Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr. Moderner Staat November 2012, Berlin

Größe: px
Ab Seite anzeigen:

Download "Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr. Moderner Staat 6. 7. November 2012, Berlin"

Transkript

1 2012 # Jahrgang BSI Forum Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik Inhalt Das BSI auf den Herbstmessen 35 Cloud-Computing-SLAs 36 Amtliche Mitteilungen 43 Messepräsenz Das BSI auf den Herbstmessen 2012 Die Themen IT-Sicherheit und E-Government stehen im Mittelpunkt der Sicherheitsfachmesse it-sa in Nürnberg sowie der Kongressmesse Moderner Staat in Berlin, bei denen das BSI auch in diesem Jahr wieder vertreten ist. it-sa Oktober 2012, Nürnberg Die it-sa ist eine Fachmesse, die sich exklusiv auf das Thema Informationssicherheit konzentriert. Die Messe war von 1999 bis 2008 als Sicherheitshalle in die ehemalige Systems integriert. Seit 2009 findet die it-sa (www.it-sa.de) als eigenständige Messe im Messezentrum Nürnberg statt Veranstalter ist die NürnbergMesse GmbH. In diesem Jahr informiert das BSI auf seinem Stand in der Halle 12, Stand-Nr. 632 über die Themen Cyber-Sicherheit, IT-Grundschutz, IT-Sicherheitsberatung, D , IT-Sicherheitszertifizierung sowie sichere mobile Lösungen. Neben der Keynote zur it-sa- Eröffnung am Dienstag, den 16. Oktober 2012 um 09:45 Uhr, durch die Amtsleitung beteiligt sich das BSI mit jeweils einem Vortrag je Messetag: Cyber-Sicherheit, Dienstag, 16. Oktober 2012, 10:45 Uhr D , Mittwoch, 17. Oktober 2012, 09:45 Uhr Sichere mobile Lösungen, Donnerstag, 18. Oktober 2012, 09:45 Uhr Moderner Staat November 2012, Berlin Bereits zum 16. Mal öffnet die Fachmesse Moderner Staat ihre Pforten. Die Veranstaltung in den Hallen 2 und 4 des Messegeländes Berlin widmet sich vom 6. bis 7. November 2012 unter anderem den Themen IT/E-Government, Weiterbildung/E-Learning Telekommunikation/Mobile Computing sowie IT-Sicherheit und richtet sich an Entscheidungsträger aus Bundes-, Landes- und Kommunalverwaltungen. Das BSI ist in der Halle 2, Stand-Nr. 510 mit den Themen Cyber-Sicherheit, IT-Sicherheitsberatung und D vertreten. Darüber hinaus gestaltet das BSI am 6. November 2012 ein 90-minütiges Kongressforum zum Thema IT-Security ; weitere Informationen stehen unter com zur Verfügung. Impressum Redaktion: Matthias Gärtner (verantwortlich) Sebastian Bebel Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 20. Jahrgang 2012 BSI Bonn <kes> 2012 # 5 35

2 SLAs für Cloud-Computing Damit die Sicherheit nicht zu kurz kommt: Cloud-Computing-SLAs Immer mehr Endkunden, aber auch Unternehmen und Behörden nutzen zunehmend Cloud- Computing-Angebote. Dabei werden Verträge mit Cloud-Computing-Anbietern geschlossen, die denen von Outsourcing-Verträgen ähnlich sind. Für viele Institutionen, die Cloud-Services nutzen, sind die entsprechenden Service-Level-Agreements (SLAs) der erste Outsourcing- Vertrag. Da Cloud-Services anders als die meisten Outsourcing-Dienstleistungen hochgradig standardisiert sind, können für diese SLAs spezifischere Empfehlungen gegeben werden. Von Clemens Doubrava und Isabel Münch, BSI Es vergeht kein Monat und keine Woche, in denen nicht neue Cloud-Services von frisch gegründeten ebenso wie von etablierten Unternehmen angeboten werden. Cloud-Dienstleistungen werden sowohl von Institutionen als auch von Endkunden immer stärker genutzt. Gleichzeitig nehmen aber auch Meldungen über Sicherheitsprobleme bei Cloud-Services zu, beispielsweise Berichte über gestohlene (Zugangs-)Daten zu Diensteanbietern oder über Ausfälle von Cloud-Infrastruktur. Die Ursachen mögen immer sehr unterschiedlich sein, aber immer sind Daten, die einem Dritten anvertraut wurden, davon betroffen. Inzwischen gibt es auch von verschiedenen Institutionen und Gremien eine Reihe von Sicherheitsempfehlungen für das Cloud-Computing, unter anderem auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI, [1,2,3,4,5,6]). Bevor Cloud-Dienstleistungen genutzt werden, sollten diese Sicherheitsempfehlungen gesichtet werden und hierauf aufbauend für die eigene Institution passende Richtlinien erstellt werden. Bei der Nutzung einer Private Cloud sind diese leichter umzusetzen als bei der Nutzung externer Dienstleister, da Betrieb und Verwaltung der Cloud-Dienste unter Kontrolle der eigenen Institution sind. Wird jedoch über die Nutzung von Public-Cloud-Services nachgedacht, stellen sich die Sicherheitsfragen mit neuer Schärfe: Hierbei ist oft unklar, was der Kunde vom Anbieter an Sicherheit verlangen muss, was Anbieter bereit sind, an Sicherheit anzubieten, und zu welchen Konditionen und wie der Kunde dies im laufenden Betrieb überprüfen kann. Wird in einer Institution über die Nutzung von Cloud-Services nachgedacht, muss zunächst analysiert werden, ob der betrachtete Geschäftsprozess hierfür überhaupt geeignet ist. Dabei spielen nicht nur Kostenbetrachtungen eine Rolle, sondern auch der Schutzbedarf der Daten beziehungsweise der Anwendungen, die künftig vom Anbieter der Cloud-Dienstleistungen (Cloud-Service- Provider CSP) gehostet beziehungsweise verarbeitet werden sollen. Wenn der Schutzbedarf nicht direkt aus dem Sicherheitskonzept abgelesen werden kann, muss er bewertet werden. Darauf aufbauend muss von der Institution eine Risikoanalyse durchgeführt werden, deren Ergebnisse dann in Sicherheitsanforderungen für diesen konkreten Cloud-Service münden. Im Rückschluss muss nach Analyse der erreichbaren Sicherheit entschieden werden, ob der Cloud-Service für das Unternehmen oder die Behörde nutzbar ist. Für die Nutzung von Cloud-Services müssen Verträge mit dem Diensteanbieter geschlossen werden, in denen die vereinbarte Leistung sowie einige Sicherheitsthemen festgeschrieben sind. Dies ist nicht nur bei Public- Cloud-Angeboten, sondern auch bei Cloud-Services, die innerhalb einer Institution erbracht werden, sinnvoll. Das BSI hat Dienstgütevereinbarungen (Service- Level-Agreements oder kurz SLAs) von verschiedenen Public-Cloud-Anbietern untersuchen lassen. Inhalt und Qualität der betrachteten SLAs differierten deutlich: In manchen wurde fast nichts festgelegt, in anderen wiederum wurden der Service ausführlich beschrieben, die Dienstgüte quantifiziert und weitere Regelungen etabliert. Auch die Auskunftsbereitschaft der Unternehmen zu ihrer Informationssicherheit war sehr unterschiedlich: Während manche CSPs auch auf Nachfrage nicht bereit waren, ihre Informationssicherheit weiter zu erläutern, zeigten sich andere nach Abschluss einer Vertraulichkeitsvereinbarung sehr kooperativ. Auf Basis dieser Untersuchung und den im Literaturverzeichnis erwähnten Quellen[7,8] gibt das BSI Empfehlungen für die Vertragsgestaltung beim Cloud-Computing. Public Clouds Public-Cloud-Computing ist Outsourcing Über Cloud-Computing wird im Moment sehr viel geschrieben, sodass hier auf eine lange Einführung 36 BSI Bonn <kes> 2012 # 5

3 verzichtet wird. Ganz allgemein sind die im Folgenden beschriebenen Kriterien für IT-Dienstleistungen anwendbar, die über definierte Schnittstellen, zum Beispiel über das Internet oder auch interne Netze, angeboten werden. Im Fokus stehen Public-Cloud-Angebote, von denen sich viele an Privatkunden richten, aber auch Angebote wie Virtual Managed Private Clouds, die sich vor allem an Geschäftskunden wenden. Manche der folgenden Hinweise lassen sich auch auf Hybrid und Private Clouds übertragen. Die Nutzung von Public-Cloud-Diensten ist immer eine Form von Outsourcing wie Outsourcing sicher betrieben werden kann, ist in den IT-Grundschutz-Katalogen [9] im Baustein B 1.11 Outsourcing beschrieben, der die wesentlichen Aspekte bei Auswahl und Nutzung von Outsourcing-Angeboten aus Sicht der Informationssicherheit behandelt. Zu jeder Lebenszyklusphase eines Outsourcing-Projektes werden hier Maßnahmen aufgeführt, mit deren Umsetzung ein angemessenes Sicherheitsniveau erreicht werden kann. Da die Maßnahmen und Empfehlungen auf unterschiedlichste Outsourcing- Projekte anwendbar sind, sind sie zum Teil generisch gehalten. Unterschiede zu klassischem Outsourcing Cloud-Dienste weisen einige Besonderheiten auf, die sie vom klassischen Outsourcing unterscheiden und die im Folgenden kurz dargestellt werden. Während Outsourcing-Vorhaben meist einen kompletten Geschäftsprozess oder zumindest wesentliche Elemente eines Geschäftsprozesses umfassen, können Cloud-Services auch für kleinere Teile eines Geschäftsprozesses genutzt werden. Geht es um einen Cloud-Service, der nur einen Teil eines Geschäftsprozesse abbildet, so werden die erforderlichen Sicherheitsaspekte schnell nicht ernst genug genommen und daher vernachlässigt. In einer Public Cloud wird ein Service vielen Kunden zur Verfügung gestellt, die die zugrunde liegende Infrastruktur gemeinsam nutzen. Deshalb sind die angebotenen Services hoch standardisiert und in der Regel nur sehr begrenzt an individuelle Anforderungen anpassbar. Dem gegenüber steht die hohe Flexibilität der Cloud-Services, die sich rasch an den Bedarf anpassen lassen. Sollen nur Teile eines Geschäftsprozesses in die Cloud verlagert werden, wird dies in Institutionen häufig nur als kleines Projekt betrachtet. Daher stehen oft zu wenig Ressourcen im Vorfeld bereit, um zu einer fundierten Entscheidung über den Einsatz zu kommen, obwohl der Ausfall von kleinen Teilen eines Geschäftsprozesses auch drastische Auswirkungen haben kann. Da der Markt rund um Cloud-Computing im Moment noch sehr dynamisch ist und immer neue Anbieter und Angebote hinzukommen, möchten sich viele Kunden nicht auf langfristige Verträge einlassen, sondern beim Erscheinen besserer oder günstigerer Angebote den Anbieter wechseln können. Wenn Kunden hoch komplexe Cloud-Services nutzen, ist diese Möglichkeit natürlich eingeschränkt, aber bei Cloud-Angeboten wie Speicherdiensten ist ein Wechsel des Anbieters meistens relativ einfach. Dies wird auch dadurch erleichtert, dass solche Cloud-Services häufig einfach über ein sogenanntes Self-Service-Portal gebucht werden können. Was bleibt gleich? Informationssicherheit! Risikoanalyse! Unabhängig von der Art eines Outsourcing-Vorhabens gilt, dass nur eine Institution, die den Wert ihrer Daten kennt, entscheiden kann, ob für diese die Nutzung eines Cloud-Services vertretbar ist. Wird eine Institution, die nur über ein sehr rudimentäres Informationssicherheitsmanagement verfügt, mit der Frage konfrontiert, ob ein Cloud-Service für ihre Daten ausreichend sicher ist, kann sie hierüber keine fundierte Aussage treffen. Dies führt dann häufig zu Aussagen wie Der Cloud-Anbieter hat bestimmt eine bessere Informationssicherheit wie wir! und Ich will 100%-ige Sicherheit für meine Daten! das ist entweder blauäugig oder unrealistisch. Ohne den Wert der Informationen zu kennen, die in die Cloud ausgelagert werden sollen, gehen Institutionen ein unkalkulierbares Risiko ein. Daher müssen vor jeder Cloud-Nutzung zunächst deren potenzielle Auswirkungen auf die betroffenen Informationen, Geschäftsprozesse sowie den internen Informationsverbund untersucht werden. Dadurch können die Überlegungen zur Cloud-Nutzung auch den Synergieeffekt haben, dass sich Institutionen ernsthaft mit der eigenen Informationssicherheit beschäftigen. Als nächster Schritt folgt dann eine Analyse der Risiken der Cloud- Nutzung. Hier ist nun der CSP gefragt, der sein System kennen und bereit sein muss, die umgesetzten Sicherheitsmaßnahmen zu kommunizieren. Nur so können seine Kunden eine aussagekräftige Risikoanalyse durchführen. Verträge mit Cloud-Anbietern Im Vertrag mit dem jeweiligen CSP wird alles geregelt, was mit der Erbringung der Leistung und deren Bezahlung zusammenhängt. Meistens sind nicht alle Regelungen im SLA enthalten, sondern sie können auch in den allgemeinen Geschäftsbedingungen (AGB) oder einer Produktbeschreibung festgehalten sein. Im Folgenden werden verschiedene Punkte aufgezählt, die eine Relevanz für die Sicherheit haben, unabhängig davon, ob sie direkt im SLA adressiert werden oder in einem anderen Teil des Vertrags. BSI Bonn <kes> 2012 # 5 37

4 SLAs für Cloud-Computing Beschreibung der angebotenen Dienste im SLA Das Service-Level-Agreement (SLA) soll die angebotenen Services und deren Leistungseigenschaften genau und soweit möglich quantifiziert beschreiben. Idealerweise nimmt es dabei stark auf die Kundenbedürfnisse Rücksicht. Dies kann zum Beispiel durch folgende Punkte erreicht werden: Im SLA sollten grundlegende Begriffe geklärt sein. So kann beispielsweise die Definition von Verfügbarkeit sehr unterschiedlich sein und gravierende Auswirkungen auf die Nutzung des Service haben. Komplexitäten sollten aufgelöst und so beschrieben sein, dass der Kunde den Inhalt verstehen und richtig interpretieren kann. Produktbezeichnungen des CSP, die nicht klar erklärt sind, sollten im SLA nicht vorkommen. Übertriebene Erwartungen des Kunden sollten weder gefördert noch stillschweigend hingenommen werden, da daraus nur Konflikte und Unzufriedenheit auf Kundenseite entstehen. In einem klar geschriebenen SLA wird deutlich, welchen Umfang die angebotene Dienstleistung hat. So kann bei einer Analyse des SLA festgestellt werden, ob es offene Punkte gibt, die nicht geregelt sind. Diese können dann entweder noch adressiert werden oder aber das SLA zeigt Wege und Möglichkeiten auf, wie Konflikte zwischen den Vertragsparteien gelöst werden können. SLA-Typen Cloud-Services sind in der Regel hochstandardisiert, da sie intern oder extern mehreren Abnehmern angeboten werden. Dies spiegelt sich auch in den SLAs wider. Bei der Nutzung von kostenfreien Public-Cloud- Services liegt oft überhaupt kein SLA zugrunde, da sich der CSP zu nichts verpflichtet, sondern sich im Gegenteil zum Teil Rechte an den gespeicherten und verarbeiteten Daten der Kunden zusichern lässt. Was im privaten Umfeld akzeptabel erscheinen mag, ist allerdings im Geschäftsumfeld nicht tragbar. Daher müssen die Geschäftsbedingungen unbedingt darauf gesichtet werden, welche Rechte bei der Nutzung der Cloud-Dienste dem Anbieter übertragen werden. Cloud-Services für Geschäftskunden basieren auf konkreten Service-Levels, die der Anbieter garantiert. Im Wesentlichen können drei Modelle unterschieden werden: Nicht-verhandelbare SLAs: Der CSP gibt einen bestimmten Service-Level vor, also eine Güteklasse, in der der Service angeboten wird. Sicherheitsmaßnahmen sind nur soweit erwähnt, wie der CSP dies für notwendig hält. Nicht-verhandelbare SLAs mit verschiedenen Qualitätsstufen: Um den Kunden einen möglichst optimalen Service anbieten zu können, stellen CSPs oft einen Service in unterschiedlichen Güteklassen zu unterschiedlichen Preisen zur Verfügung. Die Stufen unterscheiden sich in der Regel nicht in der Funktionalität, sondern in Performance, Verfügbarkeit und auch bei den Sicherheitsmaßnahmen. Verhandelbare SLAs: Da auf einzelne Kunden angepasste Dienstleistungen für den Anbieter einen höheren Aufwand bedeuten, sind die SLAs nur bei größeren Cloud-Projekten verhandelbar. Hier sind in einem weit höheren Umfang Sicherheitsziele vereinbar. Rechtliches Da viele CSPs in anderen Ländern und damit anderen Rechtsräumen ihren Sitz haben, ist es wichtig, die rechtlichen Rahmenbedingungen in den Verträgen genau zu definieren. Hierzu gehört unter anderem zu klären, welches Recht anwendbar ist und wo in einem Streitfall der Gerichtsstand ist. Für den Cloud-Nutzer ist es meist sehr schwierig, hier seine eigene Position gegenüber dem CSP durchzusetzen, da dieser nicht für alle Länder, in denen die angebotenen Services genutzt werden, individuell an den Rechtsraum angepasste Verträge vorhalten will. Es ist hilfreich, wenn das SLA in der Landessprache des Kunden (z. B. Deutsch) abgefasst ist und der Gerichtsstandort im Heimatland des Kunden (z. B. Deutschland) liegt, da der Cloud-Kunde dann in der Regel auf seine eigenen Rechtsberater zurückgreifen kann. Im Vertrag sollten zudem der Geltungsbereich und die Geltungsdauer vereinbart werden. Wichtig ist auch, dass der Cloud-Anbieter sich verpflichtet, jeweils relevante vertragliche Bestimmungen an seine Subunternehmer weiterzugeben. Es sollte auch klar geregelt werden, welche Rechte und Pflichten sowohl aufseiten des CSP als auch aufseiten des Kunden liegen, wobei die Pflichten des Service Providers in der Regel schon durch die Beschreibung des angebotenen Services und dessen Leistungseigenschaften definiert sind. Informationssicherheit Beim Abschluss eines SLA mit einem Cloud- Service-Provider sind neben der Beschreibung der Services, des Leistungsumfangs und den rechtlichen Verhältnissen auch Punkte der Informationssicherheit zu berücksichtigen, die hier ausgeführt werden. 38 BSI Bonn <kes> 2012 # 5

5 CSPs handeln, was Informationen und Zusagen zur Informationssicherheit betrifft, sehr unterschiedlich. Erhält ein Cloud-Kunde für seine Risikoanalyse keine ausreichenden Informationen vom CSP, so muss er einem konservativen Ansatz folgend davon ausgehen, dass der CSP keine Sicherheitsmechanismen umgesetzt hat oder diese so schwach sind, dass er sie nicht beschreiben will. Festzustellen ist demgegenüber auch, dass CSPs, deren Informationssicherheitsniveau hoch ist, in der Regel darüber auch konkrete Informationen herausgeben, zumindest nach Unterzeichnung einer Vertraulichkeitsvereinbarung, um sich so einen Wettbewerbsvorteil zu verschaffen. Empfehlungen für SLAs Die folgende Zusammenstellung nennt die aus der Sicht der Informationssicherheit wichtigsten Themen und gibt Empfehlungen für die Vertragsgestaltung. Sicherheitsmanagement beim Cloud-Service- Provider Die IT beim CSP sollte prozessorientiert aufgebaut und betrieben sein (z. B. nach ITIL/ISO oder Co- BIT), was sich an einzelnen Prozessen nachweisen lassen sollte. Beispielsweise könnte hinterfragt werden, ob es die Prozesse Change-Management oder User-Help-Desk gibt. Dies gilt wie auch die folgenden Punkte ebenfalls für Subunternehmer, die der CSP wesentlich zur Erbringung der Leistung nutzt. Der Cloud-Service-Provider sollte zusichern, dass er ein Informationssicherheits-Management-System (z. B. nach IT-Grundschutz oder ISO/IEC 27001) betreibt, das den angebotenen Cloud-Service vollständig umfassst. Der CSP sollte einen Ansprechpartner für Sicherheitsfragen und dessen Erreichbarkeit benennen. Es sollte vereinbart werden, dass der Kunde benachrichtigt wird, wenn sich beim Anbieter Änderungen im Sicherheitsmanagement ergeben. Sicherheitsüberprüfung und -nachweis Der Cloud-Anbieter sollte sich verpflichten, regelmäßig die Umsetzung seiner Sicherheitsmaßnahmen durch interne oder externe Audits zu überprüfen. Dazu können zum Beispiel regelmäßige Penetrationstests und auch unabhängige Sicherheitsrevisionen durchgeführt werden. Im SLA sollte festgelegt werden, inwieweit der Kunde die Ergebnisse dieser Audits und Penetrationstests einsehen kann, wobei hier nicht nur der Kundenwunsch nach umfassender Information, sondern auch die Sicherheit des Anbieters selbst zu beachten ist. Bei einem erhöhten Schutzbedarf der Daten und Anwendungen sollten sich die Kunden das erreichte Sicherheitsniveau beim Anbieter über eine Zertifizierung nachweisen lassen. Hierbei muss genau darauf geachtet werden, ob die Zertifizierung auch den für den Kunden interessanten Teil des Leistungsangebotes abdeckt, von einer anerkannten Zertifizierungsstelle durchgeführt wurde und die Ergebnisse nachvollziehbar sind. Je nach Art der Geschäftsprozesse oder Daten, die in die Cloud ausgelagert wurden, kann es erforderlich sein, dass der Cloud-Anbieter dem Kunden ein Prüfrecht gewährt oder diesem das Testat eines unabhängigen Prüfers vorlegen kann. Dies ist beispielsweise bei der Verarbeitung von personenbezogenen Daten nach 11 BDSG gefordert. In der Regel sollten potenzielle Kunden davon ausgehen, dass ein Anbieter, der ein funktionierendes Sicherheitsmanagement hat, darüber qualifiziert Auskunft geben kann und auch gibt. Verweigert ein Anbieter hier belastbare Aussagen, sollten Kunden ihm ihre Daten nicht anvertrauen, zumindest wenn diese auch nur im Ansatz sensitiv oder geschäftsrelevant sind. Transparenz und Kommunikation Eine transparente Kommunikation zwischen einem Cloud-Anbieter und seinen Kunden stärkt das gegenseitige Vertrauen. Hierzu zählt beispielsweise die regelmäßige Unterrichtung über Änderungen (organisatorisch, fachlich, technisch und finanziell) bei der Erbringung des Service. Der Cloudanbieter sollte auch die Standorte seiner Rechenzentren und seiner Subunternehmer offenlegen. Auch die Rechts- und Besitzverhältnisse des Cloud-Anbieters können für den Kunden wichtig sein, auch wenn diese Fakten nicht Gegenstand der Verträge sind. Zudem sollte klargestellt sein, welchen staatlichen Eingriffen sich der CSP unterwerfen muss, welche die Informationen des Kunden betreffen. Im Vertrag sollte des Weiteren vereinbart werden, wie Veränderungen des Vertragsgegenstands kommuniziert und abgestimmt werden (Change-Request-Verfahren). Dies beinhaltet auch Änderungen, die die Sicherheit des Cloud-Service betreffen. Personal Das Personal des Cloud-Anbieters sollte auf Einhaltung des Datenschutzes, der Sicherheitsmaßnahmen und der Wahrung der Vertraulichkeit der Kundendaten verpflichtet werden. Außerdem muss das Personal nicht nur für den IT-Betrieb geschult, sondern auch für Datenschutz und Informationssicherheit sensibilisiert werden. Der Kunde sollte sich die hierzu ergriffenen Maßnahmen bezüglich personeller Sicherheit der CSP-Mitarbeiter beschreiben lassen. BSI Bonn <kes> 2012 # 5 39

6 SLAs für Cloud-Computing Rechenzentrumssicherheit Die Erbringung der Cloud-Dienste findet letztendlich immer in einem oder mehreren Rechenzentren (RZ) statt. Deshalb muss auf die Sicherheit dieser Rechenzentren ein besonderes Augenmerk gelegt werden. Explizit sollte zugesichert werden, dass die wichtigsten Infrastruktur-Komponenten der genutzten Rechenzentren (wie Strom, Kühlung, Netz, Internetanbindung etc.) redundant ausgelegt sind, mit möglichst konkreten Aussagen zu den ergriffenen Maßnahmen. Es muss sichergestellt sein, dass nur befugte Personen die Rechenzentren betreten können und dass ausreichende Brandschutzmaßnahmen und andere Sicherheitsmaßnahmen gegen Elementarmächte umgesetzt sind. Bei sehr hohen Kundenanforderungen an die Verfügbarkeit sollte der CSP redundante Rechenzentren anbieten können. Die meisten RZ-Betreiber lassen ihre Rechenzentren zertifizieren, sodass die obigen Forderungen einfach zu erfüllen sein sollten. Vor allem in diesem Bereich sollten Kunden darauf achten, dass seriöse Zertifizierungen vorliegen, also nur solche, die von anerkannten Zertifizierungsstellen auf der Basis von nachvollziehbaren Kriterien durchgeführt wurden. Auch wenn ein CSP kein eigenes Rechenzentrum betreibt (z. B. als SaaS-Anbieter), muss er auf jeden Fall Auskunft über die Sicherheit der genutzten Rechenzentren geben. In diesem Fall ist es wichtig zu erfahren, ob der SaaS- oder PaaS-Anbieter auf Rechenzentren verschiedener Anbieter zurückgreift beziehungsweise häufiger die Rechenzentrenanbieter wechselt (z. B. über einen Cloud- Broker, der die aktuell günstigsten Angebote ermittelt). In letztem Fall scheint es sehr unwahrscheinlich, dass der CSP belastbare Aussagen über die RZ-Sicherheit machen kann. Netzsicherheit Im Vertrag sollten angemessene Maßnahmen benannt werden, um eine ausreichende Netzsicherheit zu erreichen. Vor allem bei sehr hohen Zusagen zur Verfügbarkeit sind Sicherheitsmaßnahmen wie Intrusion- Detection- oder Intrusion-Prevention-System und andere Maßnahmen zur Abwehr von Denial-of-Service-Angriffen auf Netzebene im Vertrag zu erwähnen. Systemsicherheit und sicherer Systembetrieb Auch der Cloud-Service selbst muss angemessen abgesichert sein, also so, dass das Sicherheitsniveau dem Schutzbedarf der damit verarbeiteten Informationen entspricht. Im Fokus steht hier oft die Verfügbarkeit des Service, da diese einfach quantifizierbar und daher meist ein entsprechender Wert im SLA vereinbart wird. Der Cloud-Anbieter sollte im Vertrag benennen, welche Maßnahmen er zur Erreichung der gewährleisteten Verfügbarkeit umgesetzt hat. Der Cloud-Anbieter sollte im Vertrag außerdem beschreiben, wie die Systemsicherheit aufrecht erhalten wird. Für Leistungen oberhalb der Betriebssystemebene muss dies mindestens die Themen Patchmanagement und Virenschutz umfassen, wobei beim Patchmanagement vor allem wichtig ist, ob und wie die Patches vor dem Einspielen in den Wirkbetrieb getestet werden. Es muss ein dem Kunden rechtzeitig bekannt gegebener Zeitplan für das Einspielen der Patches und Updates existieren. Inzwischen spielen einige SaaS-Anbieter zum Teil mehrmals täglich neue Patches ein, was in der Regel keine Auswirkung auf die Dienste hat. In diesem Fall, da schwerlich ein Zeitplan vorgelegt werden kann, sollte der CSP die gewählte Vorgehensweise und vor allem die Sicherheitsaspekte dieses Verfahrens erläutern. Im Vertrag sollte außerdem beschrieben werden, wie die verschiedenen Mandanten auf den IT-Systemen des CSP voneinander getrennt werden. Die Nennung weiterer Schutzmaßnahmen wie Systemhärtung und Minimalprinzip können das Vertrauen in den Anbieter steigern. Mandantentrennung Die saubere Trennung von Mandanten ist bei Cloud-Diensten ein zentraler Sicherheitsaspekt, da in der Regel die Ressourcen der IT-Systeme des Anbieters von verschiedenen Kunden gemeinsam genutzt werden. Diese Ressourcen wie CPU, Arbeitsspeicher, Datenspeicher und Netze werden den Cloud-Services meist in virtualisierter Form bereitgestellt, wodurch die Trennung der Mandanten gewährleistet wird. Hier sollte der CSP Auskunft über die verwendeten Mechanismen geben, vor allem bei der Server- und Speichervirtualisierung. Lebenszyklus der Daten Es sollten Vereinbarungen bezüglich der Informationssicherheit im Lebenszyklus der Daten (z. B. Verschlüsselung sensitiver Daten unter vollständiger Schlüsselkontrolle des Kunden) und der sicheren Isolierung von Daten sowie der Datensicherung und Datenrücksicherung getroffen werden. Ein weiteres wichtiges Thema ist, wie die Kundendaten beim Anbieter wieder zuverlässig gelöscht werden. Da bei Cloud-Diensten die Daten typischerweise vielfach redundant gespeichert werden, ist es häufig schwierig, einen Datensatz zu einem Zeitpunkt vollständig und unumkehrbar zu löschen. Der Cloud-Anbieter sollte daher 40 BSI Bonn <kes> 2012 # 5

7 beschreiben, welche Maßnahmen er ergreift, um Daten und Datenträger zuverlässig zu löschen beziehungsweise deren weitere Verwendung zu verhindern. Diese Regelungen müssen auch Datensicherungen und Archivdaten einbeziehen. Absicherung der Kommunikation Die Datenübertragung vom Kunden zum Cloud- Anbieter sollte unbedingt verschlüsselt erfolgen, wenn sensitive Informationen enthalten sein könnten. Im SLA sollten daher Vereinbarungen darüber getroffen werden, wie Datenübertragung verschlüsselt wird und wie die Schlüsselverwaltung beim CSP geregelt ist. Der Cloud-Anbieter sollte die eingesetzten Maßnahmen und Verfahren zur Absicherung der Kommunikation nennen, inklusive der eingesetzten kryptografischen Verfahren und Schlüssellängen. Eine Vereinbarung, dass nach Absprache zwischen CSP und Kunde die verwendeten kryptografischen Verfahren und Schlüssellängen bei Bedarf an den Stand der Technik angepasst werden, sollte nicht fehlen. Identitäts- und Berechtigungsmanagement Damit keine Unbefugten auf die Kundendaten zugreifen können, müssen verschiedene Maßnahmen zum Zugriffsschutz getroffen werden. So sollten nur die Mitarbeiter des Auftraggebers auf die Dienstleistungen des CSP zugreifen können, zu deren Aufgabengebiet dies gehört. Daher muss die Vergabe von Berechtigungen klar zwischen Cloud-Anbieter und Kunde geregelt sein. Auf beiden Seiten sind hierfür Ansprechpartner zu benennen, die Berechtigungen vergeben und ändern können. Aber auch Sperrmöglichkeiten von Benutzeraccounts müssen beschrieben sein. Ebenso ist zu klären, welche Mitarbeiter des CSP unter welchen Rahmenbedingungen auf die Mandantensysteme beim CSP zugreifen können. Auf das Cloud- Angebot sollte kein Nutzer ohne erfolgreiche Authentifizierung zugreifen können der Cloud-Anbieter sollte hierfür angemessene Mechanismen zur Verfügung stellen. Je nach Schutzbedarf der Kunden bieten viele CSPs auch unterschiedlich starke Authentisierungsmechanismen an. Die Art und Stärke der Mechanismen zur Authentifizierung der Cloud-Nutzer, aber auch der Administratoren beim CSP, sollten im SLA beschrieben sein. Im Vertrag sollte zudem vereinbart werden, wer sowohl aufseiten des Anbieters als auch aufseiten des Kunden für die Vergabe von Nutzer-Rechten und die Erstellung, Verwaltung und Löschung von Benutzerkonten verantwortlich ist. Sofern für den betreffenden Dienst relevant, sollte der Cloud-Anbieter außerdem beschreiben, welche Mechanismen zur sicheren Identifizierung der Cloud-Nutzer eingesetzt werden. Monitoring und Incident-Management Die Überwachung und Entstörung der Cloud- Umgebung sollte im SLA geregelt werden. Dies umfasst die Detektion von Störungen und Angriffen auf die Cloud-Umgebung und die Durchführung entsprechender Gegenmaßnahmen (inklusive Eskalationsregelungen) sowie die Vereinbarungen über regelmäßige Auswertungen (z. B. Verfügbarkeit, fehlgeschlagene Authentifizierungsversuche). Im Vertrag sollte vereinbart werden, wie der CSP den Cloud-Nutzer über Sicherheitsvorfälle informiert (Fristen, Kommunikationswege, Ansprechpartner). Andererseits sollte auch festgeschrieben sein, wie der Cloud-Nutzer Störungen beim Cloud-Anbieter melden und eskalieren kann (Fristen, Kommunikationswege, Ansprechpartner). Nicht nur die Erreichbarkeit, sondern auch die Antwortzeiten auf Anfragen und Störungsmeldungen sollten zumindest als Richtwert festgeschrieben sein. Dies sollte auch für die Reaktions- und Behebungszeiten von Störungen getan werden. Notfallmanagement Der Cloud-Anbieter sollte ein Notfallmanagement (möglichst nach einem etablierten Standard wie BSI oder BS 25999) beschreiben und nachweisen, dass regelmäßig angemessene Notfalltests durchgeführt werden. Service-Kennzahlen Ein Schwerpunkt jedes SLA ist, neben der Beschreibung des Service, die Festlegung der vereinbarten Kennzahlen, anhand derer ein Cloud-Kunde die Qualität des Cloud-Service messen kann. Deshalb ist im Vertrag grundsätzlich zu vereinbaren, wie die Qualitätsmerkmale des Cloud-Service überwacht, gemessen und an den Cloud-Kunden berichtet werden. Da die Bezahlung des Service häufig auch von der Erreichung der Servicequalität abhängt, ist dies ein sehr wichtiger Punkt. Qualitätsmerkmale, die je nach Service häufig vereinbart werden, sind: Die Verfügbarkeit des Dienstes ist in vielen Fällen der einzige Messwert, der in SLAs angegeben wird. Hier ist es notwendig, dass die Angaben auf einen Zeitraum (z. B. pro Monat) bezogen sind. Ein Hinweis, ob geplante Servicezeiten inkludiert sind oder nicht, sollte ebenfalls vorhanden sein. Außerdem ist festzuhalten, wo gemessen wird: Zu bevorzugen sind hier Messungen, die möglichst nah beim Cloud-Nutzer liegen, mindestens jedoch am Netzzugangspunkt des Rechenzentrums. BSI Bonn <kes> 2012 # 5 41

8 SLAs für Cloud-Computing Der CSP sollte die Service-Zeiten beziehungsweise Zeiten, an denen der Service wegen geplanter Wartungsarbeiten nicht zur Verfügung steht, angeben einerseits ist das die Dauer pro Zeitraum (z. B. Stunden pro Quartal) und zum anderen das genaue Datum und Uhrzeit. Für weiter in der Zukunft liegende Wartungszeiten sollte im SLA niedergelegt sein, wie lange vorab und auf welchem Kommunikationsweg der Kunde darüber informiert wird. Diese Zeiten gehen meist in die Berechnung der Verfügbarkeit nicht ein. Das Antwortzeitverhalten des Dienstes sollte mit möglichst genauen Angaben zur Art der Messung (siehe Verfügbarkeit) vereinbart werden besonders bei Services, bei denen es auf eine schnelle Antwort ankommt. Wird eine hohe Elastizität gefordert, ist festzulegen, wie viele Benutzer beim Cloud-Kunden gleichzeitigen Zugriff auf den Service haben können und wie und in welchem Zeitraum diese Grenze nach oben und unten verschoben werden kann. Vorlaufzeiten für die Bereitstellung neuer oder erweiterter Dienste sind festzulegen (z. B. um neue Benutzer hinzufügen). Leider lässt sich auch beobachten, dass manche CSPs höhere Verfügbarkeiten angeben, als sie erreichen können. Dies kann sich für den CSP rechnen, da in der Regel keine Strafzahlungen oder Haftungsverpflichtungen seitens des CSP festgelegt sind, wenn die vereinbarten Qualitätsmerkmale nicht erreicht werden. Stattdessen werden nicht erreichte Ziele leider meist nur mit einer Kompensation in Form von unentgeltlicher Nutzung des Service für eine bestimmte Zeit ausgeglichen. Fazit Von Cloud-Service-Providern, die sich um Kunden im unternehmerischen und behördlichen Umfeld bemühen, können die Kunden einiges fordern, was die Vertragsgestaltung angeht. Die Überprüfung einiger SLAs hat gezeigt, dass die oben genannten Forderungen keineswegs unrealistisch sind, sondern dass Anbieter diese Informationen und Zusagen auch gewähren dies hängt natürlich von der Art des angebotenen Cloud-Service ab und ob der CSP ein verhandelbares SLA oder zumindest verschiedene Leistungsstufen anbietet. Insbesondere Provider, die auf institutionelle Kunden setzen, werden das Sicherheitsbewusstsein der Kunden ernst nehmen und qualifizierte sowie nachprüfbare Sicherheitsmaßnahmen ergreifen und diese Informationen dem Kunden auch zugänglich machen. Dabei geht es nicht darum, dass der Cloud-Anbieter alle Sicherheitsmaßnahmen offenlegen muss. Aber die Sicherheitsmaßnahmen müssen zumindest soweit beschrieben sein, dass der Kunde auf dieser Basis eine Risikoanalyse erstellen kann, um das Angebot angemessen prüfen zu können. Literatur [1] BSI, Sicherheitsempfehlungen für Cloud-Computing Anbieter, 2011, Computing/Eckpunktepapier/Eckpunktepapier_node. html [2] NIST Special Publication , Guidelines on Security and Privacy in Public Cloud Computing, 2011, csrc.nist.gov/publications/nistpubs/ /sp pdf [3] Cloud Security Alliance CSA, Security Guidance For Critical Areas Of Focus In Cloud-Computing V3.0, 2011, v3.0.pdf [4] BITKOM, Cloud-Computing Evolution in der Technik, Revolution im Business, Leitfaden, files/documents/bitkom-leitfaden-cloudcomputing_ Web.pdf [5] Cloud-Computing Use Cases A white paper produced by the Cloud-Computing Use Case Discussion Group, Version 4.0, 2010, org/cloud_computing_use_cases_whitepaper-4_0.pdf [6] EuroCloud, Leitfaden Recht, Datenschutz & Compliance, [7] BSI, Protection Level Agreements, 2010, bund.de/shareddocs/downloads/de/bsi/soa/pla_studie.pdf? blob=publicationfile [8] ENISA, Survey and analysis of security parameters in cloud SLAs across the European public sector, 2011, cloud-computing/survey-and-analysis-of-security-parameters-in-cloud-slas-across-the-european-public-sector/ at_download/fullreport [9] BSI, IT-Grundschutz-Kataloge, 2012, de/grundschutz 42 BSI Bonn <kes> 2012 # 5

9 Amtliche Mitteilungen BSI Forum Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC037V0A with specific IC MA-02 Dedicated Software NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC037V0A with specific IC MA-02 Dedicated Software NXP Semiconductors NXP Smart Card Controller Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC024V0A, P5CC020V0A, MA-02 P5SC020V0A and P5CC012V0A each with specific IC Dedicated Software Infineon Infineon Security Controller M7892 B11 Smartcard Controller BSI-DSZ-CC Technologies AG with optional RSA2048/4096 v , MA-01 EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software (firmware) Frequentis Secure Audio Switch (ISAS), Netzwerk- und EAL 4+ Nachrichtentechnik Version 1.0 Kommunikations- BSI-DSZ-CC GmbH produkt Infineon Infineon smartcard IC Smartcard Controller EAL 4+ Technologies AG (Security Controller) M7794 A12 with BSI-DSZ-CC optional RSA2048/4096 v , EC v and Toolbox v IBM Corporation IBM DB2 Version 9.1 for z/os Datenbankserver EAL 4+ Version 1 Release 10 BSI-DSZ-CC Continental Digital Tachograph DTCO 1381, Fahrtenschreiber E3 /hoch Automotive GmbH Release 1.3v BSI-DSZ-ITSEC Bundesdruckerei Bundesdruckerei Document Anwendungssoftware BSI-DSZ-CC GmbH Application Version zum Auslesen von 2011-MA-01 elektronischen Ausweisdokumenten IBM Corporation IBM Tivoli Access Manager for Serveranwendungen EAL 4+ e-business version FP4 with BSI-DSZ-CC IBM Tivoli Federated Identity Manager version FP2 BSI Bonn <kes> 2012 # 5 43

10 Amtliche Mitteilungen Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Utimaco Safeware AG SafeGuard Enterprise Device PC-Sicherheit EAL 4 Encryption, Version 5.60 for Microsoft BSI-DSZ-CC Windows XP Professional and Microsoft Windows 7 NXP Semiconductors NXP Secure Smart Card Controllers Smartcard Controller BSI-DSZ-CC Germany GmbH P5CD016/021/041/051V1A and MA-02 P5Cx081V1A Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID F5 Networks, Inc. F5 Networks BIG-IP Local Traffic Netzwerk- und BSI-DSZ-CC-0856 Manager Release plus the Kommunikationsprodukt APM, ASM, and Data Center Firewall Modules; and BIG-IP Edge Gateway Release SUSE Linux SUSE Linux Enterprise Server 11 Betriebssystem BSI-DSZ-CC-0852 Products GmbH Service Pack 2 for IBM System z (s390x) Red Hat, Inc. Red Hat Enterprise Linux, Betriebssystem BSI-DSZ-CC-0848 Version 6.2, Operating System for IBM System z and IBM System p Dell Inc, USA Dell Compellent Storage Center, Enterprise Manager BSI-DSZ-CC-0847 Version 6.0.3, and Enterprise Manager Version Navayo Technologies AG MVCN Core, Version 2.0 Netzwerk- und BSI-DSZ-CC-0843 Kommunikationsprodukt IBM Corporation Tivoli Security Policy Manager 7.1 Security BSI-DSZ-CC-0839 Policy Management Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. 44 BSI Bonn <kes> 2012 # 5

11 3. Vom BSI erteilte Standortzertifikate Antragsteller Entwicklungs-/Produktionsstandorte ID gültig bis Ausstellungsdatum Trueb AG, Switzerland Trueb AG, Locations Aarau and Unterentfelden BSI-DSZ-CC-S Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ ekom21-kgrz Der Untersuchungsgegenstand umfasst die informationstech Hessen nischen Anlagen und Lösungen der ekom21 KGRZ Hessen an den Standorten Darmstadt, Gießen und Kassel, die zur Erbringung der ASP-Dienstleistungen erforderlich sind. Betrachtet wird die IT-Infrastruktur an den drei Standorten, die zur Erfüllung der Aufgaben dient. Nicht Gegenstand der Untersuchung sind ASP-Dienste, die auslaufenden Charakter haben und deshalb für die Restlaufzeit outgesourct wurden. Als kommunales IT-Dienstleistungsunternehmen in Hessen hat sich die ekom21 KGRZ Hessen auf Komplettlösungen für den öffentlichen Dienst spezialisiert und ist Full-Service-Partner für die öffentliche Verwaltung. BSI-IGZ Kommunale Beim Untersuchungsgegenstand handelt es sich um Server Informations- Hosting, -Housing, Remote Access, sowie Internet und verarbeitung Anbindung, die von der Kommunalen Informationsverarbei- Baden-Franken tung Baden-Franken mit Hauptsitz in Karlsruhe für Kommunen, Stadt und Landkreise und sonstige Körperschaften des öffentlichen Rechts in Baden-Württemberg angeboten wird. Die dafür erforderlichen IT-Systeme werden durch infrastrukturelle, organisatorische, personelle und technische Geschäftsprozesse unterstützt. BSI-IGZ Interoute Der Geltungsbereich des Informationsverbunds umfasst den Germany Service Colocation und das Management Netzwerk welches GmbH zur Erbringung der Services Hosting im Rahmen der Interoute Services bei unternehmenskritischen Anwendungen im Kundenauftrag eingesetzt wird. Das Management Netzwerk wird von der Interoute Germany GmbH an den Standorten Berlin und Kleinmachnow erbracht. Die Gebäudemanagementsysteme werden für den Standort Kleinmachnow von der Interoute Germany GmbH erbracht und am Standort Berlin durch den Outsourcing Partner e-shelter erbracht. Zur Aufgabenerfüllung werden zusätzlich Services im Rahmen eines Outsourcing in Anspruch genommen. Backup, Monitoring von Critical Alerts im Kundenauftrag sowie Installation und Wartung der lokalen Systeme für den Bereich der Administratoren erfolgt durch Interoute Czech s.r.o. Für den Standort Berlin wird das Rechenzentrum eines Housing Dienstleisters genutzt. Nicht zum Informationsverbund gehören die Komponenten, die über das Management Netzwerk hinaus für den Service Hosting genutzt werden sowie die von Kundenseite installierten Systeme im Rahmen eines Housing. Externe Netzwerkverbindungen, Kundenanbindungen, die Bereitstellung von Einwahlzugängen ins Internet sowie der Betrieb der internen Telefonanlagen sind ebenfalls nicht Bestandteil des Informationsverbundes BSI Bonn <kes> 2012 # 5 45

12 Amtliche Mitteilungen Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ Bundes- Ein wesentlicher Geschäftsprozess des BMI ist die Gewinnung ministerium und Verarbeitung von Informationen. Daher wird innerhalb des Innern der komplexen IuK-Landschaft der Prozess Standard-Bürokommunikation betrachtet, d.h. sämtliche hierfür notwendige Basisinfrastruktur des BMI am Standort Alt Moabit. Die Komponenten zur Standard-Bürokommunikation sind darüber hinaus Voraussetzung für zahlreiche Fachverfahren und haben damit insgesamt eine hohe strategische und operative Bedeutung für das BMI. Von der Standard-Bürokommunikation umfasst sind der Standard-Büroclient ebenso wie der Telearbeitsplatz, die Dateiablage, die Benutzerverwaltung, die Groupware-Umgebung sowie die Netzwerkinfrastruktur einschließlich Perimeternetzwerk zum Übergang in das Behördennetzwerk. 5. Vom BSI zertifizierte oder anerkannte Stellen: Firma/Anschrift Bereich Gültig TÜV TRUST IT GmbH, IT-Sicherheitsdienstleister im Geltungsbereich / Unternehmensgruppe IS-Revision und IS-Beratung TÜV Austria, Waltherstraße 49-51, Köln 46 BSI Bonn <kes> 2012 # 5

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Sicherheitsfragen und Probleme im Umfeld des Cloud Computing

Sicherheitsfragen und Probleme im Umfeld des Cloud Computing Sicherheitsfragen und Probleme im Umfeld des Cloud Computing IKT-Forum: Wolkig bis heiter Cloud Computing im Unternehmen Hochschule Ansbach, 10.12.2013 Dr.-Ing. Rainer Ulrich Fraunhofer-Institut für Integrierte

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sicherheit die Herausforderungen beim Outsourcing

Sicherheit die Herausforderungen beim Outsourcing Sicherheit die Herausforderungen beim Outsourcing Rolf Oppliger / 29. August 2012 Übersicht #1: Kontrolle und Verfügbarkeit #2: Vertraulichkeit Schlussfolgerungen und Ausblick 2 1 Outsourcing Auslagerung

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

IT-Sicherheitsaspekte beim Arbeiten mit webbasierten Lösungen

IT-Sicherheitsaspekte beim Arbeiten mit webbasierten Lösungen IT-Sicherheitsaspekte beim Arbeiten mit webbasierten Lösungen IKT-Forum: Cloud Computing Chancen und Risiken Hochschule Ansbach, 01.12.2011 Dr.-Ing. Rainer Ulrich Fraunhofer-Institut für Integrierte Schaltungen

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Am Farrnbach 4a D - 90556 Cadolzburg

Am Farrnbach 4a D - 90556 Cadolzburg Am Farrnbach 4a D - 90556 Cadolzburg phone +49 (0) 91 03 / 7 13 73-0 fax +49 (0) 91 03 / 7 13 73-84 e-mail info@at-on-gmbh.de www.at-on-gmbh.de Über uns: als Anbieter einer Private Cloud : IT Markenhardware

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

SHD Rechenzentrum. Leistungsbeschreibung

SHD Rechenzentrum. Leistungsbeschreibung SHD Rechenzentrum Leistungsbeschreibung Gegenstand des Leistungsbildes Gegenstand dieser Leistungsbeschreibung ist das Leistungsbild der SHD Rechenzentrumslösung. Dieses Leistungsbild beschreibt Umfang

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Die Microsoft Cloud OS-Vision

Die Microsoft Cloud OS-Vision Die Microsoft Cloud OS-Vision 29-01-2014, itnetx/marcel Zehner Seit Oktober 2013 steht Microsoft mit dem neuen Betriebssystem Microsoft Windows Server 2012 R2 am Start. Aus Sicht von vielen Unternehmen

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

acceptit Cloudlösungen

acceptit Cloudlösungen acceptit bietet Ihnen eine bedarfsgerechte Bereitstellung und Nutzung von IT-Leistungen als Cloud- Service. Zum Portfolio von acceptit gehören Cloud-Anwendungen wie Outsourcing-Projekte, Applikationen

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Neue Technologien. Belastung oder Entlastung im Vertrieb?

Neue Technologien. Belastung oder Entlastung im Vertrieb? Neue Technologien Belastung oder Entlastung im Vertrieb? Was sind neue Technologien? Mobile Systeme Smartphones / Tablets / Notebooks Kunden Apps (Makler oder Fintech ) Vertriebs Apps Cloud Systeme (Rechenzentrum)

Mehr

IT as a Service für den KMU Bereich - und was haben Sie davon?

IT as a Service für den KMU Bereich - und was haben Sie davon? 1 IBM und A1 Telekom Austria IT as a Service für den KMU Bereich - und was haben Sie davon? DI Roland Fadrany, Head of ITO, A1 Telekom Austria DI Günter Nachtlberger, Business Development Executive, IBM

Mehr

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 Dienstvereinbarung zur Einführung und Anwendung von helpline zwischen der Universität Oldenburg (Dienststelle) und dem Personalrat der Universität

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet.

Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet. Antwort des Senats auf die Kleine Anfrage der Fraktion der SPD vom 10.2.2015 Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet. Cloud Computing in der öffentlichen Verwaltung Cloud

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Stand 27.09.2010 ENTWURF BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter - ENTWURF Seite 1 von 17 Bundesamt für Sicherheit

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo IT-Grundschutz-Baustein Cloud Management Erwan Smits & Dominic Mylo Projekt-Beteiligte Kooperation BSI und Atos Erwan Smits Atos Dominic Mylo Atos Dr. Clemens Doubrava BSI Alex Didier Essoh BSI Dr. Patrick

Mehr

Interview zum Thema Datenschutz & Datensicherheit in der Cloud

Interview zum Thema Datenschutz & Datensicherheit in der Cloud Interview zum Thema Datenschutz & Datensicherheit in der Cloud Matthias Bongarth Götz Piwinger Zehn Fragen an Matthias Bongarth, Geschäftsführer des Landesbetriebs Daten und Information, Rheinland Pfalz

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen 17. 18. Juni 2014, Berlin 9. 10. Dezember 2014, Düsseldorf Cyber-Sicherheit bei Cloud

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Umsetzung BSI Grundschutz

Umsetzung BSI Grundschutz Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland www.eurocloud.de Netzwerken auf Europäisch. + = 29.04.2010 EuroCloud

Mehr

PROFI MANAGED SERVICES

PROFI MANAGED SERVICES S assuretsm Webcast Darmstadt 27.09.2013 Hans Larcén AGENDA PROFI Managed Services Serviceablauf und SLAs Ihre Vorteile Unser Vorgehensmodell assuretsm 2 MANAGED SERVICE Übernahme des operativen Betriebs

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr