Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr. Moderner Staat November 2012, Berlin

Größe: px
Ab Seite anzeigen:

Download "Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr. Moderner Staat 6. 7. November 2012, Berlin"

Transkript

1 2012 # Jahrgang BSI Forum Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik Inhalt Das BSI auf den Herbstmessen 35 Cloud-Computing-SLAs 36 Amtliche Mitteilungen 43 Messepräsenz Das BSI auf den Herbstmessen 2012 Die Themen IT-Sicherheit und E-Government stehen im Mittelpunkt der Sicherheitsfachmesse it-sa in Nürnberg sowie der Kongressmesse Moderner Staat in Berlin, bei denen das BSI auch in diesem Jahr wieder vertreten ist. it-sa Oktober 2012, Nürnberg Die it-sa ist eine Fachmesse, die sich exklusiv auf das Thema Informationssicherheit konzentriert. Die Messe war von 1999 bis 2008 als Sicherheitshalle in die ehemalige Systems integriert. Seit 2009 findet die it-sa (www.it-sa.de) als eigenständige Messe im Messezentrum Nürnberg statt Veranstalter ist die NürnbergMesse GmbH. In diesem Jahr informiert das BSI auf seinem Stand in der Halle 12, Stand-Nr. 632 über die Themen Cyber-Sicherheit, IT-Grundschutz, IT-Sicherheitsberatung, D , IT-Sicherheitszertifizierung sowie sichere mobile Lösungen. Neben der Keynote zur it-sa- Eröffnung am Dienstag, den 16. Oktober 2012 um 09:45 Uhr, durch die Amtsleitung beteiligt sich das BSI mit jeweils einem Vortrag je Messetag: Cyber-Sicherheit, Dienstag, 16. Oktober 2012, 10:45 Uhr D , Mittwoch, 17. Oktober 2012, 09:45 Uhr Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr Moderner Staat November 2012, Berlin Bereits zum 16. Mal öffnet die Fachmesse Moderner Staat ihre Pforten. Die Veranstaltung in den Hallen 2 und 4 des Messegeländes Berlin widmet sich vom 6. bis 7. November 2012 unter anderem den Themen IT/E-Government, Weiterbildung/E-Learning Telekommunikation/Mobile Computing sowie IT-Sicherheit und richtet sich an Entscheidungsträger aus Bundes-, Landes- und Kommunalverwaltungen. Das BSI ist in der Halle 2, Stand-Nr. 510 mit den Themen Cyber-Sicherheit, IT-Sicherheitsberatung und D vertreten. Darüber hinaus gestaltet das BSI am 6. November 2012 ein 90-minütiges Kongressforum zum Thema IT-Security ; weitere Informationen stehen unter com zur Verfügung. Impressum Redaktion: Matthias Gärtner (verantwortlich) Sebastian Bebel Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 20. Jahrgang 2012 BSI Bonn <kes> 2012 # 5 35

2 SLAs für Cloud-Computing Damit die Sicherheit nicht zu kurz kommt: Cloud-Computing-SLAs Immer mehr Endkunden, aber auch Unternehmen und Behörden nutzen zunehmend Cloud- Computing-Angebote. Dabei werden Verträge mit Cloud-Computing-Anbietern geschlossen, die denen von Outsourcing-Verträgen ähnlich sind. Für viele Institutionen, die Cloud-Services nutzen, sind die entsprechenden Service-Level-Agreements (SLAs) der erste Outsourcing- Vertrag. Da Cloud-Services anders als die meisten Outsourcing-Dienstleistungen hochgradig standardisiert sind, können für diese SLAs spezifischere Empfehlungen gegeben werden. Von Clemens Doubrava und Isabel Münch, BSI Es vergeht kein Monat und keine Woche, in denen nicht neue Cloud-Services von frisch gegründeten ebenso wie von etablierten Unternehmen angeboten werden. Cloud-Dienstleistungen werden sowohl von Institutionen als auch von Endkunden immer stärker genutzt. Gleichzeitig nehmen aber auch Meldungen über Sicherheitsprobleme bei Cloud-Services zu, beispielsweise Berichte über gestohlene (Zugangs-)Daten zu Diensteanbietern oder über Ausfälle von Cloud-Infrastruktur. Die Ursachen mögen immer sehr unterschiedlich sein, aber immer sind Daten, die einem Dritten anvertraut wurden, davon betroffen. Inzwischen gibt es auch von verschiedenen Institutionen und Gremien eine Reihe von Sicherheitsempfehlungen für das Cloud-Computing, unter anderem auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI, [1,2,3,4,5,6]). Bevor Cloud-Dienstleistungen genutzt werden, sollten diese Sicherheitsempfehlungen gesichtet werden und hierauf aufbauend für die eigene Institution passende Richtlinien erstellt werden. Bei der Nutzung einer Private Cloud sind diese leichter umzusetzen als bei der Nutzung externer Dienstleister, da Betrieb und Verwaltung der Cloud-Dienste unter Kontrolle der eigenen Institution sind. Wird jedoch über die Nutzung von Public-Cloud-Services nachgedacht, stellen sich die Sicherheitsfragen mit neuer Schärfe: Hierbei ist oft unklar, was der Kunde vom Anbieter an Sicherheit verlangen muss, was Anbieter bereit sind, an Sicherheit anzubieten, und zu welchen Konditionen und wie der Kunde dies im laufenden Betrieb überprüfen kann. Wird in einer Institution über die Nutzung von Cloud-Services nachgedacht, muss zunächst analysiert werden, ob der betrachtete Geschäftsprozess hierfür überhaupt geeignet ist. Dabei spielen nicht nur Kostenbetrachtungen eine Rolle, sondern auch der Schutzbedarf der Daten beziehungsweise der Anwendungen, die künftig vom Anbieter der Cloud-Dienstleistungen (Cloud-Service- Provider CSP) gehostet beziehungsweise verarbeitet werden sollen. Wenn der Schutzbedarf nicht direkt aus dem Sicherheitskonzept abgelesen werden kann, muss er bewertet werden. Darauf aufbauend muss von der Institution eine Risikoanalyse durchgeführt werden, deren Ergebnisse dann in Sicherheitsanforderungen für diesen konkreten Cloud-Service münden. Im Rückschluss muss nach Analyse der erreichbaren Sicherheit entschieden werden, ob der Cloud-Service für das Unternehmen oder die Behörde nutzbar ist. Für die Nutzung von Cloud-Services müssen Verträge mit dem Diensteanbieter geschlossen werden, in denen die vereinbarte Leistung sowie einige Sicherheitsthemen festgeschrieben sind. Dies ist nicht nur bei Public- Cloud-Angeboten, sondern auch bei Cloud-Services, die innerhalb einer Institution erbracht werden, sinnvoll. Das BSI hat Dienstgütevereinbarungen (Service- Level-Agreements oder kurz SLAs) von verschiedenen Public-Cloud-Anbietern untersuchen lassen. Inhalt und Qualität der betrachteten SLAs differierten deutlich: In manchen wurde fast nichts festgelegt, in anderen wiederum wurden der Service ausführlich beschrieben, die Dienstgüte quantifiziert und weitere Regelungen etabliert. Auch die Auskunftsbereitschaft der Unternehmen zu ihrer Informationssicherheit war sehr unterschiedlich: Während manche CSPs auch auf Nachfrage nicht bereit waren, ihre Informationssicherheit weiter zu erläutern, zeigten sich andere nach Abschluss einer Vertraulichkeitsvereinbarung sehr kooperativ. Auf Basis dieser Untersuchung und den im Literaturverzeichnis erwähnten Quellen[7,8] gibt das BSI Empfehlungen für die Vertragsgestaltung beim Cloud-Computing. Public Clouds Public-Cloud-Computing ist Outsourcing Über Cloud-Computing wird im Moment sehr viel geschrieben, sodass hier auf eine lange Einführung 36 BSI Bonn <kes> 2012 # 5

3 verzichtet wird. Ganz allgemein sind die im Folgenden beschriebenen Kriterien für IT-Dienstleistungen anwendbar, die über definierte Schnittstellen, zum Beispiel über das Internet oder auch interne Netze, angeboten werden. Im Fokus stehen Public-Cloud-Angebote, von denen sich viele an Privatkunden richten, aber auch Angebote wie Virtual Managed Private Clouds, die sich vor allem an Geschäftskunden wenden. Manche der folgenden Hinweise lassen sich auch auf Hybrid und Private Clouds übertragen. Die Nutzung von Public-Cloud-Diensten ist immer eine Form von Outsourcing wie Outsourcing sicher betrieben werden kann, ist in den IT-Grundschutz-Katalogen [9] im Baustein B 1.11 Outsourcing beschrieben, der die wesentlichen Aspekte bei Auswahl und Nutzung von Outsourcing-Angeboten aus Sicht der Informationssicherheit behandelt. Zu jeder Lebenszyklusphase eines Outsourcing-Projektes werden hier Maßnahmen aufgeführt, mit deren Umsetzung ein angemessenes Sicherheitsniveau erreicht werden kann. Da die Maßnahmen und Empfehlungen auf unterschiedlichste Outsourcing- Projekte anwendbar sind, sind sie zum Teil generisch gehalten. Unterschiede zu klassischem Outsourcing Cloud-Dienste weisen einige Besonderheiten auf, die sie vom klassischen Outsourcing unterscheiden und die im Folgenden kurz dargestellt werden. Während Outsourcing-Vorhaben meist einen kompletten Geschäftsprozess oder zumindest wesentliche Elemente eines Geschäftsprozesses umfassen, können Cloud-Services auch für kleinere Teile eines Geschäftsprozesses genutzt werden. Geht es um einen Cloud-Service, der nur einen Teil eines Geschäftsprozesse abbildet, so werden die erforderlichen Sicherheitsaspekte schnell nicht ernst genug genommen und daher vernachlässigt. In einer Public Cloud wird ein Service vielen Kunden zur Verfügung gestellt, die die zugrunde liegende Infrastruktur gemeinsam nutzen. Deshalb sind die angebotenen Services hoch standardisiert und in der Regel nur sehr begrenzt an individuelle Anforderungen anpassbar. Dem gegenüber steht die hohe Flexibilität der Cloud-Services, die sich rasch an den Bedarf anpassen lassen. Sollen nur Teile eines Geschäftsprozesses in die Cloud verlagert werden, wird dies in Institutionen häufig nur als kleines Projekt betrachtet. Daher stehen oft zu wenig Ressourcen im Vorfeld bereit, um zu einer fundierten Entscheidung über den Einsatz zu kommen, obwohl der Ausfall von kleinen Teilen eines Geschäftsprozesses auch drastische Auswirkungen haben kann. Da der Markt rund um Cloud-Computing im Moment noch sehr dynamisch ist und immer neue Anbieter und Angebote hinzukommen, möchten sich viele Kunden nicht auf langfristige Verträge einlassen, sondern beim Erscheinen besserer oder günstigerer Angebote den Anbieter wechseln können. Wenn Kunden hoch komplexe Cloud-Services nutzen, ist diese Möglichkeit natürlich eingeschränkt, aber bei Cloud-Angeboten wie Speicherdiensten ist ein Wechsel des Anbieters meistens relativ einfach. Dies wird auch dadurch erleichtert, dass solche Cloud-Services häufig einfach über ein sogenanntes Self-Service-Portal gebucht werden können. Was bleibt gleich? Informationssicherheit! Risikoanalyse! Unabhängig von der Art eines Outsourcing-Vorhabens gilt, dass nur eine Institution, die den Wert ihrer Daten kennt, entscheiden kann, ob für diese die Nutzung eines Cloud-Services vertretbar ist. Wird eine Institution, die nur über ein sehr rudimentäres Informationssicherheitsmanagement verfügt, mit der Frage konfrontiert, ob ein Cloud-Service für ihre Daten ausreichend sicher ist, kann sie hierüber keine fundierte Aussage treffen. Dies führt dann häufig zu Aussagen wie Der Cloud-Anbieter hat bestimmt eine bessere Informationssicherheit wie wir! und Ich will 100%-ige Sicherheit für meine Daten! das ist entweder blauäugig oder unrealistisch. Ohne den Wert der Informationen zu kennen, die in die Cloud ausgelagert werden sollen, gehen Institutionen ein unkalkulierbares Risiko ein. Daher müssen vor jeder Cloud-Nutzung zunächst deren potenzielle Auswirkungen auf die betroffenen Informationen, Geschäftsprozesse sowie den internen Informationsverbund untersucht werden. Dadurch können die Überlegungen zur Cloud-Nutzung auch den Synergieeffekt haben, dass sich Institutionen ernsthaft mit der eigenen Informationssicherheit beschäftigen. Als nächster Schritt folgt dann eine Analyse der Risiken der Cloud- Nutzung. Hier ist nun der CSP gefragt, der sein System kennen und bereit sein muss, die umgesetzten Sicherheitsmaßnahmen zu kommunizieren. Nur so können seine Kunden eine aussagekräftige Risikoanalyse durchführen. Verträge mit Cloud-Anbietern Im Vertrag mit dem jeweiligen CSP wird alles geregelt, was mit der Erbringung der Leistung und deren Bezahlung zusammenhängt. Meistens sind nicht alle Regelungen im SLA enthalten, sondern sie können auch in den allgemeinen Geschäftsbedingungen (AGB) oder einer Produktbeschreibung festgehalten sein. Im Folgenden werden verschiedene Punkte aufgezählt, die eine Relevanz für die Sicherheit haben, unabhängig davon, ob sie direkt im SLA adressiert werden oder in einem anderen Teil des Vertrags. BSI Bonn <kes> 2012 # 5 37

4 SLAs für Cloud-Computing Beschreibung der angebotenen Dienste im SLA Das Service-Level-Agreement (SLA) soll die angebotenen Services und deren Leistungseigenschaften genau und soweit möglich quantifiziert beschreiben. Idealerweise nimmt es dabei stark auf die Kundenbedürfnisse Rücksicht. Dies kann zum Beispiel durch folgende Punkte erreicht werden: Im SLA sollten grundlegende Begriffe geklärt sein. So kann beispielsweise die Definition von Verfügbarkeit sehr unterschiedlich sein und gravierende Auswirkungen auf die Nutzung des Service haben. Komplexitäten sollten aufgelöst und so beschrieben sein, dass der Kunde den Inhalt verstehen und richtig interpretieren kann. Produktbezeichnungen des CSP, die nicht klar erklärt sind, sollten im SLA nicht vorkommen. Übertriebene Erwartungen des Kunden sollten weder gefördert noch stillschweigend hingenommen werden, da daraus nur Konflikte und Unzufriedenheit auf Kundenseite entstehen. In einem klar geschriebenen SLA wird deutlich, welchen Umfang die angebotene Dienstleistung hat. So kann bei einer Analyse des SLA festgestellt werden, ob es offene Punkte gibt, die nicht geregelt sind. Diese können dann entweder noch adressiert werden oder aber das SLA zeigt Wege und Möglichkeiten auf, wie Konflikte zwischen den Vertragsparteien gelöst werden können. SLA-Typen Cloud-Services sind in der Regel hochstandardisiert, da sie intern oder extern mehreren Abnehmern angeboten werden. Dies spiegelt sich auch in den SLAs wider. Bei der Nutzung von kostenfreien Public-Cloud- Services liegt oft überhaupt kein SLA zugrunde, da sich der CSP zu nichts verpflichtet, sondern sich im Gegenteil zum Teil Rechte an den gespeicherten und verarbeiteten Daten der Kunden zusichern lässt. Was im privaten Umfeld akzeptabel erscheinen mag, ist allerdings im Geschäftsumfeld nicht tragbar. Daher müssen die Geschäftsbedingungen unbedingt darauf gesichtet werden, welche Rechte bei der Nutzung der Cloud-Dienste dem Anbieter übertragen werden. Cloud-Services für Geschäftskunden basieren auf konkreten Service-Levels, die der Anbieter garantiert. Im Wesentlichen können drei Modelle unterschieden werden: Nicht-verhandelbare SLAs: Der CSP gibt einen bestimmten Service-Level vor, also eine Güteklasse, in der der Service angeboten wird. Sicherheitsmaßnahmen sind nur soweit erwähnt, wie der CSP dies für notwendig hält. Nicht-verhandelbare SLAs mit verschiedenen Qualitätsstufen: Um den Kunden einen möglichst optimalen Service anbieten zu können, stellen CSPs oft einen Service in unterschiedlichen Güteklassen zu unterschiedlichen Preisen zur Verfügung. Die Stufen unterscheiden sich in der Regel nicht in der Funktionalität, sondern in Performance, Verfügbarkeit und auch bei den Sicherheitsmaßnahmen. Verhandelbare SLAs: Da auf einzelne Kunden angepasste Dienstleistungen für den Anbieter einen höheren Aufwand bedeuten, sind die SLAs nur bei größeren Cloud-Projekten verhandelbar. Hier sind in einem weit höheren Umfang Sicherheitsziele vereinbar. Rechtliches Da viele CSPs in anderen Ländern und damit anderen Rechtsräumen ihren Sitz haben, ist es wichtig, die rechtlichen Rahmenbedingungen in den Verträgen genau zu definieren. Hierzu gehört unter anderem zu klären, welches Recht anwendbar ist und wo in einem Streitfall der Gerichtsstand ist. Für den Cloud-Nutzer ist es meist sehr schwierig, hier seine eigene Position gegenüber dem CSP durchzusetzen, da dieser nicht für alle Länder, in denen die angebotenen Services genutzt werden, individuell an den Rechtsraum angepasste Verträge vorhalten will. Es ist hilfreich, wenn das SLA in der Landessprache des Kunden (z. B. Deutsch) abgefasst ist und der Gerichtsstandort im Heimatland des Kunden (z. B. Deutschland) liegt, da der Cloud-Kunde dann in der Regel auf seine eigenen Rechtsberater zurückgreifen kann. Im Vertrag sollten zudem der Geltungsbereich und die Geltungsdauer vereinbart werden. Wichtig ist auch, dass der Cloud-Anbieter sich verpflichtet, jeweils relevante vertragliche Bestimmungen an seine Subunternehmer weiterzugeben. Es sollte auch klar geregelt werden, welche Rechte und Pflichten sowohl aufseiten des CSP als auch aufseiten des Kunden liegen, wobei die Pflichten des Service Providers in der Regel schon durch die Beschreibung des angebotenen Services und dessen Leistungseigenschaften definiert sind. Informationssicherheit Beim Abschluss eines SLA mit einem Cloud- Service-Provider sind neben der Beschreibung der Services, des Leistungsumfangs und den rechtlichen Verhältnissen auch Punkte der Informationssicherheit zu berücksichtigen, die hier ausgeführt werden. 38 BSI Bonn <kes> 2012 # 5

5 CSPs handeln, was Informationen und Zusagen zur Informationssicherheit betrifft, sehr unterschiedlich. Erhält ein Cloud-Kunde für seine Risikoanalyse keine ausreichenden Informationen vom CSP, so muss er einem konservativen Ansatz folgend davon ausgehen, dass der CSP keine Sicherheitsmechanismen umgesetzt hat oder diese so schwach sind, dass er sie nicht beschreiben will. Festzustellen ist demgegenüber auch, dass CSPs, deren Informationssicherheitsniveau hoch ist, in der Regel darüber auch konkrete Informationen herausgeben, zumindest nach Unterzeichnung einer Vertraulichkeitsvereinbarung, um sich so einen Wettbewerbsvorteil zu verschaffen. Empfehlungen für SLAs Die folgende Zusammenstellung nennt die aus der Sicht der Informationssicherheit wichtigsten Themen und gibt Empfehlungen für die Vertragsgestaltung. Sicherheitsmanagement beim Cloud-Service- Provider Die IT beim CSP sollte prozessorientiert aufgebaut und betrieben sein (z. B. nach ITIL/ISO oder Co- BIT), was sich an einzelnen Prozessen nachweisen lassen sollte. Beispielsweise könnte hinterfragt werden, ob es die Prozesse Change-Management oder User-Help-Desk gibt. Dies gilt wie auch die folgenden Punkte ebenfalls für Subunternehmer, die der CSP wesentlich zur Erbringung der Leistung nutzt. Der Cloud-Service-Provider sollte zusichern, dass er ein Informationssicherheits-Management-System (z. B. nach IT-Grundschutz oder ISO/IEC 27001) betreibt, das den angebotenen Cloud-Service vollständig umfassst. Der CSP sollte einen Ansprechpartner für Sicherheitsfragen und dessen Erreichbarkeit benennen. Es sollte vereinbart werden, dass der Kunde benachrichtigt wird, wenn sich beim Anbieter Änderungen im Sicherheitsmanagement ergeben. Sicherheitsüberprüfung und -nachweis Der Cloud-Anbieter sollte sich verpflichten, regelmäßig die Umsetzung seiner Sicherheitsmaßnahmen durch interne oder externe Audits zu überprüfen. Dazu können zum Beispiel regelmäßige Penetrationstests und auch unabhängige Sicherheitsrevisionen durchgeführt werden. Im SLA sollte festgelegt werden, inwieweit der Kunde die Ergebnisse dieser Audits und Penetrationstests einsehen kann, wobei hier nicht nur der Kundenwunsch nach umfassender Information, sondern auch die Sicherheit des Anbieters selbst zu beachten ist. Bei einem erhöhten Schutzbedarf der Daten und Anwendungen sollten sich die Kunden das erreichte Sicherheitsniveau beim Anbieter über eine Zertifizierung nachweisen lassen. Hierbei muss genau darauf geachtet werden, ob die Zertifizierung auch den für den Kunden interessanten Teil des Leistungsangebotes abdeckt, von einer anerkannten Zertifizierungsstelle durchgeführt wurde und die Ergebnisse nachvollziehbar sind. Je nach Art der Geschäftsprozesse oder Daten, die in die Cloud ausgelagert wurden, kann es erforderlich sein, dass der Cloud-Anbieter dem Kunden ein Prüfrecht gewährt oder diesem das Testat eines unabhängigen Prüfers vorlegen kann. Dies ist beispielsweise bei der Verarbeitung von personenbezogenen Daten nach 11 BDSG gefordert. In der Regel sollten potenzielle Kunden davon ausgehen, dass ein Anbieter, der ein funktionierendes Sicherheitsmanagement hat, darüber qualifiziert Auskunft geben kann und auch gibt. Verweigert ein Anbieter hier belastbare Aussagen, sollten Kunden ihm ihre Daten nicht anvertrauen, zumindest wenn diese auch nur im Ansatz sensitiv oder geschäftsrelevant sind. Transparenz und Kommunikation Eine transparente Kommunikation zwischen einem Cloud-Anbieter und seinen Kunden stärkt das gegenseitige Vertrauen. Hierzu zählt beispielsweise die regelmäßige Unterrichtung über Änderungen (organisatorisch, fachlich, technisch und finanziell) bei der Erbringung des Service. Der Cloudanbieter sollte auch die Standorte seiner Rechenzentren und seiner Subunternehmer offenlegen. Auch die Rechts- und Besitzverhältnisse des Cloud-Anbieters können für den Kunden wichtig sein, auch wenn diese Fakten nicht Gegenstand der Verträge sind. Zudem sollte klargestellt sein, welchen staatlichen Eingriffen sich der CSP unterwerfen muss, welche die Informationen des Kunden betreffen. Im Vertrag sollte des Weiteren vereinbart werden, wie Veränderungen des Vertragsgegenstands kommuniziert und abgestimmt werden (Change-Request-Verfahren). Dies beinhaltet auch Änderungen, die die Sicherheit des Cloud-Service betreffen. Personal Das Personal des Cloud-Anbieters sollte auf Einhaltung des Datenschutzes, der Sicherheitsmaßnahmen und der Wahrung der Vertraulichkeit der Kundendaten verpflichtet werden. Außerdem muss das Personal nicht nur für den IT-Betrieb geschult, sondern auch für Datenschutz und Informationssicherheit sensibilisiert werden. Der Kunde sollte sich die hierzu ergriffenen Maßnahmen bezüglich personeller Sicherheit der CSP-Mitarbeiter beschreiben lassen. BSI Bonn <kes> 2012 # 5 39

6 SLAs für Cloud-Computing Rechenzentrumssicherheit Die Erbringung der Cloud-Dienste findet letztendlich immer in einem oder mehreren Rechenzentren (RZ) statt. Deshalb muss auf die Sicherheit dieser Rechenzentren ein besonderes Augenmerk gelegt werden. Explizit sollte zugesichert werden, dass die wichtigsten Infrastruktur-Komponenten der genutzten Rechenzentren (wie Strom, Kühlung, Netz, Internetanbindung etc.) redundant ausgelegt sind, mit möglichst konkreten Aussagen zu den ergriffenen Maßnahmen. Es muss sichergestellt sein, dass nur befugte Personen die Rechenzentren betreten können und dass ausreichende Brandschutzmaßnahmen und andere Sicherheitsmaßnahmen gegen Elementarmächte umgesetzt sind. Bei sehr hohen Kundenanforderungen an die Verfügbarkeit sollte der CSP redundante Rechenzentren anbieten können. Die meisten RZ-Betreiber lassen ihre Rechenzentren zertifizieren, sodass die obigen Forderungen einfach zu erfüllen sein sollten. Vor allem in diesem Bereich sollten Kunden darauf achten, dass seriöse Zertifizierungen vorliegen, also nur solche, die von anerkannten Zertifizierungsstellen auf der Basis von nachvollziehbaren Kriterien durchgeführt wurden. Auch wenn ein CSP kein eigenes Rechenzentrum betreibt (z. B. als SaaS-Anbieter), muss er auf jeden Fall Auskunft über die Sicherheit der genutzten Rechenzentren geben. In diesem Fall ist es wichtig zu erfahren, ob der SaaS- oder PaaS-Anbieter auf Rechenzentren verschiedener Anbieter zurückgreift beziehungsweise häufiger die Rechenzentrenanbieter wechselt (z. B. über einen Cloud- Broker, der die aktuell günstigsten Angebote ermittelt). In letztem Fall scheint es sehr unwahrscheinlich, dass der CSP belastbare Aussagen über die RZ-Sicherheit machen kann. Netzsicherheit Im Vertrag sollten angemessene Maßnahmen benannt werden, um eine ausreichende Netzsicherheit zu erreichen. Vor allem bei sehr hohen Zusagen zur Verfügbarkeit sind Sicherheitsmaßnahmen wie Intrusion- Detection- oder Intrusion-Prevention-System und andere Maßnahmen zur Abwehr von Denial-of-Service-Angriffen auf Netzebene im Vertrag zu erwähnen. Systemsicherheit und sicherer Systembetrieb Auch der Cloud-Service selbst muss angemessen abgesichert sein, also so, dass das Sicherheitsniveau dem Schutzbedarf der damit verarbeiteten Informationen entspricht. Im Fokus steht hier oft die Verfügbarkeit des Service, da diese einfach quantifizierbar und daher meist ein entsprechender Wert im SLA vereinbart wird. Der Cloud-Anbieter sollte im Vertrag benennen, welche Maßnahmen er zur Erreichung der gewährleisteten Verfügbarkeit umgesetzt hat. Der Cloud-Anbieter sollte im Vertrag außerdem beschreiben, wie die Systemsicherheit aufrecht erhalten wird. Für Leistungen oberhalb der Betriebssystemebene muss dies mindestens die Themen Patchmanagement und Virenschutz umfassen, wobei beim Patchmanagement vor allem wichtig ist, ob und wie die Patches vor dem Einspielen in den Wirkbetrieb getestet werden. Es muss ein dem Kunden rechtzeitig bekannt gegebener Zeitplan für das Einspielen der Patches und Updates existieren. Inzwischen spielen einige SaaS-Anbieter zum Teil mehrmals täglich neue Patches ein, was in der Regel keine Auswirkung auf die Dienste hat. In diesem Fall, da schwerlich ein Zeitplan vorgelegt werden kann, sollte der CSP die gewählte Vorgehensweise und vor allem die Sicherheitsaspekte dieses Verfahrens erläutern. Im Vertrag sollte außerdem beschrieben werden, wie die verschiedenen Mandanten auf den IT-Systemen des CSP voneinander getrennt werden. Die Nennung weiterer Schutzmaßnahmen wie Systemhärtung und Minimalprinzip können das Vertrauen in den Anbieter steigern. Mandantentrennung Die saubere Trennung von Mandanten ist bei Cloud-Diensten ein zentraler Sicherheitsaspekt, da in der Regel die Ressourcen der IT-Systeme des Anbieters von verschiedenen Kunden gemeinsam genutzt werden. Diese Ressourcen wie CPU, Arbeitsspeicher, Datenspeicher und Netze werden den Cloud-Services meist in virtualisierter Form bereitgestellt, wodurch die Trennung der Mandanten gewährleistet wird. Hier sollte der CSP Auskunft über die verwendeten Mechanismen geben, vor allem bei der Server- und Speichervirtualisierung. Lebenszyklus der Daten Es sollten Vereinbarungen bezüglich der Informationssicherheit im Lebenszyklus der Daten (z. B. Verschlüsselung sensitiver Daten unter vollständiger Schlüsselkontrolle des Kunden) und der sicheren Isolierung von Daten sowie der Datensicherung und Datenrücksicherung getroffen werden. Ein weiteres wichtiges Thema ist, wie die Kundendaten beim Anbieter wieder zuverlässig gelöscht werden. Da bei Cloud-Diensten die Daten typischerweise vielfach redundant gespeichert werden, ist es häufig schwierig, einen Datensatz zu einem Zeitpunkt vollständig und unumkehrbar zu löschen. Der Cloud-Anbieter sollte daher 40 BSI Bonn <kes> 2012 # 5

7 beschreiben, welche Maßnahmen er ergreift, um Daten und Datenträger zuverlässig zu löschen beziehungsweise deren weitere Verwendung zu verhindern. Diese Regelungen müssen auch Datensicherungen und Archivdaten einbeziehen. Absicherung der Kommunikation Die Datenübertragung vom Kunden zum Cloud- Anbieter sollte unbedingt verschlüsselt erfolgen, wenn sensitive Informationen enthalten sein könnten. Im SLA sollten daher Vereinbarungen darüber getroffen werden, wie Datenübertragung verschlüsselt wird und wie die Schlüsselverwaltung beim CSP geregelt ist. Der Cloud-Anbieter sollte die eingesetzten Maßnahmen und Verfahren zur Absicherung der Kommunikation nennen, inklusive der eingesetzten kryptografischen Verfahren und Schlüssellängen. Eine Vereinbarung, dass nach Absprache zwischen CSP und Kunde die verwendeten kryptografischen Verfahren und Schlüssellängen bei Bedarf an den Stand der Technik angepasst werden, sollte nicht fehlen. Identitäts- und Berechtigungsmanagement Damit keine Unbefugten auf die Kundendaten zugreifen können, müssen verschiedene Maßnahmen zum Zugriffsschutz getroffen werden. So sollten nur die Mitarbeiter des Auftraggebers auf die Dienstleistungen des CSP zugreifen können, zu deren Aufgabengebiet dies gehört. Daher muss die Vergabe von Berechtigungen klar zwischen Cloud-Anbieter und Kunde geregelt sein. Auf beiden Seiten sind hierfür Ansprechpartner zu benennen, die Berechtigungen vergeben und ändern können. Aber auch Sperrmöglichkeiten von Benutzeraccounts müssen beschrieben sein. Ebenso ist zu klären, welche Mitarbeiter des CSP unter welchen Rahmenbedingungen auf die Mandantensysteme beim CSP zugreifen können. Auf das Cloud- Angebot sollte kein Nutzer ohne erfolgreiche Authentifizierung zugreifen können der Cloud-Anbieter sollte hierfür angemessene Mechanismen zur Verfügung stellen. Je nach Schutzbedarf der Kunden bieten viele CSPs auch unterschiedlich starke Authentisierungsmechanismen an. Die Art und Stärke der Mechanismen zur Authentifizierung der Cloud-Nutzer, aber auch der Administratoren beim CSP, sollten im SLA beschrieben sein. Im Vertrag sollte zudem vereinbart werden, wer sowohl aufseiten des Anbieters als auch aufseiten des Kunden für die Vergabe von Nutzer-Rechten und die Erstellung, Verwaltung und Löschung von Benutzerkonten verantwortlich ist. Sofern für den betreffenden Dienst relevant, sollte der Cloud-Anbieter außerdem beschreiben, welche Mechanismen zur sicheren Identifizierung der Cloud-Nutzer eingesetzt werden. Monitoring und Incident-Management Die Überwachung und Entstörung der Cloud- Umgebung sollte im SLA geregelt werden. Dies umfasst die Detektion von Störungen und Angriffen auf die Cloud-Umgebung und die Durchführung entsprechender Gegenmaßnahmen (inklusive Eskalationsregelungen) sowie die Vereinbarungen über regelmäßige Auswertungen (z. B. Verfügbarkeit, fehlgeschlagene Authentifizierungsversuche). Im Vertrag sollte vereinbart werden, wie der CSP den Cloud-Nutzer über Sicherheitsvorfälle informiert (Fristen, Kommunikationswege, Ansprechpartner). Andererseits sollte auch festgeschrieben sein, wie der Cloud-Nutzer Störungen beim Cloud-Anbieter melden und eskalieren kann (Fristen, Kommunikationswege, Ansprechpartner). Nicht nur die Erreichbarkeit, sondern auch die Antwortzeiten auf Anfragen und Störungsmeldungen sollten zumindest als Richtwert festgeschrieben sein. Dies sollte auch für die Reaktions- und Behebungszeiten von Störungen getan werden. Notfallmanagement Der Cloud-Anbieter sollte ein Notfallmanagement (möglichst nach einem etablierten Standard wie BSI oder BS 25999) beschreiben und nachweisen, dass regelmäßig angemessene Notfalltests durchgeführt werden. Service-Kennzahlen Ein Schwerpunkt jedes SLA ist, neben der Beschreibung des Service, die Festlegung der vereinbarten Kennzahlen, anhand derer ein Cloud-Kunde die Qualität des Cloud-Service messen kann. Deshalb ist im Vertrag grundsätzlich zu vereinbaren, wie die Qualitätsmerkmale des Cloud-Service überwacht, gemessen und an den Cloud-Kunden berichtet werden. Da die Bezahlung des Service häufig auch von der Erreichung der Servicequalität abhängt, ist dies ein sehr wichtiger Punkt. Qualitätsmerkmale, die je nach Service häufig vereinbart werden, sind: Die Verfügbarkeit des Dienstes ist in vielen Fällen der einzige Messwert, der in SLAs angegeben wird. Hier ist es notwendig, dass die Angaben auf einen Zeitraum (z. B. pro Monat) bezogen sind. Ein Hinweis, ob geplante Servicezeiten inkludiert sind oder nicht, sollte ebenfalls vorhanden sein. Außerdem ist festzuhalten, wo gemessen wird: Zu bevorzugen sind hier Messungen, die möglichst nah beim Cloud-Nutzer liegen, mindestens jedoch am Netzzugangspunkt des Rechenzentrums. BSI Bonn <kes> 2012 # 5 41

8 SLAs für Cloud-Computing Der CSP sollte die Service-Zeiten beziehungsweise Zeiten, an denen der Service wegen geplanter Wartungsarbeiten nicht zur Verfügung steht, angeben einerseits ist das die Dauer pro Zeitraum (z. B. Stunden pro Quartal) und zum anderen das genaue Datum und Uhrzeit. Für weiter in der Zukunft liegende Wartungszeiten sollte im SLA niedergelegt sein, wie lange vorab und auf welchem Kommunikationsweg der Kunde darüber informiert wird. Diese Zeiten gehen meist in die Berechnung der Verfügbarkeit nicht ein. Das Antwortzeitverhalten des Dienstes sollte mit möglichst genauen Angaben zur Art der Messung (siehe Verfügbarkeit) vereinbart werden besonders bei Services, bei denen es auf eine schnelle Antwort ankommt. Wird eine hohe Elastizität gefordert, ist festzulegen, wie viele Benutzer beim Cloud-Kunden gleichzeitigen Zugriff auf den Service haben können und wie und in welchem Zeitraum diese Grenze nach oben und unten verschoben werden kann. Vorlaufzeiten für die Bereitstellung neuer oder erweiterter Dienste sind festzulegen (z. B. um neue Benutzer hinzufügen). Leider lässt sich auch beobachten, dass manche CSPs höhere Verfügbarkeiten angeben, als sie erreichen können. Dies kann sich für den CSP rechnen, da in der Regel keine Strafzahlungen oder Haftungsverpflichtungen seitens des CSP festgelegt sind, wenn die vereinbarten Qualitätsmerkmale nicht erreicht werden. Stattdessen werden nicht erreichte Ziele leider meist nur mit einer Kompensation in Form von unentgeltlicher Nutzung des Service für eine bestimmte Zeit ausgeglichen. Fazit Von Cloud-Service-Providern, die sich um Kunden im unternehmerischen und behördlichen Umfeld bemühen, können die Kunden einiges fordern, was die Vertragsgestaltung angeht. Die Überprüfung einiger SLAs hat gezeigt, dass die oben genannten Forderungen keineswegs unrealistisch sind, sondern dass Anbieter diese Informationen und Zusagen auch gewähren dies hängt natürlich von der Art des angebotenen Cloud-Service ab und ob der CSP ein verhandelbares SLA oder zumindest verschiedene Leistungsstufen anbietet. Insbesondere Provider, die auf institutionelle Kunden setzen, werden das Sicherheitsbewusstsein der Kunden ernst nehmen und qualifizierte sowie nachprüfbare Sicherheitsmaßnahmen ergreifen und diese Informationen dem Kunden auch zugänglich machen. Dabei geht es nicht darum, dass der Cloud-Anbieter alle Sicherheitsmaßnahmen offenlegen muss. Aber die Sicherheitsmaßnahmen müssen zumindest soweit beschrieben sein, dass der Kunde auf dieser Basis eine Risikoanalyse erstellen kann, um das Angebot angemessen prüfen zu können. Literatur [1] BSI, Sicherheitsempfehlungen für Cloud-Computing Anbieter, 2011, Computing/Eckpunktepapier/Eckpunktepapier_node. html [2] NIST Special Publication , Guidelines on Security and Privacy in Public Cloud Computing, 2011, csrc.nist.gov/publications/nistpubs/ /sp pdf [3] Cloud Security Alliance CSA, Security Guidance For Critical Areas Of Focus In Cloud-Computing V3.0, 2011, v3.0.pdf [4] BITKOM, Cloud-Computing Evolution in der Technik, Revolution im Business, Leitfaden, files/documents/bitkom-leitfaden-cloudcomputing_ Web.pdf [5] Cloud-Computing Use Cases A white paper produced by the Cloud-Computing Use Case Discussion Group, Version 4.0, 2010, org/cloud_computing_use_cases_whitepaper-4_0.pdf [6] EuroCloud, Leitfaden Recht, Datenschutz & Compliance, [7] BSI, Protection Level Agreements, 2010, bund.de/shareddocs/downloads/de/bsi/soa/pla_studie.pdf? blob=publicationfile [8] ENISA, Survey and analysis of security parameters in cloud SLAs across the European public sector, 2011, cloud-computing/survey-and-analysis-of-security-parameters-in-cloud-slas-across-the-european-public-sector/ at_download/fullreport [9] BSI, IT-Grundschutz-Kataloge, 2012, de/grundschutz 42 BSI Bonn <kes> 2012 # 5

9 Amtliche Mitteilungen BSI Forum Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC037V0A with specific IC MA-02 Dedicated Software NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC037V0A with specific IC MA-02 Dedicated Software NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC024V0A, P5CC020V0A, MA-02 P5SC020V0A and P5CC012V0A each with specific IC Dedicated Software Infineon Infineon Security Controller M7892 B11 Smartcard Controller BSI-DSZ-CC Technologies AG with optional RSA2048/4096 v , MA-01 EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software (firmware) Frequentis Secure Audio Switch (ISAS), Netzwerk- und EAL 4+ Nachrichtentechnik Version 1.0 Kommunikations- BSI-DSZ-CC GmbH produkt Infineon Infineon smartcard IC Smartcard Controller EAL 4+ Technologies AG (Security Controller) M7794 A12 with BSI-DSZ-CC optional RSA2048/4096 v , EC v and Toolbox v IBM Corporation IBM DB2 Version 9.1 for z/os Datenbankserver EAL 4+ Version 1 Release 10 BSI-DSZ-CC Continental Digital Tachograph DTCO 1381, Fahrtenschreiber E3 /hoch Automotive GmbH Release 1.3v BSI-DSZ-ITSEC Bundesdruckerei Bundesdruckerei Document Anwendungssoftware BSI-DSZ-CC GmbH Application Version zum Auslesen von 2011-MA-01 elektronischen Ausweisdokumenten IBM Corporation IBM Tivoli Access Manager for Serveranwendungen EAL 4+ e-business version FP4 with BSI-DSZ-CC IBM Tivoli Federated Identity Manager version FP2 BSI Bonn <kes> 2012 # 5 43

10 Amtliche Mitteilungen Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Utimaco Safeware AG SafeGuard Enterprise Device PC-Sicherheit EAL 4 Encryption, Version 5.60 for Microsoft BSI-DSZ-CC Windows XP Professional and Microsoft Windows 7 NXP Semiconductors NXP Secure Smart Card Controllers Smartcard Controller BSI-DSZ-CC Germany GmbH P5CD016/021/041/051V1A and MA-02 P5Cx081V1A Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID F5 Networks, Inc. F5 Networks BIG-IP Local Traffic Netzwerk- und BSI-DSZ-CC-0856 Manager Release plus the Kommunikationsprodukt APM, ASM, and Data Center Firewall Modules; and BIG-IP Edge Gateway Release SUSE Linux SUSE Linux Enterprise Server 11 Betriebssystem BSI-DSZ-CC-0852 Products GmbH Service Pack 2 for IBM System z (s390x) Red Hat, Inc. Red Hat Enterprise Linux, Betriebssystem BSI-DSZ-CC-0848 Version 6.2, Operating System for IBM System z and IBM System p Dell Inc, USA Dell Compellent Storage Center, Enterprise Manager BSI-DSZ-CC-0847 Version 6.0.3, and Enterprise Manager Version Navayo Technologies AG MVCN Core, Version 2.0 Netzwerk- und BSI-DSZ-CC-0843 Kommunikationsprodukt IBM Corporation Tivoli Security Policy Manager 7.1 Security BSI-DSZ-CC-0839 Policy Management Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. 44 BSI Bonn <kes> 2012 # 5

11 3. Vom BSI erteilte Standortzertifikate Antragsteller Entwicklungs-/Produktionsstandorte ID gültig bis Ausstellungsdatum Trueb AG, Switzerland Trueb AG, Locations Aarau and Unterentfelden BSI-DSZ-CC-S Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ ekom21-kgrz Der Untersuchungsgegenstand umfasst die informationstech Hessen nischen Anlagen und Lösungen der ekom21 KGRZ Hessen an den Standorten Darmstadt, Gießen und Kassel, die zur Erbringung der ASP-Dienstleistungen erforderlich sind. Betrachtet wird die IT-Infrastruktur an den drei Standorten, die zur Erfüllung der Aufgaben dient. Nicht Gegenstand der Untersuchung sind ASP-Dienste, die auslaufenden Charakter haben und deshalb für die Restlaufzeit outgesourct wurden. Als kommunales IT-Dienstleistungsunternehmen in Hessen hat sich die ekom21 KGRZ Hessen auf Komplettlösungen für den öffentlichen Dienst spezialisiert und ist Full-Service-Partner für die öffentliche Verwaltung. BSI-IGZ Kommunale Beim Untersuchungsgegenstand handelt es sich um Server Informations- Hosting, -Housing, Remote Access, sowie Internet und verarbeitung Anbindung, die von der Kommunalen Informationsverarbei- Baden-Franken tung Baden-Franken mit Hauptsitz in Karlsruhe für Kommunen, Stadt und Landkreise und sonstige Körperschaften des öffentlichen Rechts in Baden-Württemberg angeboten wird. Die dafür erforderlichen IT-Systeme werden durch infrastrukturelle, organisatorische, personelle und technische Geschäftsprozesse unterstützt. BSI-IGZ Interoute Der Geltungsbereich des Informationsverbunds umfasst den Germany Service Colocation und das Management Netzwerk welches GmbH zur Erbringung der Services Hosting im Rahmen der Interoute Services bei unternehmenskritischen Anwendungen im Kundenauftrag eingesetzt wird. Das Management Netzwerk wird von der Interoute Germany GmbH an den Standorten Berlin und Kleinmachnow erbracht. Die Gebäudemanagementsysteme werden für den Standort Kleinmachnow von der Interoute Germany GmbH erbracht und am Standort Berlin durch den Outsourcing Partner e-shelter erbracht. Zur Aufgabenerfüllung werden zusätzlich Services im Rahmen eines Outsourcing in Anspruch genommen. Backup, Monitoring von Critical Alerts im Kundenauftrag sowie Installation und Wartung der lokalen Systeme für den Bereich der Administratoren erfolgt durch Interoute Czech s.r.o. Für den Standort Berlin wird das Rechenzentrum eines Housing Dienstleisters genutzt. Nicht zum Informationsverbund gehören die Komponenten, die über das Management Netzwerk hinaus für den Service Hosting genutzt werden sowie die von Kundenseite installierten Systeme im Rahmen eines Housing. Externe Netzwerkverbindungen, Kundenanbindungen, die Bereitstellung von Einwahlzugängen ins Internet sowie der Betrieb der internen Telefonanlagen sind ebenfalls nicht Bestandteil des Informationsverbundes BSI Bonn <kes> 2012 # 5 45

12 Amtliche Mitteilungen Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ Bundes- Ein wesentlicher Geschäftsprozess des BMI ist die Gewinnung ministerium und Verarbeitung von Informationen. Daher wird innerhalb des Innern der komplexen IuK-Landschaft der Prozess Standard-Bürokommunikation betrachtet, d.h. sämtliche hierfür notwendige Basisinfrastruktur des BMI am Standort Alt Moabit. Die Komponenten zur Standard-Bürokommunikation sind darüber hinaus Voraussetzung für zahlreiche Fachverfahren und haben damit insgesamt eine hohe strategische und operative Bedeutung für das BMI. Von der Standard-Bürokommunikation umfasst sind der Standard-Büroclient ebenso wie der Telearbeitsplatz, die Dateiablage, die Benutzerverwaltung, die Groupware-Umgebung sowie die Netzwerkinfrastruktur einschließlich Perimeternetzwerk zum Übergang in das Behördennetzwerk. 5. Vom BSI zertifizierte oder anerkannte Stellen: Firma/Anschrift Bereich Gültig TÜV TRUST IT GmbH, IT-Sicherheitsdienstleister im Geltungsbereich / Unternehmensgruppe IS-Revision und IS-Beratung TÜV Austria, Waltherstraße 49-51, Köln 46 BSI Bonn <kes> 2012 # 5

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010)

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) BSI Überblick Zertifizierung Vorteile Zertifizierung nach ISO 27001 und IT-Grundschutz Prüfstandards des BSI Beispiele neuerer Zertifikate Akkreditierte

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Telekom De-Mail Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte

Telekom De-Mail Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte Telekom De-Mail Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte Inhalt 1 Hintergrund 2 Produktangebot 3 Zertifizierung / Akkreditierung / Datenschutzrechtliche Aspekte 1 De-Mail: Standard

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

Am Farrnbach 4a D - 90556 Cadolzburg

Am Farrnbach 4a D - 90556 Cadolzburg Am Farrnbach 4a D - 90556 Cadolzburg phone +49 (0) 91 03 / 7 13 73-0 fax +49 (0) 91 03 / 7 13 73-84 e-mail info@at-on-gmbh.de www.at-on-gmbh.de Über uns: als Anbieter einer Private Cloud : IT Markenhardware

Mehr

Sicherheitsfragen und Probleme im Umfeld des Cloud Computing

Sicherheitsfragen und Probleme im Umfeld des Cloud Computing Sicherheitsfragen und Probleme im Umfeld des Cloud Computing IKT-Forum: Wolkig bis heiter Cloud Computing im Unternehmen Hochschule Ansbach, 10.12.2013 Dr.-Ing. Rainer Ulrich Fraunhofer-Institut für Integrierte

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Für den unter Ziffer 3 genannten Untersuchungsgegenstand

Mehr

Sicherheit die Herausforderungen beim Outsourcing

Sicherheit die Herausforderungen beim Outsourcing Sicherheit die Herausforderungen beim Outsourcing Rolf Oppliger / 29. August 2012 Übersicht #1: Kontrolle und Verfügbarkeit #2: Vertraulichkeit Schlussfolgerungen und Ausblick 2 1 Outsourcing Auslagerung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Cloud Computing interessant und aktuell auch für Hochschulen?

Cloud Computing interessant und aktuell auch für Hochschulen? Veranstaltung am 11./12.01.2011 in Bonn mit etwa 80 Teilnehmern Hype oder müssen wir uns ernsthaft mit dem Thema beschäftigen? Werden die Technologien und Angebote unsere Aufgaben grundlegend verändern?

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

De-Mail, neue Perspektiven für die elektronische Kommunikation

De-Mail, neue Perspektiven für die elektronische Kommunikation De-Mail, neue Perspektiven für die elektronische Kommunikation Referentin it-sa Gesetzliche Rahmenbedingungen DE-Mail-Gesetz zur Einführung einer sicheren und nachweisbaren elektronischen Kommunikation

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014

Mehr

PROFI MANAGED SERVICES

PROFI MANAGED SERVICES S assuretsm Webcast Darmstadt 27.09.2013 Hans Larcén AGENDA PROFI Managed Services Serviceablauf und SLAs Ihre Vorteile Unser Vorgehensmodell assuretsm 2 MANAGED SERVICE Übernahme des operativen Betriebs

Mehr

Managed Infrastructure Service (MIS) Schweiz

Managed Infrastructure Service (MIS) Schweiz Pascal Wolf Manager of MIS & BCRS Managed Infrastructure Service (MIS) Schweiz 2011 Corporation Ein lokaler Partner in einem global integrierten Netzwerk Gründung im Jahr 2002 mit dem ersten full-outtasking

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen 17. 18. Juni 2014, Berlin 9. 10. Dezember 2014, Düsseldorf Cyber-Sicherheit bei Cloud

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

IT as a Service für den KMU Bereich - und was haben Sie davon?

IT as a Service für den KMU Bereich - und was haben Sie davon? 1 IBM und A1 Telekom Austria IT as a Service für den KMU Bereich - und was haben Sie davon? DI Roland Fadrany, Head of ITO, A1 Telekom Austria DI Günter Nachtlberger, Business Development Executive, IBM

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

Managed IT-Services in der Praxis

Managed IT-Services in der Praxis Managed in der Praxis Michael Weis Prokurist / IT-Leiter Medien-Service Untermain GmbH Managed Übersicht Kundenbeispiele Definition, Kernfragen und Erfolgsfaktoren Anbieterauswahl Einzelfaktoren: Service-Level-Agreements,

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland www.eurocloud.de Netzwerken auf Europäisch. + = 29.04.2010 EuroCloud

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg 7.10.2015

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg 7.10.2015 Cloud : sicher Dr. Clemens Doubrava, BSI it-sa Nürnberg 7.10.2015 Strategische Aspekte des Cloud Computing 11,4 cm x 20,4 cm Dr. Clemens Doubrava Referent 07.10.2015 Seite 2 Cloud-Strategie des BSI Dr.

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr