immer stärker in die Unternehmenswelt drängen, wird der Ruf nach Bring your own device -Strategien immer lauter. Private ipads sollen nicht nur auf die geschäftlichen s zugreifen können, sondern auch auf ERP- oder CRM-Systeme. Manche Unternehmen überlegen sogar, ob überhaupt noch unternehmenseigene Arbeitsplatz-PCs benötigt werden. All diese Ansätze haben offensichtlich großen Einfluss auf die Informationssicherheit. Nicht nur die diskutierten Endgeräte selbst bringen neue Sicherheitsprobleme mit sich, sondern auch die Apps, die auf ihnen laufen sollen. Der Vortrag zeigt typische Schwachstellen sowohl von heutigen Smartphones und Tablets als auch von Apps und erläutert Anforderungen und Entwicklungsrichtlinien für die Entwicklung eigener Apps. 10

11 D - ein Überblick Axel Janhoff Geschäftsführer Mentana-Claimsoft GmbH Vita Axel Janhoff ist Geschäftsführer der Mentana-Claimsoft GmbH und verantwortet dort die Bereiche Strategie und Vertrieb. Mentana-Claimsoft ist eins der führenden Unternehmen in den Bereichen elektronische Signaturen und sichere Kommunikation in Deutschland und ist erster akkreditierter D Diensteanbieter und erster privatwirtschaftlich EGVP Provider. Er ist auch Geschäftsführer der Deutschen Vertriebsgesellschaft der Francotyp-Postalia Gruppe. Dort ist er verantwortlich für die E-Business Strategie in Deutschland. Vortrag Im Rahmen des Vortrags wird ein Überblick über die Schritte der Akkreditierung eines D Diensteanbieters (DMDA), die grundlegende Technologie und Integrationsmöglichkeiten sowie den Zweck und die Einsatzszenarien von D gegeben. Die Grundlage von D bildet das D Gesetz samt Technischer Richtlinie des BSIs. Daraus ergeben sich Anforderungen an die Akkreditierung u.a. nach ISO und IT-Grundschutz - sowie die Ausgestaltung des Betriebs (Funktionalität, Interoperabilität ). Durch Nutzung von international verbreiteten IT-Standards, wie u.a. SMTP, HTTPS, S/MIME, SOAP, gibt es diverse Integrationsmöglichkeiten in bestehende IT-Infrastrukturen. Beleuchtet werden auch die Einsatzmöglichkeiten von D in der Praxis, um physische Kommunikation zu digitalisieren und es erfolgt eine Abgrenzung zu bestehenden Technologien und Systemen, die D nicht ersetzen soll und kann. Keynote: Sicherheit durch Videoanalyse Dr. Ivo Keller Leiter der Gruppe Video und Inhaltsanalyse TU Berlin, Fachgebiet Nachrichtenübertragung Vita Studium der Elektrotechnik, Promotion in der Fernerkundung Gründung des Fraunhofer-Spinoffs Visapix GmbH, einem Spezialisten für innovative Videolösungen im Sicherheits- und Retail-Bereich Gründung der Technologieberatungsfirma CPM GmbH mit den Schwerpunkten mobile 3D-Videoanalyse, Big Data/ verteilte Datenbanken sowie Datenschutz und Technikfolgen. Durchführung zahlreicher Forschungsprojekte aus den Bereichen Audio- und Videoanalyse und Textanalyse/Data Mining, Vertretungsprofessur für Informationswissenschaften. Vortrag Die heutige Video Surveillance basiert zwar immer noch auf einer statistischen Interpretation komplexer Szenen, jedoch konnten hier in den letzten Jahren wesentliche Fortschritte erzielt werden. So lassen sich heute Gegenläufer in einer Menschenmenge verfolgen, das kameraübergreifende Personentracken entwächst den Kinderschuhen und mobile Endgeräte beginnen in großen Sensornetzen zusammenzuarbeiten. Graphikprozessoren analysieren heute hunderte von Szenen parallel, was die Verkehrsbeobachtung aus bewegten Kameras erlaubt erhöht die Videoüberwachung damit die Sicherheit für Passanten und Reisende? Teilweise. Denn das Spektrum menschlicher Verhaltensweisen übersteigt leider die Möglichkeiten einer regelbasierten Beschreibung. Der Vortrag bietet einen Einblick in die aktuelle Forschung an adaptiven, lernfähigen und skalierbaren Systemen. Wohin entwickelt sich die künstliche Intelligenz und wie zeitgemäß ist das erkenntnistheoretische Credo, finale Entscheidungen niemals Computern zu überlassen? 11

12 Fachbeiträge Ergänzend zu den Vorträgen des Security Forums finden Sie in dieser Broschüre drei Fachbeiträge, die sich thematisch in das Motto des 8. Security Forums einpassen. Die Autoren sind Studierende oder Alumni des Master-Studiengangs Security Management. Wir wünschen Ihnen viel Spass beim Lesen! 12

13 GRC und die Cloud - Ein Ansatz zur Definition der Cloud-Architektur kleiner und mittelständischer Unternehmen Erik Neitzel Fakultät für Informatik Otto-von-Guericke-Universität Magdeburg Universitätsplatz Magdeburg Fachbereich Wirtschaft Fachhochschule Brandenburg Magdeburger Str Brandenburg an der Havel André Nitze Fachbereich Duales Studium Hochschule für Wirtschaft und Recht Berlin Alt-Friedrichsfelde Berlin Fachbereich Wirtschaft Fachhochschule Brandenburg Magdeburger Str Brandenburg an der Havel Abstract Der Einsatz von Cloud-Angeboten, insbesondere Software as a Service (SaaS), kann für kleine und mittelständische Unternehmen (KMU) in vielen Fällen als wirtschaftlich sinnvolle Alternative oder Ergänzung zum Eigenbetrieb von IT erachtet werden. In Abhängigkeit der Kritikalität der Geschäftsprozesse und verarbeiteten Informationen kann es jedoch Einschränkungen geben, die im Sicherheitskontext zu diskutieren sind. In diesem Beitrag wird daher zunächst eine generelle Klassifikation repräsentativer Cloud-Dienste vorgenommen, woraufhin konkrete Fragestellungen zur Entscheidung für oder gegen den Einsatz von Cloud-Diensten benannt werden. Dabei wird speziell auf Anforderungen für Governance, Risk und Compliance (GRC) eingegangen, deren Aspekte nicht nur im Rahmen aktueller Bedrohungsszenarien wesentlich an Relevanz gewonnen haben, sondern von grundsätzlicher Bedeutung für Unternehmen sind. Eine gründliche Evaluation der eigenen Geschäftsprozesse, d.h. der daran beteiligten Aufgaben, Menschen und Technik, anhand der vorgeschlagenen Kriterien kann dabei helfen, geeignete Typen, Abstraktionsformen und Anbieter einzugrenzen sowie anhand unternehmensspezifischer Prioritäten auszuwählen. 1 Paradigmenwechsel: IT-Dienste aus einer Wolke Klassische IT-Landschaften, bei denen Server als Abstraktionsmittel zu den Geschäftsprozessen dienen, können den heutigen Anforderungen an Flexibilität und Abrechenbarkeit nicht gerecht werden. Dies begründet sich durch die Notwendigkeit der Vorhaltung eigener Infrastruktur und des zur Wartung von Software und Hardware notwendigen Administrations- und Verwaltungspersonals. Der letzte Paradigmenwechsel in der IT-Welt resultierte daher in einem Umdenken in Bezug auf die Bereitstellung von IT- Dienstleistungen: Hard- und Software werden nicht länger vollständig vor Ort im Unternehmen betrieben. Stattdessen können viele Dienste über verteilte Systeme bezogen werden, die seither mit der sinnbildlichen Wolke ( cloud ) umschrieben werden. Hierdurch wird die Komplexität der IT-Landschaft aus Unternehmenssicht gekapselt und abstrahiert. Neben grundlegenden Diensten wie Speicherplatz und Rechenkapazität zählen dazu die Bereitstellung von Entwicklungsplattformen und vollständigen Unternehmensanwendungssystemen wie ERP-, CRM-, SCM- und SRM- Software. Virtuelle Desktop-Infrastrukturen gehören mittlerweile ebenso zum Angebot wie Analyse-, Security- und Kollaborationswerkzeuge. Geringe Anschaffungskosten, nutzungsabhängige Bezahlung ( pay-per-use ) und die Abwicklung fast aller technischen und administrativen Angelegenheiten durch die Anbieter macht Cloud-Angebote für kleine und mittelständische Unternehmen (KMU) interessant. Seit längerer Zeit stützen sich Organisationen auf IT-Systeme, welche auf direkte oder indirekte Weise Geschäftsprozesse unterstützen. Diese Prozesse dienen der Wertschöpfung, ausgehend von Zielen und Ausrichtung der Unternehmen. Die heutigen Märkte sind jedoch durch sich stetig verändernde Wertschöpfungsketten gekennzeichnet, welche durch hohe Marktunsicherheit und steigende Produktinnovation entstehen. Unternehmen müssen diesem Umstand über flexiblere IT-Systeme gerecht werden, welche sowohl die Realisierung als auch die Abrechnung von IT-Diensten am eigenen aktuellen Bedarf ausrichten, geringe Abhängigkeiten schaffen und jederzeit skalierbar sind, d.h. mit den sich verändernden Anforderungen des Unternehmens wachsen oder schrumpfen können. Heute steht eine Vielzahl von Cloud-Diensten mit unterschiedlichen Bezahlmodellen, Funktionskatalogen und Schnittstellen zur Nutzung bereit. Die Auswahl geeigneter Services hängt jedoch von vielen Faktoren ab, die jedes Unternehmen individuell bewerten muss. 1.1 Vor- und Nachteile von Cloud-Diensten in KMU 13 Die naheliegendsten Argumente für die Nutzung von Cloud-Diensten sind die geringen Anfangsinvestitionen und die planbaren Betriebskosten. Durch das Pay-per-Use -Modell wird nur für abgefragte Leistungen bezahlt. Verschiedene Bezahlmodelle werden in [Inf09] ausführlicher erläutert. Die Einfachheit der Bereitstellung zeigt sich in Unternehmen häufig im Einsatz von Cloud-Diensten, die außerhalb des Kenntnis- und Einflussbereichs der IT-Leitung befinden. Diese Eigenschaft ermöglicht aber auch einen kostengünstigen Testbetrieb, der später zu einer vollwertig integrierten Lösung ausgebaut werden kann.

14 Der stark verringerte Administrationsaufwand ist ein weiterer entscheidender Punkt für KMU, da hier großes Potenzial zur Kostensenkung besteht, die erst durch die Skaleneffekte des Bereitstellungsmodells und die damit deutlich höhere Ressourcenauslastung möglich wird. Aber es ergeben sich auch Nachteile in der Nutzung von Cloud-Diensten. Mit der Abwicklung von Geschäftsprozessen über Cloud-Dienste kann eine Abhängigkeit gegenüber einzelnen Cloud-Anbietern entstehen. Diese Abhängigkeit wird eventuell erst sichtbar, wenn ein Anbieterwechsel vorgenommen werden soll. Proprietäre Datenformate ohne alternative Exportmöglichkeit sind ein Hinweis auf derartige Intentionen seitens der Hersteller. Insgesamt bieten Cloud-Dienste eine völlig neue Möglichkeit zur automatischen Skalierung der IT, ausgehend vom tatsächlichen Bedarf an Leistungen. Es existieren Vor- und Nachteile, letztere besonders im Bereich GRC. 1.2 Implikationen für Governance, Risk und Compliance (GRC) Die sich verändernden Wertschöpfungscharakteristika, geprägt durch hohe Marktunsicherheit und hohe Produktkomplexität, erfordern ein hohes Maß an Agilität und Flexibilität der Geschäftsprozesse. Diese Flexibilität erschwert die Einhaltung von Schutzbedarfen, insbesondere bei Auslagerung und/oder Verarbeitung von Informationen in Cloud-Services. Die Notwendigkeit der Festsetzung von Schutzbedarfen ist unverändert, muss jedoch in diesem dynamischen Rahmen wiederholt durchgeführt werden, spätestens bei Änderung des zu behandelnden Geschäftsprozesses. Sämtliche Überlegungen hinsichtlich durchzuführender Maßnahmen an den Ressourcen (Mitarbeitern, Diensten, Anwendungen, Infrastruktur) müssen vom Geschäftsprozess ausgehen, da hier den Ressourcen die Aufgaben zugewiesen werden. Diese Aufgaben regeln sowohl den Gehalt als auch die Flussrichtung der entgegengenommenen und/oder erzeugten Informationen. Der Schutzbedarf der im Geschäftsprozess verarbeiteten Informationen vererbt sich auf die Ressourcen, die mit diesen Informationen umgehen. Ist der Schutzbedarf bekannt, müssen Gefährdungen identifiziert, und für diese Gefährdungen Eintrittswahrscheinlichkeiten und potenzielle Schadenshöhen identifiziert werden. Es resultiert ein Risikoindikator, welchem mit speziellen Maßnahmen zu begegnen ist. Im Bereich der Cloud-basiert verarbeiteten Informationen kommen nun spezielle Gefährdungen hinzu. Diese betreffen gesetzliche Regelungen, welche bei der externen Verarbeitung von Informationen einzuhalten sind - zu nennen ist hier 11 Bundesdatenschutzgesetz (BDSG) betreffend die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Ein Verstoß gegen diese Regelungen kann in Form einer erfolgreichen Klage (Gefährdung) in bestimmten Fällen (Eintrittswahrscheinlichkeit) erheblichen finanziellen Schaden (Schadenshöhe) nach sich ziehen. Ferner entstehen Risiken für den Anwender durch Nichteinklagbarkeit von inländischen Rechten bei Verarbeitung von Daten im Ausland, da hier stets die Gesetze der Serverstandorte der Cloud-Services gelten. Dieses Risiko hat in Form von Reputationsverlusten Auswirkungen an den originären Dienstanbieter. Den hierdurch neu entstehenden Risiken ist mit geeigneten Maßnahmen zu begegnen. So ist es beispielsweise denkbar, dass es die betriebswirtschaftlich beste Entscheidung ist, bestimmte Prozessbestandteile nicht Cloud-basiert, oder nur in bestimmten Formen von Clouds zu verarbeiten. 1.3 Aufbau dieses Reports Cloud-Dienste sind entsprechend ein vollkommen neues Mittel zur Abstraktion der IT, mit neuen Vorteilen, jedoch auch eigenen Nachteilen. Um auf eine Entscheidungshilfe für Cloud-Dienste hinzuführen, werden zunächst Cloud-relevante Kriterien kleiner und mittelständischer Unternehmen vorgestellt. Anschließend werden die vier Cloud-Formen (public, private, hybrid, community) vorgestellt und diesen Kriterien gegenübergestellt. Später werden die unterschiedlichen Abstraktionsgrade von Cloud-Diensten (SaaS, PaaS, IaaS) erläutert. Passend dazu werden im Anschluss einige verbreitete Cloud-Dienstleister vorgestellt. Schließlich folgt ein Methodikvorschlag zur strukturierten Entscheidungsfindung von Cloud-Formen, Cloud-Abstraktionsgraden und konkreten Cloud-Dienstleistern für KMU. Es wird mit einem Ausblick geschlossen. 2 KMU-Kriterien für Cloud-Dienste Für KMU spielen bei der Auswahl von Cloud-Diensten verschiedene Kriterien eine Rolle. Die größten Sorgen von IT- Verantwortlichen im Jahr 2008 waren Sicherheit (45%), die Integrationsfähigkeit in die bestehende Infrastruktur (26%), Kontrollverlust über die Daten (26%) und die mangelnde Verfügbarkeit (25%) und Performance (24%) (vgl. [Püt13]). Für 60% der KMU in den USA, die noch nicht den Schritt in die Cloud gewagt haben, ist Sicherheit nach wie vor einer der Hauptgründe, wie eine aktuelle Microsoft-Studie belegt (vgl. [Mic13]). Auf den nächsten Plätzen werden wiederum Kontrollverlust (45%) und Zuverlässigkeit (42%) genannt. In der Studie zeigte sich im starken Kontrast dazu, dass 94% der auf Cloud-Dienste gewechselten KMU Sicherheit, Datenschutz und Zuverlässigkeit als größte Vorteile der Cloud ansehen. Diese Sichtweise wird auch von Neelie Kroes gestützt, welcher sich im Rahmen der Europäischen Kommission sogar explizit für einen Sicherheitsgewinn durch Einsatz von Cloud-Diensten ausspricht [Kro13]. Entsprechend ist eine Polarisierung der Empfindungen von Cloud-Anwendern hinsichtlich verschiedener Kriterien erkennbar. 14

15 Insgesamt lassen sich folgende Kriterien für die Auswahl von Cloud-Diensten ableiten: Effektivität (der Funktionsumfang, d.h. die Abbildung von Unternehmensbereichen und Geschäftsprozessen durch adäquate Module) Effizienz (Wirtschaftlichkeit bei Einführung, inklusive der Vertragsgestaltung und Nutzung) Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) Compliance (rechtliche Bedenken wie beispielsweise Datenschutzaspekte, welche auch in den Bereich anderer Kriterien fallen können) Technische Integrationsfähigkeit (Schnittstellen, Migrationsaspekte, etc.) Grad an Kontrollverlust und Abhängigkeit zu Cloud-Dienstleistern, teils aufgrund vorgenannter Kriterien Diese Kriterien sollen nachfolgend genutzt werden, um das Thema Cloud näher zu strukturieren. 2.1 Cloud ist nicht gleich Cloud: Verschiedene Cloud-Formen Cloud-Dienste lassen sich nach verschiedenen Kriterien klassifizieren. Tabelle 1 zeigt verschiedene Formen von Clouds hinsichtlich der Einbeziehung von Cloud-Nutzern, d.h. der Anzahl von Organisationen, welche die entsprechende Cloud-Form nutzt gemäß [NIS11]. # Cloud-Form und Beschreibung 1 Public Cloud: Cloud ist der allgemeinen Öffentlichkeit, d.h. mehreren Organisationen mit potenziell unterschiedlichen Sicherheitsanforderungen sowie potenziell Privatanwendern zugänglich. 2 Private Cloud: die Cloud-Infrastruktur wird nur für eine Organisation betrieben. Hier kann die Organisation selbst als Cloud-Betreiber auftreten oder ein Cloudsystem speziell für sich betreiben lassen. Die Infrastruktur steht ihr dediziert zur Verfügung. 3 Hybrid Cloud: Komposition verschiedener Cloud-Modelle als eigenständige Entität, jedoch verbunden über gemeinsame Technologie zur Übertragbarkeit von Daten und Applikationen (Cloud-Bursting für Load-Balancing zwischen Clouds, etc.) und Wahrung vergleichbarer Sicherheitsanforderungen. 4 Community Cloud: von mehreren Organisationen nach bestimmten gemeinsamen Anforderungen geteilte Cloud-Infrastruktur. Während Private Cloud die dedizierte Adressierung nur einer Organisation meint, dient die Community Cloud zwar mehreren Organisationen, kann aber konkrete Schutzbedarfe adressieren und gleichzeitig Haltungskosten sparen. Es setzt aber Vertrauen gegenüber der Partnerorganisation voraus. Tabelle 1: Verschiedene Cloud-Formen [NIS11] Die Vorteile einer Public Cloud liegen vor allem im allgegenwärtigen Zugang und den geringen laufenden Kosten. Im Kern meint das Cloud-Paradigma zwar die leistungsabhängige Abrechnung von Cloud-Diensten. Für viele öffentlich nutzbare Dienste dient jedoch die Anzahl der Systemnutzer einer Organisation als Berechnungsgrundlage, welche dann als Monatspauschale ausgedrückt wird (vgl. beispielsweise [Vos11]). Die Skaleneffekte öffentlicher Clouds sind aufgrund der Nutzerzahlen deutlich größer, was sie insgesamt wirtschaftlich sehr attraktiv macht. Doch Sicherheitsbedenken bleiben hier die Hauptsorge für Entscheider. Dabei ist festzuhalten, dass gerade Public-Cloud-Anbieter sich keine Reputationseinbußen durch schlechte Verfügbarkeit, mangelnde Vertraulichkeit oder kompromittierte Daten in ihren Diensten leisten können. Die Einrichtung einer privaten Cloud hingegen kann mit beträchtlichem Investitionsaufwand verbunden sein. Auch die Flexibilität, schnell auf eine andere technologische Plattform zu wechseln, geht beim privaten Ansatz verloren. Obwohl einige Anwendungsfälle noch immer eigene Rechenzentren bedingen (z. B. im öffentlichen Bereich, in der Forschung oder bei Banken), dürfte deren Zahl mit zunehmender Angebotsfülle und stärkerer Anpassung an individuelle Anforderungen weiter abnehmen. Der Individualisierung entgegen steht allerdings der Standardisierungsgrundsatz, durch den derartige geteilte Dienste überhaupt erst möglich werden. Die später vorgestellten Cloud-Betreiber stellen hauptsächlich öffentliche Cloud-Systeme (public clouds) dar. Zunächst sollen jedoch die Abstraktionsebenen von Cloud-Services vorgestellt werden. Diese Abstraktionsebenen sind in jeder Coud-Form möglich. Tabelle 2 zeigt eine Bewertung der beschriebenen Cloud-Formen gegen für KMU relevante Kriterien, wobei die technische Integrationsfähigkeit nicht aufgeführt wird, da sie in Abhängigkeit von der gewählten Abstraktion (später erläutert) und nicht von der Cloud-Form steht. 15

16 Kriterium Public Cloud Private Cloud Hybrid Cloud Community Cloud Kosten Gering Hoch Mittel Mittel Flexibilität der Lösung Gering Hoch Mittel Gering Zugang Öffentlich Eingeschränkt (bspw. via VPN) Je nach Konfiguration eingeschränkt Schutzbedarf-adressierung Gering Hoch Mittel Hoch Vertrauens-erfordernis Hoch Gering Mittel Mittel Rechtliche Transparenz Gering Hoch Gering Mittel Kontrollverlust Hoch Gering Mittel Mittel Tabelle 2: Cloud-Formen gegen verschiedene Kriterien Je nach Konfiguration eingeschränkt Hier gilt es, für jedes Unternehmen individuell und abhängig von den zu unterstützenden Geschäftsprozessen individuell zu entscheiden, wo Prioritäten gesetzt werden sollen. Zur Entscheidungsfindung sollte eine systematische Vorgehensweise herangezogen werden, wie sie im Rahmen dieser Arbeit erläutert wird. Zunächst werden jedoch mögliche IT- Abstraktionsebenen beschrieben. 2.2 Mögliche Abstraktionsebenen Die technische Realisierung des Cloud-Computings lässt sich anhand der drei Abstraktionsgrade Software, Plattform und Infrastruktur gemäß [MG09] durchführen und betrifft entsprechend die Ebenen, welche in Tabelle 3 ersichtlich werden. # Cloud-Abstraktionslevel 1 Software as a Service (SaaS): Fertige Anwendungen des Konsumenten werden auf der Infrastruktur des Cloud-Providers ausgeführt und den Anwendern der Konsumenten zugänglich gemacht. 2 Platform as a Service (PaaS): Ausführbare Anwendungen des Konsumenten werden auf der Infrastruktur des Cloud-Providers samt Editierbarkeit von Code-Bestandteilen (über vom Cloud Provider unterstützte Programmiersprachen und/oder Tools) den Konsumenten zugänglich gemacht. 3 Infrastructure as a Service (IaaS): Alle Ressourcen (Storage, Processing, Memory, Network Bandwidth, Virtual Machines, etc.) der Infrastruktur des Cloud-Providers werden den Konsumenten zur Ausführung eigener Betriebssysteme und Anwendungen zugänglich gemacht. Tabelle 3: Cloud-Abstraktionslevel Steuerung und Kontrolle der Ressourcen des Cloud-Providers, welche die lauffähigen Anwendungen unterstützen, liegen stets außerhalb des Einflussbereiches der Konsumenten (dies gilt in Abhängigkeit vom Typ ggf. auch für die Anwendung selbst, abzüglich möglicher offener Anwendungs- und/oder Hosting-Konfigurationsmöglichkeiten). Der Vorteil liegt stets in der Auslagerung der Verwaltung der IT sowie der nutzungsabhängigen Kostenverteilung beim Konsumieren der bereitgestellten Services. SaaS-Angebote beinhalten vollständige Business-Lösungen, deren gesamte Anwendungsarchitektur sich in der Cloud befindet (vgl. Abbildung 1). Sie ermöglichen die einfache und kostengünstige IT-Unterstützung von standardisierten Geschäftsprozessen. Das bedeutet gleichzeitig, dass je individueller die Geschäftsprozesse eines Unternehmens sind, desto aufwändiger ist es, diese mit Standard-Diensten abzudecken. Es ist daher davon auszugehen, dass sich tendenziell vor allem solche Unternehmen für SaaS entscheiden, bei denen es wirtschaftlicher ist, die Geschäftsprozesse der Software anzupassen als umgekehrt wie es häufig bei KMU der Fall ist. Doch nicht immer dürfte es für alle funktionalen Anforderungen entsprechende Standardsoftware aus der Cloud geben, sodass standardisierte externe und individuelle interne IT-Dienste auch parallel betrieben werden können müssen (hybrides Betriebsmodell). Dieser parallele Betrieb erfordert jedoch entweder sehr gut abgestimmte (und wenige) Schnittstellen oder aber eine entsprechende Middleware, die wichtige Aufgaben wie Authentifizierung, Datentransformation, Message-Verwaltung, Logging etc. zwischen dem internen System und der Cloud-Lösung übernimmt. 16

17 Abbildung 1: Architektur und Ausprägungen von Cloud-Komponenten [Inf09] 2.3 Überblick verschiedener Cloud-Dienstleistungen In diesem Abschnitt sollen einige verbreitete Cloud-Dienstleister mit typischen Leistungsarten überblicksartig skizziert werden. Dabei soll bereits eine Zuordnung zu den drei möglichen Abstraktionsebenen Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) erfolgen. Zu den populärsten Anbietern zählen Amazon im Bereich Infrastructure as a Service (IaaS), Google bei Platform as a Service (PaaS) und Salesforce bei Software as a Service (SaaS). Amazon ist als Branchenpionier bekannt und bietet mit seiner Elastic Compute Cloud (EC2) und dem Simple Storage Service (S3) schnell und einfach abzurechnende, flexibel skalierbare Server-Ressourcen, auf denen zahlreiche andere Cloud- Anwendungen, wie z. B. Dropbox, basieren. Darüber hinaus bietet das Unternehmen komplette Software-Stacks wie z. B. Microsoft Windows Server und SQL Server. Google positioniert sich mit seinen Google Apps eher im Bereich SaaS und bietet damit ein mittlerweile sehr umfangreiches und stark verzahntes Ökosystem aus klassischen Büro-Anwendungen, Cloud-Speicher und Kollaborationswerkzeugen, die unter anderem speziell im Kontext von KMU beworben werden. Microsoft spannt seine Angebote gar über alle drei Bereiche und bietet nicht nur flexibles Infrastruktur-Hosting mit seiner Azure -Plattform, sondern auch komplett integrierte Entwicklungsplattformen und Geschäftsanwendungen wie Office 365 inklusive Sharepoint-, Exchange- und Lync-Funktionalitäten. Als prominente deutsche Anbieter sind die Deutsche Telekom und SAP zu nennen. Deutsche Anbieter genießen aufgrund der stark reglementierten Datenschutz- und Sicherheitsanforderungen dabei ein höheres Ansehen bei ihren Kunden. Darüber hinaus existieren zahllose kleine und mittelständische Hersteller, die sich das SaaS-Paradigma zu Nutze machen und ihre Unternehmenssoftware über die Cloud anbieten. Dazu zählen z. B. auch die Hoster und Integratoren von proprietären und quelloffenen ERP-Systemen für KMU. Cloud-Dienste haben eine Reihe von Gemeinsamkeiten. Sie lassen sich zumeist über eine Web-Oberfläche oder eine Kommandozeile bestellen, aufrufen und administrieren. Die Bedingungen ihrer Bereitstellung (Abrechnungsform, technische Komponenten, zugesicherte Antwortzeiten, Schnittstellen, Sicherheitskonfiguration etc.) werden über Service Level Agreements (SLAs) definiert und zwischen Anbieter und Nutzer ausgehandelt. Die Plattform-Anbieter bieten zudem häufig die Möglichkeit, eigene oder vordefinierte System-Images zu laden. Alle Cloud-Formen basieren technisch auf virtuellen Maschinen (VMs), auf denen die Gesamtlast verteilt wird und die sich aus Nutzersicht wie eine Ressource verhalten. (Vgl. [Buy09]) Es stellt sich nun die Frage, wie KMU den zuvor beschriebenen Kriterien für sich effizient bewerten können, um eine Entscheidung bzgl. des Einsatzes einer bestimmten Cloud-Form (public, private, hybrid, community), eines bestimmten Cloud-Typs (SaaS, PaaS, IaaS) und eines konkreten Dienstes zu treffen. Nachfolgend wird daher eine Methodik zur Entscheidungsfindung entwickelt. 17

18 3 Entscheidungsfindung zum Einsatz von Cloud-Diensten Die Frage, ob und welche Cloud-Dienste in kleinen und mittelständischen Unternehmen Einsatz finden sollten, lässt sich nicht pauschal beantworten. Es soll sich daher nun einer Methodik genähert werden, um eine Entscheidung für oder gegen den Einsatz von Cloud-Diensten, und die konkrete Ausgestaltung der gewünschten Cloud-Architektur zu definieren. 3.1 Verschiedene Prozess-Perspektiven Zunächst stellt sich die Frage, von welcher Basis diese Entscheidungsfindung ausgehen soll. Hier lassen sich drei grundsätzlich verschiedene Perspektiven identifizieren: die Geschäftsebene, die GRC-Ebene und die Ressourcen-Ebene, siehe Abbildung 2. Abbildung 2: Verschiedene Prozess-Perspektiven Die drei Blickwinkel bedingen einander und können nicht rein isoliert betrachtet werden. Dennoch lassen sich diesen Blickwinkeln Ebenen der Entscheidungsfindung zuordnen. Oft wird argumentiert, dass IT-Fragestellungen auf der Leitungsebene der IT entschieden werden sollten. Dies ist zunächst nicht falsch, betrifft aber weitestgehend die Implementierung, den operativen Teil der Entscheidungen, analog zu Personal-Verwaltungsaufgaben (insgesamt Ressourcen ). Ein Hilfsmittel zur Klärung taktischer Fragen, beispielsweise der Auswahl von Cloud-Diensten auf Basis rechtlicher und sicherheitsrelevanter Anforderungen kann nur ausgehend von einem GRC-Blickwinkel definiert werden, bei der Anforderungskonformität und Mapping von Geschäft und Ressourcen im Vordergrund stehen. Es bleibt jedoch die Frage, woher die Anforderungen selbst stammen, und woher die Notwendigkeit bestimmter Ressourcen rührt. Naturgemäß ist beides eine Folge der Entscheidung, Einfluss auf einen bestimmten Markt auszuüben, d.h. in einem Sektor geschäftlich tätig zu sein. Die auf Business-Ebene definierten Geschäftsprozesse müssen von geeigneten (IT-) Ressourcen gestützt werden, resultieren jedoch auch in Anforderungen, welche die IT zu berücksichtigen hat, bevor konkrete technologische Entscheidungen überhaupt getroffen werden können. Geschäftsprozesse können somit als Ausgangspunkt für Überlegungen hinsichtlich der Eignung bestimmter Cloud-Dienste zu deren Untersützung betrachtet werden. Entsprechend sind sie für die vorliegende Entscheidungsfindung überaus relevant. Um hier einen tatsächlichen Mehrwert zu liefern, muss geprüft werden, wie vorhandene Rahmenwerke das Management von Geschäftsprozessen, insbesondere hinsichtlich GRC-Anforderungen, realisieren. Diese Methodik soll anschließend weiterentwickelt beziehungsweise operationalisiert werden. 3.2 Geschäftsebene Im Bereich des Geschäftsprozessmanagements existiert das Best-Practice-Rahmenwerk ARIS [Pap04], welches verschiedene Phasen vorsieht, um Geschäftsprozesse zu etablieren und/oder zu verbessern: - Strategie: Identifizierung von Geschäftszielen, Prozess-Erfolgsfaktoren, Definition von Prozess-Zielen - Design: Analyse der bestehenden Prozesse, konkrete Analyse von Einflussfaktoren und Potenzial der Prozesse, Entwurf eines neuen Prozesses, Realisierungsplanung mit Kosten/Nutzen-Analyse - Implementierung: Organisationsstruktur, Aufgaben und IT werden eingeführt und neue Abläufe trainiert - Controlling: fortwährendes Monitoring von Effektivität und Effizienz der Geschäftsprozesse über Key-Performance- Indikatoren (KPI) - Change Management: Veränderungen werden priorisiert, Auswirkungen konzeptioniert, Änderungen freigegeben, implementiert und weiter überwacht 3.3 GRC- und Ressourcen-Ebene Weitere traditionelle Verfahren stützen sich dagegen auf die Definition von IT-Zielen ausgehend von den Geschäftszielen einer Organisation und die Messung von deren Realisierungsgrad über Reifegradmodelle. Ein prominentes Beispiel für ein solches Rahmenwerk ist COBIT 5.0 [ISA12]. Ein spezifischerer Ansatz zur Adressierung von Informationssicherheitsbedarfen wird formuliert in der ISO 2700x [fne05] und dem BSI IT-Grundschutz [BSI09]. Die ISO 2700x beschreibt die Etablierung, Aufrechterhaltung und fortwährende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) in Organisationen. Hierbei werden zwar verschiedene, zueinander kompatible, Ansätze verfolgt, das Resultat sind jedoch stets Maßnahmen, die an IT-Ressourcen zu realisieren sind. 18

19 3.4 GRC-Anforderungen von Geschäftsprozessen und ihre Konsequenzen für die eigene IT-Architektur Es kann argumentiert werden, dass aufgrund der Tatsache, dass die Interaktion zwischen Ressourcen (IT-Objekten und Personal) Gegenstand des Monitorings von Verstößen gegen Compliance- und Sicherheitsvorgaben darstellt, diese Ressourcen auch Ursprung der Verstöße, und damit der Probleme sind. Dies ist jedoch nur das erkennbare Symptom. Die Ursache liegt mittelbar in den Aufgaben begründet, die IT-Objekte und -Subjekte zugewiesen bekommen haben und fortlaufend ausführen. Die für den Zweck der Aufgabendurchführung benötigten Informationen werden im Idealfall über verschlüsselte und signierte Kanäle, zu sicheren Speicherorten und der Vertraulichkeit eingeschworenen Personen übermittelt. Selbstverständlich sind hierfür konkrete Maßnahmen an den jeweils beteiligten Ressourcen (Aufgaben, Menschen, Technik) notwendig. Die Frage ist hier jedoch ganz konkret: wie gelangt man zu diesen Maßnahmen? Damit tatsächlich (nur) die richtigen Ressourcen einer Maßnahme unterzogen werden, empfiehlt sich eine Sichtweise ausgehend vom Geschäftszweck, d.h. ausgehend von den Geschäftsprozessen (top down). Folgen muss eine Überprüfung der mit dem Geschäftsprozess in Verbindung stehenden Anforderungen und derzeitig eingesetzten Ressourcen. Man erhält ein Bild des IST-Zustandes. Im Anschluss kann eine Veränderung simuliert werden, in dem das vorbezeichnete Modell beispielsweise mit anderen IT-Ressourcen ausgestattet werden kann. Man erhält verschiedene SOLL- Modelle, welche die Veränderung hinsichtlich Effektivität (funktioniert alles wie es soll?), Effizienz (ist es wirtschaftlich?) sowie Sicherheit (Vertraulichkeit, Verfügbarkeit, Integrität) und Compliance (Rechtskonformität) widerspiegeln. Die verschiedenen SOLL-Konzepte können untereinander, aber auch gegen den jetzigen Zustand verglichen werden. Ist ein fortwährend vorhandenes Effizienzdefizit Ausgangspunkt der Überlegungen zur Prozessoptimierung, so muss geprüft werden - ob andere Ressourcen (Cloud-Dienste) dieses Effizienzdefizit beheben können - ob dabei ggf. neue, unvertretbare Risiken entstehen. Wird festgestellt, dass die potenzielle Maßnahme zur Einführung eines Cloud-Dienstes in unvertretbare Risiken mündet (beispielsweise eine Nicht-Konformität mit dem Bundesdatenschutzgesetz), so kann es eine gute Management-Entscheidung sein, den gewählten Cloud-Dienst nicht einzuführen. Das Effizienzdefizit stellt dann das geringere Problem dar. 3.5 Methodik zur Entscheidungsfindung Um das zuvor beschriebene Konstrukt nutzbar zu machen, soll nun eine Methodik entworfen werden, welche die wichtigsten Leitgedanken berücksichtigt. Hierunter fällt zunächst die Einnahme der Perspektive des Geschäftsprozesses. Ausgehend davon werden die Wertschöpfungsrelevanz, die dem Geschäftsprozess zugehörigen Informationen sowie die Einordnung in das aktuelle Geflecht aus Aufgaben, Menschen und Technik erfasst. Nach Ermittlung der allgemeinen und informationssicherheitsspezifischen Anforderungen entsteht ein erstes Abbild der Bedrohungslage der Organisation ausgehend von den Geschäftsprozessen. Für spezielle Schutzbedarfe resultieren schon hier Einschränkungen der Nutzbarkeit für bestimmte Cloud-Formen. Nach Auswahl von Form und benötigtem technischen Abstraktionslevel einer Cloud, können Implementierungsszenarien diskutiert und evaluiert werden. Nach vollzogener Einführung ist die IT aus Sicht der Anwenderorganisation weniger komplex, der Informationsfluss aufgrund der Zugriffsrestriktionen jedoch auch weniger transparent. Hierdurch erwächst die Notwendigkeit stärkeren Monitorings. Die nachfolgende Methodik stellt die Operationalisierung des erläuterten Konstruktes dar. Es werden die kritischsten Fragen gestellt, Antwortmöglichkeiten gegeben und unmittelbare Konsequenzen beschrieben, siehe Tabelle 4. # Klärungsgegenstand Antwortmöglichkeiten Konsequenzen 1 Um welchen Geschäftsbereich handelt es sich? 2 Möchte ich nur einzelne Aufgaben oder ganze Geschäftsprozesse mittels Cloud unterstützen? 3 Identifizierung des Geschäftsprozesses 4 Analyse der Wertschöpfungsrelevanz des Geschäftsprozesses Disposition, Rechnungslegung, Buchhaltung, etc.? Einzelne Aufgaben? Vollständige Geschäftsprozesse? Beispielsweise: Order-to-Cash- Prozess Gering? Mittel? Hoch? Stark unterschiedliche Schutzbedarfe und Gefährdungen SaaS ggf. vollkommen ausreichend; sofort Auswahl geeigneter Dienstleister SaaS und/oder PaaS und/oder IaaS relevant Auswirkungen auf die gesamte folgende Methodik Cloud-Dienste ggf. wenig Potenzial zur Steigerung der Wertschöpfung Cloud-Dienste können Wertschöpfung steigern Cloud-Dienste sollten in Erwägung gezogen werden 19

20 5 Bei hoher Relevanz: Betrachtung aktueller organisatorischer Einbettung und bisheriger technischer Unterstützung des Geschäftsprozesses 6 Identifizierung von Anforderungen (auch rechtliche Anforderungen) 7 Identifizierung von Gefährdungen, Schadenshöhen und Eintrittswahr-scheinlichkeiten 8 Identifizierung von Schutzbedarfen für - Vertraulichkeit - Integrität - Verfügbarkeit der im Geschäftsprozess verarbeiteten Informationen Individuelle Konfigurationsübersicht, Bewertung von (Effektivität und) Effizienz von Aufgaben, Menschen und Technik Welche Effizienzansprüche liegen vor? Welche Kostenmodelle werden als passend erachtet? Welche Formen der Datenverarbeitung sind rechtlich erlaubt? Welche Gefährdungen wirken gegen die aktuelle IT-Konfiguration? (beispielsweise Verstoß gegen Datenschutz-Auflagen, etc.), welcher Schaden entsteht wann Normal? Hoch? Sehr hoch? 9 Auswahl von Cloud-Diensten Cloud-Abstraktionslevel: SaaS und/ oder PaaS und/oder IaaS? 10 Anlegen der Cloud-Dienste an den zuvor definierten Stellen 11 Entscheidung über Einführung einer Prozess-Konfiguration Cloud-Dienste: Siehe Liste mit Dienstleistern oben Verschiedene neue Prozessmodelle (Möglichkeiten zur Aktualisierung der Prozess- Konfiguration) Auswahl abhängig von definierten Modellen 12 Prototypische Implementierung Abbildung der neuen Prozessarchitektur mit realen Unternehmens-Aufgaben, -Daten und -Personen; Probebetrieb 13 Bei erfolgreicher Validierung: Einführung der neuen Prozess- Konfiguration 14 Monitoring der über den Geschäftsprozess transportierten Informationen (da die Komplexität der IT zwar abnimmt, die Transparenz der Informationsverwendung jedoch ebenfalls) Konkrete Auswirkungen auf Menschen, Aufgaben, Technik Technische Maßnahme zur andauernden Bewertung verschiedener Attribute, beispielsweise: - Prozessschritt - Trigger-Typ - Trigger-Zeitpunkt - Durchlaufzeit - Anstoßobjekt - Grund für Anfrage - Datenquelle - Datenziel - Datenformat - Konkrete Daten Aktuelle Konfiguration des Geschäftsprozesses sollte in Frage gestellt werden: wo ist die Integration von Cloud-Diensten möglich? (zusätzlich erhält man Reifegradbewertung eigener Geschäftsprozesse) Liefert Rückschluss über K.O.-Kriterien und Basis für den Ausschluss von Cloud- Formen und/oder Cloud-Dienstleistern Wirken viele und/oder gewichtige Gefährdungen, kann Einführung von Cloud-Diensten ein starker Hebel sein, wirken wenige kann Cloud potenziell Schaden anrichten Public Cloud Private, Hybrid oder Community Cloud Private Cloud Kombination aus Cloud-Form, Cloud- Abstraktions-level und Cloud-Dienst liefert neue Möglichkeiten für den Geschäftsprozess, jedoch auch neue Risiko-Werte (geringer oder höher) Evaluierung des konkreten Prozessrisikos für jede Cloud-Form und jeden Cloud- Dienstleister (neue Gefährdungen? Neue Risiken?) Entwurf einer Neustrukturierung von Aufgaben, Menschen, Technik Re-Evaluierung der Prozess- Konfiguration, ggf. Überarbeitung Eingeführter Cloud-Dienst in Geschäftsprozess Gegebenenfalls Anpassung des Geschäftsprozesses/ Aufgaben/Menschen/Technik bei gehäuft auftretenden Incidents, d.h. Informations-flüssen, die gegen das gewünschte Erwartungsbild verstoßen Tabelle 4: Cloud-Architektur-Methodik Weitere Fragestellungen zur Auswahl von Cloud-Anbietern in höherer Abstraktion finden sich zudem in [Inf09]. 20

21 4 Ausblick Die konkreten Risiken von Cloud Services sowie ein Ansatz zu deren Adressierung im Rahmen eines integrierten GRC- Managements müssen in einer nächsten Untersuchung tiefer betrachtet werden. Es bleibt weiterhin zu klären, wie die technischen und organisatorischen Schnittstellen zwischen den internen und externen IT-Systemen in hybriden Betriebsmodellen gestaltet sein müssen, um den Anforderungen des Unternehmens an Sicherheit, Flexibilität und Wirtschaftlichkeit gerecht zu werden. Literatur [BSI09] Bundesamt für Sicherheit in der Informationstechnik BSI. BSI-Standard 100-1, 100-2, 100-3, 100-4, [Buy09] Chee Shin; Venugopala Srikumar; Broberg James; Brandic Ivona Buyyaa, Rajkumar; Yeoa. Cloud computing and emerging IT platforms: Vision, hype, and reality for delivering computing as the 5th utility. Future Generation Computer Systems 25, Seiten , [fne05] DIN Deutsches Institut für Normung e.v. Informationstechnik IT-Sicherheitverfahren Leitfaden für das Informationssicherheitsmanagement (ISO/IEC 27002:2005). Beuth Verlag, Berlin, [Inf09] Bundesverband Informationswirtschaft. Cloud Computing Evolution in der Technik, Revolution im Business (BITKOM- Leitfaden). Telekommunikation und Neue Medien., [ISA12] ISACA. Control Objectives in Information and related Technology (COBIT). ISACA, [Kro13] Neelie Kroes. A cloud for Europe - European Commission-SPEECH/13/922, [MG09] Peter Mell und Tim Grance. The NIST definition of cloud computing. National Institute of Standards and Technology. Information Technology Laboratory, [Mic13] Microsoft. Small and midsize companies in the cloud reap security, privacy and reliability benefits. Online: microsoft.com/en-us/news/press/2013/jun13/06-11cloudstudypr.aspx, , Zugriff am [NIS11] NIST. The NIST Definition of Cloud Computing (Draft) Recommendations of the National Institute of Standards and Technology. NIST (Hrsg.), [Pap04] White Paper. ARIS for DoDAF. Enterprise Integration, INC. / IDS Scheer, [Püt13] C. Pütter. Zwischen Wundermittel und Sicherheitsrisiko: Cloud Computing polarisiert CIOs. Online: knowledgecenter/netzwerk/861652/index2.html, , Zugriff am [Vos11] Fabien Pinckaers Geoff Gardiner Els Van Vossel. Open ERP, a modern approach to integrated business management Release openerp,

22 Bedrohungspotentiale für Unternehmen von innen und außen Arne Beilschmidt 1. Einleitung Diese Arbeit soll einen Überblick geben, mit welchen Gefahren ein Unternehmen, insbesondere bezogen auf seine IT-Sicherheit, von innen und außerhalb konfrontiert wird. Aufbauend darauf werden technische und organisatorische Schutzmaßnahmen aufgeführt, die sich zur Absicherung anbieten. Unternehmen sind einer Vielzahl von Bedrohungen und Gefahren ausgesetzt, die sich sowohl gegen die materiellen Werte des Unternehmens als auch gegen die immateriellen Werte wie beispielsweise die Daten der IT-Systeme richten. Es reicht jedoch nicht, das Unternehmen nur gegen Gefahren von außen wie z.b. einen Einbruch abzusichern, denn auch von innen heraus drohen einem Unternehmen Gefahren. Einen guten Überblick über potentielle Bedrohungspotentiale bieten die IT-Grundschutz-Kataloge 1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit den fünf Gefährdungskatalogen: Höhere Gewalt (G1) Organisatorische Mängel (G2) Menschliche Fehlhandlungen (G3) Technisches Versagen (G4) Vorsätzliche Handlungen (G5) Vor allem die drei Gefährdungskataloge Organisatorische Mängel, Menschliche Fehlhandlungen und Vorsätzliche Handlungen beinhalten Gefährdungen, mit denen das Unternehmen durch Vorsätzlichkeit oder Unwissenheit der Mitarbeiter konfrontiert wird, unter anderem: Fahrlässige Zerstörung von Geräten oder Daten Sorglosigkeit im Umgang mit (sensiblen) Informationen Abhören von Gesprächen in Räumen und oder übers Telefon Gefährdung durch Reinigungs- oder Fremdpersonal Bei der Entwicklung einer Sicherheitsstrategie, um die Gefahr von Bedrohungspotentialen zu minimieren, muss dem Unternehmen bzw. der Unternehmensleitung klar sein, dass nicht nur die IT- Systeme, sondern jeder einzelne Mitarbeiter Teil dieser Strategie ist, um zu ihrem Gelingen beitragen zu können IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge (ehemals IT- Grundschutzhandbuch) werden vom BSI herausgegeben und sollen vorzugsweise zur Identifizierung sowie Beseitigung von Bedrohungen, Sicherheitslücken und Schwachstellen (bezogen auf die IT-Infrastruktur) genutzt werden. Das vorrangige Ziel ist es, einen angemessenen Schutz für alle Informationen zu erreichen. 3 Um sich gegen Bedrohungspotentiale vorbereiten zu können, muss man sich erst einmal darüber klar werden, welche Arten von Bedrohungen existieren. Wie schon in der Einleitung angesprochen definieren die IT-Grundschutz-Kataloge eine übersichtliche Anzahl von Gefährdungen, die sich jeweils noch in unterschiedliche Aspekte (G1 G5) unterteilen. Die IT-Grundschutz-Kataloge gliedern sich in die folgenden Bereiche: Bausteine Übergeordnete Aspekte (B1) Infrastruktur (B2) IT-Systeme (B3) Netze (B4) Anwendungen (B5) Maßnahmenkataloge Planung und Konzeption (M1) Beschaffung (M2) Umsetzung (M3) Betrieb (M4) Notfallvorsorge (M5) Gefährdungskataloge Höhere Gewalt (G1) Organisatorische Mängel (G2) Menschliche Fehlhandlungen (G3) Technisches Versagen (G4) Vorsätzliche Handlungen (G5) 1 siehe Kapitel 2 2 vgl. BITKOM-Leitfaden: Sicherheit für Systeme und Netze in Unternehmen Seite 10 3 vgl. IT-Grundschutz-Kataloge IT-Grundschutz: Ziel, Idee und Konzeption 22

23 Mittels der folgenden Vorgehensweise 1. Strukturanalyse 2. Schutzbedarfsfeststellung 3. Modellierung 4. Basis-Sicherheitscheck lassen sich Sicherheitsmaßnahmen gegen Bedrohungen ableiten Weiterführende Sicherheitsmaßnahmen 6. Umsetzung von Sicherheitskonzepten 7. Sicherheitsrevision 8. Zertifizierung nach ISO auf Basis von IT-Grundschutz Zu jedem Baustein bzw. seinen Unterpunkten - bspw. B3 (IT-Systeme) -> B (Windows Server 2003) - werden eine Reihe von möglichen Gefährdungen - bspw. G 3.9 (Fehlerhafte Administration des IT-Systems) - sowie Maßnahmen - bspw. M (Umgang mit administrativen Vorlagen unter Windows Server 2003) - aufgelistet, die in einer bestimmten Phase zu berücksichtigen sind. 3. Einsatz neuer Technologien 5 Die Entwicklung neuer Technologien in der IT-Industrie ist ein stetiger Prozess bezüglich Neuentwicklungen und Verbesserungen. Neben den Vorteilen muss man jedoch auch immer die Risiken abwägen, die der Einsatz neuer und eventuell unerprobter Technologien zur Folge hat. Aber auch der Einsatz einer erprobten und bewährten Technologie kann ein Bedrohungspotential darstellen. Beispielsweise sind Handys aus unserer Gesellschaft als bewährtes Kommunikationsmittel nicht mehr wegzudenken. Jedoch können Funktionen wie bspw. eine integrierte Kamera durchaus ein Risiko für ein Unternehmen darstellen. 6 Allerdings steht keine Technologie an erster Stelle der Bedrohungspotentiale, sondern derjenige, der sie bedient bzw. tagtäglich mit ihnen konfrontiert wird: der Mensch. So stellt laut einer Umfrage der Zeitschrift <kes> (Microsoft Sicherheitsstudie 2008), die mangelnde Akzeptanz von Sicherheitsmaßnahmen bei Mitarbeitern den Hauptgrund für unzureichende Sicherheitsmaßnahmen und die daraus resultierenden Sicherheitslücken dar. Dagegen folgt beispielsweise der finanzielle Aspekt erst auf dem vierten Platz: 7 Abbildung 1 - Microsoft Sicherheitsumfrage 2008 Aus diesem Grund ist es in der Regel sinnvoller, das Budget für die Absicherung des Unternehmens weniger in neue Technologien als in die Aufklärung und Schulung der eigenen Mitarbeiter zu investieren. Damit diese Maßnahme allerdings auch wirksam ist, hat das Management mit gutem Beispiel voran zu gehen, um die Mitarbeiter vom sinnvollen Einsatz zu überzeugen. 4. Bedrohungspotentiale Bei der Klassifizierung von Gefahren, die dem Unternehmen von außen oder von innen heraus drohen, lassen diese sich nach den IT-Grundschutzkatalogen, wie bereits in der Einleitung angesprochen, in verschiedene Bedrohungspotentiale (Gefährdungskataloge) untergliedern. Da eine Aufzählung aller möglichen Bedrohungspotentiale den Umfang der Arbeit sprengen würde, werden hier lediglich einige ausgewählte Bedrohungen näher betrachtet. Im darauf folgenden Ab- schnitt werden dann ausgewählte technische und organisatorische Schutzmaßnahmen aufgeführt, die dem Unternehmen helfen, sich gegen Bedrohungen zu wappnen. 4 vgl. IT-Grundschutz-Kataloge Anwendungsweisen der IT-Grundschutz-Kataloge 5 vgl. BITKOM-Leitfaden: Sicherheit für Systeme und Netze in Unternehmen Punkt vgl. G (BSI Grundschutz-Kataloge - Gefährdungskataloge) 7 vgl. - Folie 15 23

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

Cloud Computing: Hype oder Chance auch. für den Mittelstand?

Cloud Computing: Hype oder Chance auch. für den Mittelstand? Prof. Dr.-Ing. Rainer Schmidt HTW Aalen Wirtschaftsinformatik Überblick Was ist Cloud-Computing und wieso ist es für Unternehmen wichtig? Wie können Unternehmen mit Hilfe einer Cloud- Computing-Strategie

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Cloud Computing Chancen für KMU

Cloud Computing Chancen für KMU Cloud Computing Chancen für KMU Sascha A. Peters Cluster Manager IT FOR WORK 31. Oktober 2012 Cloud Computing Worüber reden alle? Fragen zum Thema Cloud Was ist Cloud Computing und wofür wird es genutzt?

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen Cloud Computing D o m i n i c R e u t e r 19.07.2011 1 Seminar: Dozent: Softwarearchitekturen Benedikt Meurer GLIEDERUNG Grundlagen Servervirtualisierung Netzwerkvirtualisierung Storagevirtualisierung

Mehr

Stefan Kusiek BFW-Leipzig

Stefan Kusiek BFW-Leipzig Stefan Kusiek BFW-Leipzig Schnellere Geräte (CPU, HDD, RAM, ) Mehrere Geräte (CPU, HDD, RAM, ) Mehrere Geräte (Rechner, Server, ) Cluster Preiswerter????? Mindestgröße Installation Konfiguration Wartung

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL

TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL AWS Enterprise Summit 2015 Dirk M. Schiller copyright 2015 We bring IT into Business Context copyright 2015 2 Motivationsfaktoren für Cloud Eigentlich nichts

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Manoj Patel Funktion/Bereich: Director Global Marketing Organisation: Nimsoft Liebe Leserinnen

Mehr

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung Zukunftsfabrik Cloud Computing Was ist das? Modernes Reporting mit OLAP, SQL Server und Powerpivot Rechnungswesen / Controlling Sneak Preview: EVS 3.0 Abschluß Peter Scheurer Mitglied der Geschäftsleitung

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

UCC und Contact Center aus der Cloud. Ein gemeinsames Webinar von PAC und Interactive Intelligence

UCC und Contact Center aus der Cloud. Ein gemeinsames Webinar von PAC und Interactive Intelligence UCC und Contact Center aus der Cloud Ein gemeinsames Webinar von PAC und Interactive Intelligence Cloud bewegt die Gemüter 30000 Cloud Computing - Market Volume Europe in Mio 25000 20000 15000 10000 5000

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

1 von 6 27.09.2010 09:08

1 von 6 27.09.2010 09:08 1 von 6 27.09.2010 09:08 XaaS-Check 2010 Die Cloud etabliert sich Datum: URL: 26.08.2010 http://www.computerwoche.de/2351205 Eine Online-Umfrage zeigt: Viele Unternehmen interessieren sich für das Cloud

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste

Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste Innovationspolitik, Informationsgesellschaft, Telekommunikation Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste Dr. Andreas Goerdeler, Referatsleiter Entwicklung konvergenter IKT www.bmwi.de

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Klaus Tenderich Funktion/Bereich: Director Automation Services Organisation: Basware GmbH

Mehr

Cloud Computing: Chancen und Herausforderungen. Dr. Mathias Petri IHK Cottbus, 29. Mai 2013

Cloud Computing: Chancen und Herausforderungen. Dr. Mathias Petri IHK Cottbus, 29. Mai 2013 Cloud Computing: Chancen und Herausforderungen Dr. Mathias Petri IHK Cottbus, 29. Mai 2013 StoneOne 2013 Über StoneOne Gründung 2007 in Berlin Entwicklung von Softwarebausteinen für Software as a Service

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud

Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud Viele Clouds, viele Trends, viele Technologien Kommunikation Private Apps Prozesse Austausch Speicher Big Data Business Virtual Datacenter

Mehr

Open Source als de-facto Standard bei Swisscom Cloud Services

Open Source als de-facto Standard bei Swisscom Cloud Services Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Hybrid-Szenarien in der Virtualisierung

Hybrid-Szenarien in der Virtualisierung Hybrid-Szenarien in der Virtualisierung Gemeinsame Nutzung von On Premise und Cloud-Lösungen Thorsten Podzimek, SAC GmbH Netzwerke Serversysteme Client-Service Groupware Darmstadt 29.09.2015 Status Quo

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Hybride Cloud Datacenters

Hybride Cloud Datacenters Hybride Cloud Datacenters Enterprise und KMU Kunden Daniel Jossen Geschäftsführer (CEO) dipl. Ing. Informatik FH, MAS IT Network Amanox Solutions Unsere Vision Wir planen und implementieren für unsere

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Cloud Computing interessant und aktuell auch für Hochschulen?

Cloud Computing interessant und aktuell auch für Hochschulen? Veranstaltung am 11./12.01.2011 in Bonn mit etwa 80 Teilnehmern Hype oder müssen wir uns ernsthaft mit dem Thema beschäftigen? Werden die Technologien und Angebote unsere Aufgaben grundlegend verändern?

Mehr

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering Azure und die Cloud Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat Institut für Informatik Software & Systems Engineering Agenda Was heißt Cloud? IaaS? PaaS? SaaS? Woraus besteht

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken

Mehr

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten Inhalt 1. Einführung Geschichte 2. Grundidee der Cloud-Technik (Virtualisierung, Skalierbarkeit,

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Cloud Computing - die Lösung der Zukunft

Cloud Computing - die Lösung der Zukunft Cloud Computing - die Lösung der Zukunft Agenda: 08:30 08:40 Begrüssung Herr Walter Keller 08:40 09:00 Idee / Aufbau der Cloud Herr Daniele Palazzo 09:00 09:25 Definition der Cloud Herr Daniele Palazzo

Mehr

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftsingenieur der Fakultät

Mehr

Die neue KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Die neue KASPERSKY ENDPOINT SECURITY FOR BUSINESS Die neue KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Erfolgsfaktoren und ihre Auswirkungen auf die IT AGILITÄT Kurze Reaktionszeiten, Flexibilität 66 % der Unternehmen sehen Agilität als Erfolgsfaktor EFFIZIENZ

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

(Oracle) BPM in der Cloud

(Oracle) BPM in der Cloud ti&m seminare (Oracle) BPM in der Cloud Integration, Chancen und Risiken Alexander Knauer Architect ti&m AG Version 1.0 28. Januar 2013 ti&m AG Buckhauserstrasse 24 CH-8048 Zürich Belpstrasse 39 CH-3007

Mehr

Forward thinking IT solutions

Forward thinking IT solutions Forward thinking IT solutions Erwarten Sie mehr Die heutige Informationstechnologie mit ihren Aufgabenstellungen stellt viele Unternehmen täglich vor neue Herausforderungen. Wenn es darum geht, diese effizient

Mehr

HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum

HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum Cloud Computing Infrastruktur als Service (IaaS) HINT-Rechenzentren Software als Service (SaaS) Desktop als Service (DaaS) Ein kompletter Büroarbeitsplatz:

Mehr

MICROSOFTS CLOUD STRATEGIE

MICROSOFTS CLOUD STRATEGIE MICROSOFTS CLOUD STRATEGIE Sebastian Weber Head of Technical Evangelism Developer Platform & Strategy Group Microsoft Deutschland GmbH Slide 1 WAS IST CLOUD COMPUTING? Art der Bereitstellung von IT-Leistung

Mehr

Pressekonferenz Cloud Monitor 2015

Pressekonferenz Cloud Monitor 2015 Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen

Mehr

CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN

CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN Veranstaltung Cloud Computing: Dienstleistungen aus der Wolke ICB GmbH / www.icb-gmbh.de Cloud Computing IHK Gießen-Friedberg, Agenda 1 2 3 4 5 6 Vorstellung

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Interviewrunde: Name: Funktion/Bereich: Organisation: Homepage Orga: Hosted Security & Security

Mehr

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

Herzlich Willkommen! MR Cloud Forum 2012. Bayreuth

Herzlich Willkommen! MR Cloud Forum 2012. Bayreuth Herzlich Willkommen! MR Cloud Forum 2012 Bayreuth Partnerschaftlich in die IT-Zukunft /// 28.06.2012 /// Seite 1 Partnerschaftlich in die IT-Zukunft /// 28.06.2012 /// Seite 2 Cloud ist eine Unternehmens-Strategie,

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Tom Schuster Funktion/Bereich: General Manager EMEA Organisation: SugarCRM Deutschland GmbH

Mehr

IDC-Studie: Cloud Computing in Deutschland 2012 Evolution der Revolution

IDC-Studie: Cloud Computing in Deutschland 2012 Evolution der Revolution Pressemeldung Frankfurt am Main, 29. Juni 2012 IDC-Studie: Cloud Computing in Deutschland 2012 Evolution der Revolution Als neues Computing Paradigma findet Cloud Computing nun seinen Weg in die Unternehmen.

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Lizenzierung 2017: Eine Reise in die Zukunft Hauptsache compliant! Neue Rahmenbedingungen für regelkonforme Lizenzierung

Lizenzierung 2017: Eine Reise in die Zukunft Hauptsache compliant! Neue Rahmenbedingungen für regelkonforme Lizenzierung Lizenzierung 2017: Eine Reise in die Zukunft Hauptsache compliant! Neue Rahmenbedingungen für regelkonforme Lizenzierung Carsten Wemken Consultant Software Asset Management Lizenzierung 2017 Hauptsache

Mehr

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support Best Practice: On-demand Lösungen bei der Software AG Dr. Dirk Ventur CIO and Head of Global Support Software AG ist der weltweit größte unabhängige Anbieter von Infrastruktursoftware für Geschäftsprozesse

Mehr

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen FAKULTÄT FÜR WIRTSCHAFTSWISSENSCHAFTEN Lehrstuhl für Wirtschaftsinformatik I Informationssysteme Prof. Dr. Günther Pernul Theoretisches Seminar/Skiseminar im Wintersemester 2014/15 Auch im Wintersemester

Mehr

Cloud Computing für die öffentliche Hand

Cloud Computing für die öffentliche Hand Hintergrundinformationen Cloud Computing für die öffentliche Hand Die IT-Verantwortlichen in allen Bereichen der öffentlichen Verwaltung Bund, Länder und Kommunen sehen sich den gleichen drei Herausforderungen

Mehr

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen Masterarbeit zur Erlangung des akademischen Grades Master of Science (M.Sc.) im Masterstudiengang Wirtschaftswissenschaft

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

Cloud-Computing - Überblick

Cloud-Computing - Überblick Cloud-Computing - Überblick alois.schuette@h-da.de Alois Schütte 24. November 2014 1 / 20 Inhaltsverzeichnis 1 Was ist Cloud-Computing Warum beschäftigt man sich mit Cloud Computing? 2 Aufbau der Veranstaltung

Mehr

Christian Metzger Thorsten Reitz Juan Villar. Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER

Christian Metzger Thorsten Reitz Juan Villar. Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER Christian Metzger Thorsten Reitz Juan Villar Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER Inhalt Vorwort, XI 1 Ist die Zukunft schon da? 1 1.1 Allgemeine Definition

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

SAM Trends 2013 Herausforderungen für SAM durch neue Technologien. Tim Jürgensen, SAM Consultant 2013-10-22 Zürich

SAM Trends 2013 Herausforderungen für SAM durch neue Technologien. Tim Jürgensen, SAM Consultant 2013-10-22 Zürich SAM Trends 2013 Herausforderungen für SAM durch neue Technologien Tim Jürgensen, SAM Consultant 2013-10-22 Zürich Herausforderungen für SAM? Durch neue Technologien und Lizenzmodelle WARTUNG CLOUD LIZENZNACHWEIS

Mehr

Siemens IT Solutions and Services presents

Siemens IT Solutions and Services presents Siemens IT Solutions and Services presents Cloud Computing Kann Cloud Computing mein Geschäft positiv beeinflussen? Ist Cloud Computing nicht nur eine Marketing-Idee? Unsere Antwort: Mit Cloud Computing

Mehr

Unternehmenssoftware aus der Cloud. Unternehmensprofil Scopevisio AG

Unternehmenssoftware aus der Cloud. Unternehmensprofil Scopevisio AG Unternehmenssoftware aus der Cloud Unternehmensprofil Scopevisio AG Unternehmenssoftware aus der Cloud Die Scopevisio AG ist Hersteller und Anbieter einer hochfunktionalen und integrierten Cloud Unternehmenssoftware.

Mehr

Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht. von Christian Metzger, Thorsten Reitz, Juan Villar. 1.

Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht. von Christian Metzger, Thorsten Reitz, Juan Villar. 1. Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht von Christian Metzger, Thorsten Reitz, Juan Villar 1. Auflage Hanser München 2011 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Cloud Computing. Ministerialkongress 2010

Cloud Computing. Ministerialkongress 2010 Cloud Computing in der öffentlichen Verwaltung Ministerialkongress 2010 Was ist Cloud Computing? Was meinst du? SaaS? Storage? Plattform? Public oder Hybrid? Warum haben wir nicht dieses Cloud Dings? Ja

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013

Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013 Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013 Systematik der SGI WETTBEWERB Energie, Telekom, Post, Verkehr, Justiz, Polizei, Militär, Verteidigung, Verwaltung,

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud 1 Bayerischer IT-Sicherheitscluster e.v. 28.02.2014 Was ist CeSeC Certified Secure Cloud? Die Certified Secure Cloud, oder kurz CeSeC genannt, ist ein technischer und organisatorischer

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Microsoft. 15-Jahres-Konferenz der ppedv. Technologi. Konferenz C++ Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Windows 8.

Microsoft. 15-Jahres-Konferenz der ppedv. Technologi. Konferenz C++ Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Windows 8. 00001111 Windows 8 Cloud Microsoft SQL Server 2012 Technologi 15-Jahres-Konferenz der ppedv C++ Konferenz SharePoint 2010 IT Management Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Kay Giza

Mehr

Berner Fachhochschule. Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik

Berner Fachhochschule. Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik Berner Fachhochschule Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik Berner Fachhochschule Technik und Informatik Postfach, CH-2501 Biel/Bienne T +41 32 321 61 11

Mehr

Für ein sicheres Gefühl und ein effizientes Arbeiten.

Für ein sicheres Gefühl und ein effizientes Arbeiten. Für ein sicheres Gefühl und ein effizientes Arbeiten. Der Leistungsausweis. Netcetera zählt zur Spitzengruppe der Softwarefirmen in der Schweiz und unterstützt verschiedenste Kunden in ihrem Kerngeschäft

Mehr

Dr. Uwe Jasnoch Intergraph SG&I Deutschland GmbH

Dr. Uwe Jasnoch Intergraph SG&I Deutschland GmbH Dr. Uwe Jasnoch Intergraph SG&I Deutschland GmbH Definition Cloud Computing Was ist cloud computing? on demand Computer Center mit pay as you go Konzepten Direkte Verfügbarkeit von Rechenkapazitäten, die

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr