EuroCloud Deutschland_eco e.v Zertifizierung von Cloud-Diensten Anspruch und Wirklichkeit

Transkript

1 Verband der Cloud Computing Wirtschaft am Marktplatz Deutschland EuroCloud Deutschland_eco e.v Zertifizierung von Cloud-Diensten Anspruch und Wirklichkeit Mittwoch, 30. November 2016 ZertiVer Köln Cloud Business im Dialog

2 Agenda Die Herausforderung Auditierung und Zertifikate Zukünftige Konzepte

3 Die Welt der Daten verändert sich Alles was digitalisiert werden kann, wird digitalisiert Exponentieller Anstieg der Datenmengen Alles was automatisiert werden kann, wird automatisiert Alles was vernetzt werden kann, wird vernetzt Zunehmender Einsatz von Algorithmen Starke Datenverteilung und -redundanz

4 Auswirkungen der Digitalisierung

5 Die generelle Herausforderung Schatten-IT Mitarbeiter nutzen bis zu 15 Mal mehr Cloud-Dienste, um kritische Unternehmensdaten zu speichern, als den CIOs bewusst Daten- Souveränität Vermeidung von Lock In Effekten (Kontrollfähigkeit, Datenportabilität, Exit Verfahren) Cloud Assessment Transparenz über den Anbieter, den Service, die Datenhaltung, die Maßnahmen zur Informationssicherheit

6 Die wichtigsten Anforderungen Rechtskonformität Angemessene Vertragsregeln, Gerichtsstand, Transparenz zu den Leistungserbringern Einhaltung Datenschutz Eindeutige Leistungsbeschreibung sowie den technischen und organisatorischen Maßnahmen des Auftragsnehmers Zuverlässigkeit Nachvollziehbare und kontrollierbare Servicezusagen Datensicherheit Angemessene Umsetzung von IT Sicherheitsmaßnahmen und Nachweis der Effektivität

7 Agenda Die Herausforderung Auditierung und Zertifikate Zukünftige Konzepte

8 Was kann ein Audit normalerweise leisten Grundprinzipien ISMS / Datenschutz Sind die prozeduralen Maßnahmen für das Schutzziel angemessen und effektiv Stichprobenprüfung kritischer Anforderungen Vertiefende Betrachtung von Prozessen, beteiligten Personen und Verankerung der Verfahren Rückblickende Betrachtung von Messgrößen Verfügbarkeit, Supportverfahren, Zugangsprotokolle, Generelle Umfeldbetrachtung der IT Systeme Perimeter (Hard/Soft), Prävention gegen typische Angriffsmuster, Monitoring und Alarmfunktionen, Cloud Business im Dialog

9 Was kann es nicht leisten Aussage zu Veränderungen in der Zukunft Bei Cloud Lösungen dynamische Lieferketten des Services Durchgängige Kontrollaussage der Sub Services In den meisten Fällen nur durch generische Zertifikatsaussagen der Subunternehmer Complianceaussage über den Prüfpunkt hinaus Jegliche relevante Änderung in der Leistungskette bedarf einer individuellen Betrachtung und Bewertung durch den Kunden des Services Cloud Business im Dialog

10 3 Maßnahmen Aufklärung CPC (Datenschutz) StarAudit Training (Cloud Check) Prüfung Trusted Cloud (Basisprüfung) Star Audit Zertifizierung (Audit) Überwachung NGCert (Kontinuierliches Monitoring) Cloud Business im Dialog

11

12 Checkliste Anbieterauswahl

13 Listung der Trusted Cloud Services

14

15

16 Agenda Die Herausforderung Auditierung und Zertifikate Zukünftige Konzepte

17 NGCert Next Generation Certification Es ist möglich, kritische Anforderungen eines Zertifikats automatisiert zu prüfen. Eine rein automatisierte Zertifizierung ist (nur) für einzelne Prüfschritte möglich. Mit Hilfe automatisierter Prüfschritte kann die Erfüllung von Anforderungen hinsichtlich Qualität, Datenschutz und Datensicherheit rechtssicher erbracht werden.

18 Initiale Fokussierung Funktionalität (Performance, Sicherheit,...) Rechtssicherheit Vertragliche Rahmenbedingungen Geolokation der Server Flexibilität Integrierbarkeit der Cloud-Lösung Transparenz der Provider Aktivitäten

19 Beispiel Geolokation Verbundene IaaS Ressourcen weltweit Verprobung der Routen mit relevanten Messpunkten Erstellen eines Fingerprints pro Lokation durch T-SNE (t-distributed stochastic neighbor embedding)

20 Clouditor für durchängige Überwachung

21 20. Januar 2017 Workshop

22 Danke für Ihre Aufmerksamkeit! Andreas Weiss Direktor EuroCloud Deutschland_eco e.v Wir gestalten das Internet

23 Backup

24 DSiN Cloud Scout Studie DsiN-Cloud-Scout-Report zeigt Barrieren im Mittelstand Präsentation des Reports mit Günther Oettinger, EU-Kommissar für Digitale Wirtschaft und Gesellschaft Cloud Business im Dialog