White Paper Zertifizierte IT-Sicherheit für Cloud-Services

Größe: px
Ab Seite anzeigen:

Download "White Paper Zertifizierte IT-Sicherheit für Cloud-Services"

Transkript

1 White Paper Zertifizierte IT-Sicherheit für Cloud-Services Prof. Dr. Andreas Gadatsch, Hochschule Bonn-Rhein-Sieg, Sankt Augustin Dr. Henrik Klein, TÜV Trust IT, Köln und Wien Manuel Münchhausen, TÜV Trust IT, Köln und Wien In Zusammenarbeit mit dem Forschungsinstitut für Informationswertsicherung, Sankt Augustin Abstract Cloud-Services gelten als zukunftsträchtiges Konzept zur Bereitstellung von IT-Leistungen und verdrängen zunehmend klassische IT-Outsourcing-Modelle. Allerdings weichen noch viele Unternehmen auf traditionelle Bereitstellungskonzepte (z. B. Betrieb eines eigenen Rechenzentrums, Klassisches Outsourcing) aus. Ein Grund hierfür ist das fehlende Vertrauen in die Cloud. Der Kunde kann in der Regel die möglichen Risiken und das Sicherheitsniveau des Anbieters nicht beurteilen, da er meist auch keine direkte Einsicht in die Abläufe und Strukturen des Dienstleisters hat (Winkelmann, 2010). Die weitere Verbreitung von Cloud-Diensten hängt stark davon ab, ob die Leistungsabnehmer ausreichend Vertrauen in die IT-Dienstleister, die technische Infrastruktur und das gesamte organisatorisch-rechtliche Umfeld (z.b. auch den jeweiligen Rechtsschutz, Anspruchs- und Klagemöglichkeiten) haben. Eine Möglichkeit, diese Situation im Sinne einer Entscheidungshilfe zu verbessern ist es, ein neutrales Zertifikat für IT- Sicherheit von Cloud-Services zu nutzen. Im Rahmen der weiteren Vertrauensbildung in die Cloud ist der unabhängigen Zertifizierung von Cloud-Services eine erhebliche Bedeutung beizumessen. Dieses White-Paper beschreibt typische Kategorien von Cloud-Services, thematisiert die hohe Bedeutung des Vertrauens in die Cloud und geht auf Anforderungen an eine vertrauenswürdige Zertifizierung von Cloud-Dienstleistungen (Trusted Cloud-Services) ein. Abschließend wird ein praxisreifes Lösungsangebot zur Zertifizierung von Cloud-Diensten vorgestellt, welches die zuvor beschriebenen Anforderungen erfüllen kann. Zertifizierte IT-Sicherheit für Cloud-Services Seite 1

2 Inhalt 1. Kategorien von Cloud-Services Vertrauen als Grundlage für die Nutzung von Cloud-Services Cloudability - Sind wir reif für die Cloud? Lösungsansatz Trusted Cloud Services Beispiele aus der Praxis Literatur Kategorien von Cloud-Services Mittlerweile hat sich der IT-Sourcing-Markt stark weiterentwickelt. Zahlreiche IT-Dienstleister stellen in vielfältigen Facetten spezialisierte und standardisierte leistungsfähige Angebote für den breiten Markt bereit. Aktuelle Studien belegen, dass die externe Beschaffung von IT- Leistungen stetig zunimmt (vgl. z.b. Gadatsch et al., 2013). Kaum ein Unternehmen stellt alle IT-Leistungen vollständig intern bereit. Die jüngste Entwicklung ist unter dem Begriff Cloud- Computing bekannt geworden. Hierunter ist die Bereitstellung von IT-Dienstleistungen über Netzwerke, speziell das Internet zu verstehen. Obwohl der Begriff in der Wissenschaft noch nicht abschließend definiert worden ist, lassen sich folgende Attribute zuordnen: Ondemand-Zugriff, Pay-per-use und Elasticy (Biebl, 2012, S. 24). Zugriff ist On demand : Der Kunde (Nutzer) kann weitgehend automatisiert IT- Ressourcen buchen und kündigen. Die Bereitstellung und Kündigung der Services erfolgt im Idealfall ohne direkte Interaktion in sehr kurzer Zeit. Pay-per-use: Die IT-Services werden nach Nutzung abgerechnet. Fixkosten fallen in der Regel keine oder nur in vergleichsweise geringem Umfang an. Übliche Abrechnungsgrößen sind z.b. Datentransfervolumen oder Datenspeichervolumen. Der Nutzer kann die Berechnungsgrundlagen selbst nachvollziehen. Elasticy: Der Nutzer kann auf (scheinbar) unbegrenzte Ressourcen zurückgreifen, die Bereitstellung kann in kürzester Zeit dem Bedarf entsprechend vorgenommen werden. Diese Eigenschaft ist wichtig bei kurzfristig auftretenden Bedarfsspitzen, z.b. wenn große Datenmengen in kurzer Zeit analysiert werden müssen oder das Weihnachtsgeschäft zu einem erhöhten Daten- und Verarbeitungsvolumen führt. Zertifizierte IT-Sicherheit für Cloud-Services Seite 2

3 Damit unterscheidet sich Cloud-Computing deutlich von klassischen Outsourcing-Modellen, die eher statisch geprägt sind. Klassische Outsourcing-Modelle erfordern langwierige Vertragsverhandlungen, haben längere Laufzeiten und sind häufig nur schwer für das Unternehmen umkehrbar, was zu einer vielfach unerwünschten Abhängigkeit vom IT- Dienstleister führt. Cloud-Computing wird üblicherweise auf vier hierarchische Ebenen betrachtet: Human as a Service, Software as a Service, Platform as a Service und Infrastructure as a Service (vgl. Abbildung 1). Abbildung 1: Cloud-Computing Ebenen (Baun et al, 2010, S. 27 ff.) Die unterste Ebene des Infrastructure as a Service stellt den Zugriff auf virtuelle Hardware bereit. Typische Beispiele sind die Services von Amazon zur Bereitstellung virtueller Server ( Elastic Compute Cloud ) oder die Bereitstellung von Massenspeicher durch Google ( Cloud Storage ). Diese Services entbinden den Kunden davon, eigene Rechenzentren mit der notwendigen Sicherheitsinfrastruktur zu betreiben. Die darüber liegende Schicht richtet sich primär an Softwareentwickler. Platform as a Service stellt den Entwicklern vollständige Entwicklungsumgebungen bereit. Hierzu gehört z. B. das Angebot Azure von Microsoft, Zertifizierte IT-Sicherheit für Cloud-Services Seite 3

4 eine Plattform zur Erstellung von Cloud-Anwendungen. Die bekannteste Schicht stellt Software as a Service dar. Hierunter sind Anwendungen zu verstehen, die sich primär an den Endanwender (privat oder geschäftlich) richten. Die Anzahl möglicher Beispiele ist enorm groß. Typische Anwendungen sind -Services (web.de), Suchdienste (google), Office-Lösungen (Microsoft 365) oder vollständige Enterprise-Resource-Planning Systeme (SAP Business ByDesign). Die aus Anwendersicht weniger bekannte oberste Schicht des Human as a Service ist ein Ansatz des Crowd-Sourcing. Sie nutzt Cloud-Lösungen zur Übertragung von Aufgaben an menschliche Ressourcen. Als typisches Beispiel lässt sich der Amazon Service Mechanical Turk anführen, mit dem Mikroaufgaben an eine große Zahl von Crowdworkern verteilt und überwacht werden können. Die Organisation von Cloud-Architekturen wird üblicherweise mit den Kategorien Private Cloud, Community Cloud, Public Cloud und Hybrid Cloud beschrieben (vgl. Abbildung 2). Abbildung 2: Cloud-Organisationsformen (basierend auf Baun, C. et al. 2010, S. 26) Zertifizierte IT-Sicherheit für Cloud-Services Seite 4

5 Bei der Private Cloud gehören Anbieter (z.b. interne IT-Abteilung) und Nutzer (Fachbereiche des Unternehmens) zur gleichen Benutzerorganisation (im Beispiel der Abbildung 2 zur Benutzerorganisation B ). Die Hauptmotivation für dieses Konzept ist der Sicherheitsaspekt: Die Kontrolle der Daten verbleibt vollständig beim Nutzer. Allerdings erfordert eine private Cloud enorm hohe Investitionen in Hardware, Software und Personal. Die Community Cloud ermöglicht es, einheitliche Services für Benutzerorganisationen mit ähnlichen Anforderungen hinsichtlich Sicherheit, Compliance oder Funktionalität anzubieten. Der Betrieb kann dabei durch einen oder mehrere Benutzerorganisationen, eine externe Organisation oder eine beliebige Kombination daraus erfolgen (vgl. Mell und Grance, 2011, S. 3). Insbesondere für stärker regulierte Branchen wie Finanzdienstleister oder das Gesundheitswesen kann eine solche Lösung von Interesse sein, aber auch für die öffentliche Hand. Die Public Cloud ist der Standardfall für Cloud-Computing. Anbieter und Nutzer gehören zu unterschiedlichen Benutzerorganisationen. Der Zugang zur Cloud erfolgt meist durch ein internetbasiertes Portal. Die Nutzung setzt einen Vertrag zwischen den Parteien voraus, der häufig unkompliziert online geschlossen wird. Unter Hybrid Clouds werden beliebige Mischformen verstanden. Ein typisches Anwendungsszenario ist die Bereitstellung von Ressourcen für Lastspitzen durch einen Anbieter aus der externen Public Cloud. Im Business Intelligence (BI) werden beispielsweise Inhalte für das Reporting aus internen ( Private Cloud ) und externen Quellen ( Public Cloud ) gemischt und zumindest teilweise externen Benutzern zugänglich gemacht (vgl. Seufert und Bernhardt, 2010, S. 9). 2. Vertrauen als Grundlage für die Nutzung von Cloud-Services Die externe Beschaffung von IT-Leistungen ( IT-Outsourcing oder auch IT-Sourcing ) ist beinahe so alt, wie die Informationsverarbeitung selbst. Bereits in der Frühphase der elektronischen Datenverarbeitung (EDV) wurden einzelne Spezialanwendungen durch externe Anbieter bereitgestellt. Zu den Pionieren des IT-Outsourcings gehören in Deutschland beispielsweise die Steuerberater, welche die Dienstleistungen der deutschen DATEV zur Unterstützung der elektronischen Buchhaltung schon seit 1966 nutzen. Obwohl Zertifizierte IT-Sicherheit für Cloud-Services Seite 5

6 die Vertraulichkeit der Mandantendaten gerade in dieser Branche ein existenzieller Faktor ist, überwiegen die Vorteile des IT-Outsourcing-Modells offenbar deutlich. Ein wesentlicher Grund hierfür ist sich das Vertrauen in den externen Anbieter und seine Leistungen! Die Berichterstattung in den allgemeinen Medien (z.b. Reißmann, 2013) hat zu einer breiten Verunsicherung von Entscheidern geführt, wenn es um die Frage nach dem Vertrauen in Cloud-Services geht. Dennoch dominierten organisatorische oder technische Aspekte in Veröffentlichungen zum Cloud-Computing. Die Beschaffung von IT-Leistungen war früher eher produktorientiert (Auslagerung von Hardware, Software) während Sie sich durch Cloud- Computing zu einer Beschaffung von Dienstleistungen gewandelt hat, in der das Vertrauen in den Anbieter eine deutlich größere Rolle einnimmt. In Abbildung 3 ist dieser Wandel als Wertschöpfungskette des Cloud Computing schematisch dargestellt. Der Betreiber eines eigenen Rechenzentrums ist für den Gesamtkomplex verantwortlich. Betrachtet man die Wertschöpfungskette weiter nach rechts,, dann erhöht sich die Abhängigkeit vom externen Anbieter mit jedem weiteren fremdbeschafften Element. Abbildung 3: Wertschöpfungskette Cloud-Computing (in Anlehnung an: Vossen, G.; Haselmann, T.; Hoeren, T.: Cloud-Computing, Heidelberg, 2012, S. 8, modifiziert) Eine neutrale Zertifizierung der entlang der Cloud-Wertschöpfungskette erbrachten Leistungen wie dem Betrieb der Infrastruktur, der Bereitstellung von Entwicklungsarbeiten und der Anwendungslogik sowie der Datenhaltung erhöht das Vertrauenspotenzial für den möglichen Anbieter. Mögliche Elemente der Vertrauensbildung betreffen den Anbieter als Zertifizierte IT-Sicherheit für Cloud-Services Seite 6

7 Unternehmen und die jeweiligen Cloud-Services. Hier lassen sich verschiedene Aspekte identifizieren, die im Rahmen der Zertifizierung abgeprüft werden können. Aspekte des Anbieters sind beispielsweise die fachliche Kompetenz (fähiges Personal, angemessene Ausstattung, Erfahrung im Betrieb)und Redlichkeit (z. B. Einhaltung von Rechtsvorschriften und Vereinbarungen). Aspekte des Cloud-Services betrachten die Qualität des Services (Eignung und funktionale Abdeckung der Anforderungen) und die Zuverlässigkeit der Leistungserbringung (Stabilität, Datenschutz). 3. Cloudability - Sind wir reif für die Cloud? Nicht jedes Unternehmen ist reif für die Cloud ( Cloudability ). Bevor ein Unternehmen ein Cloud-Projekt startet, sind eine Reihe von Fragen zu klären und abhängig vom Ergebnis vorbereitende Maßnahmen zu treffen (vgl. Abbildung 4). Abbildung 4: Anforderungen an die Cloudability von Unternehmen 3.1 Funktionale Anforderungen Cloud-Computing ist nur sinnvoll, wenn der funktionale Anwendungsbereich (Aufgaben, Prozesse, Beteiligte, Lokalitäten, u.a.) der Cloud-Services abgegrenzt worden ist. Andernfalls drohen später riskante Lücken im Ablauf oder überflüssige Doppelarbeiten. Für den Erfolg des Cloud-Projektes ist es von Bedeutung, dass die relevanten Stakeholder und deren funktionale Anforderungen ermittelt und berücksichtigt werden. Dies sind insbesondere die verschiedenen Nutzer(gruppen), Kunden, IT-Support, IT-Betrieb, Gesetzgeber und ggf. weitere Beteiligte. Zusätzliche Zertifizierte IT-Sicherheit für Cloud-Services Seite 7

8 Aspekte betreffen die Realisierbarkeit der Anforderungen und evtl. verfügbare Test-, Prüf- und Abnahmekriterien für den Service. 3.2 Wirtschaftlichkeit Neben den fachlichen, organisatorischen und technischen Aspekten entscheidet die Wirtschaftlichkeit einer Cloud-Anwendung über deren Realisierung. Für den Anwender sollte die finanzielle Motivation klar umrissen sein. Er muss klären, ob es monetäre Ziele und Einsparvorgaben gibt, die zu verwirklichen sind. Weiterhin ist zu empfehlen, vor dem Cloud-Projekt eine Wirtschaftlichkeitsberechnung mittels geeigneter Verfahren (Kapitalwertmethode, Nutzwertanalyse, Return on Investment) durchzuführen. 3.3 Sicherheit Die Sicherheit von Daten in der Cloud wird aus Anwendersicht häufig als KO- Kriterium für die Nutzung von Cloud-Diensten angesehen. Von besonderer Bedeutung ist daher die Frage, ob relevante Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit bzgl. des auszulagernden Cloud-Services bereits ermittelt worden sind. Ebenso sollte geklärt sein, wie die Löschung von Daten nach Beendigung der Cloud- Services erfolgen soll und ob spezifische Anforderungen für den Fall der Insolvenz des Dienstleisters bestehen. Dies betrifft etwa die temporäre Sicherstellung des Betriebs sowie die Bereitstellung der Daten im Falle einer Insolvenz des Cloud Service Anbieters durch eine Alternative. Ein wichtiger Punkt ist die Einbindung weiterer Dienstleister, insbesondere wenn diese im Ausland sitzen. Grundsätzlich muss festgelegt werden, ob bei der Darstellung eines Cloud-Services die Beteiligung von weiteren, dritten Dienstleistern Zertifizierte IT-Sicherheit für Cloud-Services Seite 8

9 bzw. Subunternehmern gestattet ist. Dies betrifft sowohl Dienstleister, die bereits im Regelbetrieb Teile des Services darstellen, als auch Dienstleister die auf Abruf zum Abfangen von Überkapazitäten beteiligt werden. Es muss auch geklärt werden, ob der Cloud-Provider insbesondere bei der Wahl der Abruf-Dienstleister freie Wahl hat und welche Verpflichtungen seitens des Anwenders an den Dienstleister weiterzugeben sind. Der Speicherort für den Cloud-Service ist ein häufig diskutierter Aspekt und von besonderer Bedeutung für zahlreiche Kunden. Daher ist zu klären, ob konkrete Anforderungen an den Speicherort für den Cloud-Service bestehen. Insbesondere ist zu festzuhalten, ob der Speicherort gewechselt oder erweitert werden darf und ob ggf. hierzu eine Informationspflicht besteht. Zulässige Speicherorte sollten vertraglich festgelegt werden. 3.4 Nichtfunktionale Anforderungen Hierunter fallen Anforderungen, die die Qualität und Effizienz einer Cloud-Lösung beeinflussen, ohne dass sie direkt fachliche Aspekte betreffen. Hierzu gehören Anforderungen bezüglich der Skalierbarkeit, der Performance, notwendige kritische Verfügbarkeitsfenster sowie Anforderungen an Back-Up und Restore der Daten des Cloud-Services. Im Rahmen der Frage der Skalierbarkeit eines Cloud-Services sind insbesondere Vereinbarungen, wie schnell zusätzliche Kapazitäten oder Performance auf eine unangekündigte Anforderung für einen Cloud-Service bereitgestellt werden können und welche Abrechnungskonditionen dafür zugrunde gelegt werden von Bedeutung. Verfügbarkeitsfenster können etwa für einen Monats- oder Jahresabschluss wichtig sein. Erhöhte Verfügbarkeitsanforderungen für diese kritischen Zeitfenster sollten explizit vereinbart werden. Zertifizierte IT-Sicherheit für Cloud-Services Seite 9

10 Fragen des Back-Up und Restore von Daten entfallen nicht durch ein Cloud-Projekt. Daher sind Back-Up-Frequenzen (z.b. stündlich, täglich oder wöchentlich), Restorezeiten und Aufbewahrungsfristen festzulegen. 3.5 IT-Betrieb Ein reibungsloser Betrieb von Anfang an ist eine wichtige Voraussetzung für die dauerhafte Akzeptanz von Cloud-Anwendungen. Der Anwender muss klären, ob er spezifische zugesicherte Eigenschaften im Rahmen der Leistungserbringung benötigt und ob spezielle Anforderungen an den Support, das Änderungs- Management, die Portabilität und Interoperabilität der Cloud-Services bestehen. Weiterhin sind Toleranzen für mögliche Desaster im Betrieb des Cloud-Services festzulegen. Mögliche Beispiele sind folgende zu regelnde Detailfragen zum Incident Management: Wann soll ein Service-Desk zur Verfügung stehen? Welche Kommunikationskanäle sollen genutzt werden? Wer darf den Service-Desk nutzen? Wie ist die Eskalations-Hierarchie gestaltet? 3.6 Compliance Zunehmende nationale und internationale Vorschriften zwingen die Unternehmen zu verstärkten Bemühungen bei der Einhaltung von Gesetzen und Regelungen (Compliance). Die Verantwortung für eine gesetzeskonforme Abwicklung kann nicht an den Cloud-Dienstleiter ausgelagert werden, sie verbleibt letztlich beim Auftraggeber. Daher müssen alle relevanten Verpflichtungen im Zusammenhang mit dem auszulagernden Service identifiziert werden (z. B. Konzernpolicies, Gesetze, Zertifizierte IT-Sicherheit für Cloud-Services Seite 10

11 Standards, Verträge mit eigenen Kunden). Besondere Anforderungen können sich aus Spezialvorschriften ergeben: Finanzdienstleistungssektor (KWG, GoBS), Telekommunikationsbereich (TKG), Berufsgeheimnisträger, wie z.b. Ärzte und Anwälte (StGB), Anwendung steuerrelevanter Daten (AO) Geschäfts- und Handelsbriefe (HGB). Aus den Regelungen zur Auftragsdatenverarbeitung des 11 BDSG ergeben sich ferner weitreichende Verpflichtungen für den Auftraggeber. Es muss unter anderem geklärt werden, ob eine vertragliche Vereinbarung zur Verarbeitung personenbezogener Daten abgeschlossen werden muss und wie die Einhaltung von Kundenpflichten berücksichtigt werden sollen. Weitere Aspekte betreffen den Ort und die maximale bzw. minimale Dauer der Datenhaltung sowie spezifische Lizenzanforderungen. Die für den Cloud-Service-Nehmer relevanten Softwarelizenzbestimmungen können sich beispielsweise beim Übergang in die Cloud durch die Änderung der Software zugrunde liegenden System-Plattformen ebenfalls ändern. Aus wettbewerbsrechtlicher Sicht ist letztlich noch klären, ob es notwendig ist, Auskunft über weitere Kunden des Cloud Providers zu erhalten. 4. Lösungsansatz Trusted Cloud Services 4.1 Grundsätzliche Anforderungen an Zertifizierungsverfahren Die TÜV TRUST IT hat das Prüfverfahren Trusted Cloud als Standard für Cloud Services entwickelt. Dieses gibt einerseits Cloud-Anbietern die Möglichkeit, ihren Sicherheits- und Qualitätsstandard über eine Zertifizierung gegenüber Kunden transparent zu machen. Andererseits ermöglicht es Cloud-Anwendern, nach Durchführung des oben betrachteten Cloudability-Checks die in Frage kommenden Cloud-Anbieter prüfen zu lassen. Das Verfahren kann von internen Cloud-Anbietern (z. B. IT-Dienstleister im Rahmen eines Zertifizierte IT-Sicherheit für Cloud-Services Seite 11

12 Konzernverbundes) oder externen Anbietern verwendet werden, die ihre Cloud-Services am freien Markt anbieten. Die Bewertungsgrundlage beruht auf relevanten Normen, Standards und Best Practices (z. B. COBIT, ITIL, ISO 27001, IDW PS) sowie anwendbaren Gesetzen (BDSG, TKG, u.a.). Die Prüfgrundlagen werden von TÜV TRUST IT regelmäßig aktualisiert, entsprechend dem aktuellen Stand von Wissenschaft und Praxis. Der Trusted Cloud Standard bietet als Basis für eine nachvollziehbare, unabhängige und anerkannte Zertifizierung: Ein einheitliches auf Normen und Gesetzen basierendes Rahmenwerk Unabhängige Kontrollmechanismen für Anbieter und Kunden Umfassende Berücksichtigung von Anforderungen aus relevanten Gesetzen, Normen und Bestimmungen Referenzierbarkeit auf alle Anforderungen Im Rahmen eines Audits wird die Erfüllung der Anforderungen des Trusted Cloud Prüfkatalogs anhand von Interviews und Dokumentenprüfungen abgefragt. Der anschließende Prüfbericht enthält Empfehlungen der Auditoren, ob und unter welchen Voraussetzungen das Zertifikat Trusted Cloud Service durch die Prüfstelle der TÜV TRUST IT erteilt werden kann. Auf eine erstmalige Erteilung des Zertifikats folgen bis zu zwei Überwachungsaudits, um die weitere Erfüllung der Anforderungen zu überprüfen. Weiterhin ist vorgesehen, erhebliche Änderungen bei der Bereitstellung des Service oder der Anforderungen durch den Anwender gesondert zu verifizieren, um eine fortdauernde Erfüllung der Anforderungen sicher zu stellen. Die TÜV TRUST IT übernimmt im Rahmen dieses Zertifizierungsprozesses die Rolle als vertrauenswürdige, unabhängige und neutrale Zertifizierungsstelle mit entsprechend für diese Aufgabe qualifiziertem Personal. 4.2 Vorgehensweise Zertifizierung Trusted Cloud Service Konzeption Der Ablauf des Zertifizierungsprozesses verläuft in mehreren Phasen (vgl. Abbildung 5). Im ersten Schritt Scope Definition erfolgt die Festlegung des Prüfumfanges. Hierbei sind Zertifizierte IT-Sicherheit für Cloud-Services Seite 12

13 insbesondere die gewünschten Cloud Services sowie der angestrebte TRUST-Level (siehe Abschnitt 4.2.2) festzulegen. Anschließend erfolgt die Dokumentenprüfung. Die zu prüfenden Dokumente ergeben sich aus dem Prüfumfang und den gewünschten TRUST- Level. Hiernach erfolgt ein Audit mit zwei Blickrichtungen. Einerseits erfolgt ein Audit der Prozesse und der Organisation des Unternehmens. Andererseits erfolgt im Rahmen des Technischen Audits eine Analyse der vorhandenen Infrastrukturen und technischen Einrichtungen. Hier können auch von dritter Seite durchgeführte Pentests einbezogen werden. Anschließend werden die Ergebnisse der Prüfung und die vorgeschlagenen Maßnahmen in einem Ergebnisbericht festgehalten. Ggf. werden auch einzuhaltende Auflagen vermerkt. Bei positivem Verlauf wird die Zertifizierung für 3 Jahre verliehen. Abbildung 5: Zertifizierungsprozess Trusted Cloud Service Zertifizierte IT-Sicherheit für Cloud-Services Seite 13

14 4.2.2 Trust-Level Eine Zertifizierung erfolgt üblicherweise auf der Grundlage eines hierarchischen Konzeptes, bei dem verschiedene Qualitätsstufen (Level) erreicht werden können. Die angestrebten Level hängen von der Art der jeweils in Auftrag gegebenen Cloud-Anwendung ab. Der TRUSTED-Cloud-Service bietet die Möglichkeit vier aufeinander aufbauende Sicherheitslevel zu zertifizieren (vgl. Abbildung 6). Die Level dienen zur Darstellung der Servicequalität durch den Anbieter und können vom Anwender zur Orientierung beim Einkauf von IT-Dienstleistungen genutzt werden. Abbildung 6: TRUST-Level 1-4 für Cloud-Services Zertifizierte IT-Sicherheit für Cloud-Services Seite 14

15 TRUST-Level 1 Der TRUST-Level 1 ist der Basis-Level innerhalb der Trusted Cloud Service Zertifizierung. Dieser Level bietet Grundlagen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung unkritischer Daten. TRUST-Level 2 Der Level 2 bietet weiterreichende Maßnahmen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung von Daten, die grundsätzlichen Vertraulichkeitsanforderungen genügen müssen. Ein angemessenes Datenschutzniveau ist hier essentiell. Für die erforderlichen Maßnahmen müssen prozessuale Nachweise erbracht und belegt werden. TRUST-Level 3 Der Level 3 eignet sich für die Speicherung und Verarbeitung von Daten, die erweiterten Vertraulichkeitsanforderungen genügen müssen. Aus diesem Grund darf die Datenhaltung in der Cloud nur an Standorten erfolgen, die sich innerhalb der EU befinden. Für die erforderlichen Maßnahmen müssen Nachweise erbracht werden, dass die Prozesse bereits mehrfach durchlaufen wurden. TRUST-Level 4 Der Level 4 bietet die weitreichendsten Maßnahmen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung besonders schützenswerter Daten, die höchsten Anforderungen an Vertraulichkeit und Quality of Service genügen müssen. Die Prozesse müssen einer ständigen Optimierung und Aktualisierung unterliegen. Die Datenhaltung erfolgt ausschließlich im Inland Prüfleitfaden Der Prüfleitfaden Trusted Cloud Services stellt das operative Steuerungsinstrument für den Auditor der TÜV TRUST IT dar. Er umfasst derzeit mehr als 220 einzelne Prüfpunkte, die detailliert beschrieben sind und permanent an den aktuellen Wissenstand und die Projekterfahrungen angepasst werden. Der Aufbau des Prüfleitfadens ist in Abbildung 7 schematisch dargestellt. Zertifizierte IT-Sicherheit für Cloud-Services Seite 15

16 Abbildung 7: Prüfleitfaden (Schematischer Aufbau) Die Prüfpunkte sind nach Themen und Themenclustern gegliedert. Jedem Thema können mehrere Prüfpunkte (Maßnahmen) zugeordnet werden, die detailliert beschrieben und attribuiert werden. So wird beispielsweise festgehalten, ob es sich um einen optionalen oder obligatorischen Prüfpunkt handelt, welche Sicht (Kunde, Provider) relevant ist und auf welchen normativen oder gesetzlichen Grundlagen (Cobit, ITIL, BDSG etc.) die Anforderung beruht. Somit steht eine nachvollziehbare und transparente Prüfbasis zur Verfügung. Die Ergebnisse können in einer Datenbank gespeichert werden und für Vergleiche (Benchmarking) herangezogen werden. Die Prüfungsergebnisse führen soweit dies möglich ist mit der Einstufung in Level- Ausprägungen, um die unterschiedlichen TRUST-Level 1-4 zu ermitteln. Ein Beispiel hierzu ist in Abbildung 8 angegeben. Zertifizierte IT-Sicherheit für Cloud-Services Seite 16

17 Abbildung 8: Prüfleitfaden (Auszug Levelausprägung) 5. Beispiele aus der Praxis 5.1 Trusted Cloud Service Zertifizierung von Host Europe Die Host Europe GmbH mit Sitz in Köln bietet eine Vielzahl von Hosting Services an, darunter auch verschiedene cloudbasierte Lösungen. Um gegenüber den Kunden die Gewährleistung von Datensicherheit, Datenschutz und funktionaler Anforderungen zu belegen, unterzog sich das Unternehmen einem Zertifizierungsaudit nach dem Trusted Cloud Prüfverfahren. Dabei wurden, basierend auf dem Prüfkatalog der TÜV TRUST IT für Cloud Services, die cloudbasierten Dienstleistungen von Host Europe auf Infrastrukturebene (IaaS) untersucht. Die Prüfung umfasste die Themenkomplexe des Prüfkatalogs Trusted Cloud: organisatorische Sicherheit (u.a. Risikomanagement, Schulungsverfahren, Schwachstellenmanagement) Cloud Betrieb (u.a. Service Level Management, Kapazitätsmanagement, Incident Management, Backup) Compliance (u.a. Datenschutz, vertragliche Vorgaben, Auditregelungen) technische Sicherheit (u.a. Netzwerke, Firewalls und Virenschutz, Verschlüsselung) Zertifizierte IT-Sicherheit für Cloud-Services Seite 17

18 Durch Dokumentationsanalysen, technische Analysen der Infrastruktur und ein mehrtägiges interviewbasiertes Audit vor Ort mit Besichtigung der Räumlichkeiten, einschließlich der Rechenzentren, wurde die Erfüllung der Anforderungen des Trusted Cloud Prüfkatalogs festgestellt. Im Sinne der Anforderungen der Zertifizierung war besonders hervorzuheben, dass Kundendaten ausschließlich in unternehmenseigenen deutschen Rechenzentren gespeichert und verarbeitet werden. Außerdem wurde beispielsweise die strikte Trennung der Informationen einzelner Kunden belegt, sowie die bedarfsabhängige Skalierbarkeit von Services zur flexiblen Adressierung individueller und kurzfristiger Anforderungen an die Leistungsfähigkeit des Service. Ende 2012 wurde die weitere Erfüllung der Anforderungen im Rahmen des jährlichen Überwachungsaudit festgestellt. Dabei musste ein weiteres Rechenzentrum in die Prüfung einbezogen werden, da die Host Europe dieses als zusätzlichen Backup-Standort aufgebaut hatte. Durch die erweiterte Prüfung wird sichergestellt, dass die Anforderungen des Trusted Cloud Zertifizierungsverfahrens weiterhin erfüllt sind. Im Ergebnis war auch nach Ablauf des ersten Zertifizierungsjahres und der Erweiterung des Scope eine dem Standard entsprechende Umsetzung festzustellen. 5.2 Cloudability Check für ein mittelständisches Logistikunternehmen Bei einem mittelständischen Logistikunternehmen mit ca. 800 Mitarbeitern wurde erwogen, das CRM System mittels eines cloudbasierten Service auszulagern. Zu diesem Zweck unterstützte die TÜV TRUST IT das Unternehmen bei der Prüfung, ob die Auslagerung in die Cloud hinsichtlich funktionaler Anforderungen, Wirtschaftlichkeit, Sicherheit, nichtfunktionaler Anforderungen, IT-Betrieb, und Compliance umsetzbar ist. Unter funktionalen und wirtschaftlichen Gesichtspunkten erfolgte eine erste Selektion unter verschiedenen Cloud Service Providern, wovon drei Anbieter in die engere Auswahl kamen, die grundsätzlich in der Lage wären in die Leistungsfähigkeit des CRM Systems nach Migration in die Cloud gemäß der wirtschaftlichen Erwägungen des Auftraggebers zu gewährleisten. Anhand der übrigen Kriterien des Cloudability Check wurde anschließend verifiziert, inwiefern die Erwägungen der übrigen Themenkomplexe der Cloudreife besondere Herausforderungen stellen, die vom jeweiligen Provider umzusetzen wären: Zertifizierte IT-Sicherheit für Cloud-Services Seite 18

19 Sicherheit: u.a. Ermittlung relevanter Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit bezüglich des auszulagernden Services; Rückgabe der Daten nach Beendigung des Cloud Service Nicht-funktionale Anforderungen: u.a. Bedarf der Skalierbarkeit des Cloud Service; Anforderungen an kritische Verfügbarkeitsfenster und Performance. IT-Betrieb: u.a. Anforderungen an Desaster Toleranz; Anforderungen an den Supportbedarf zum Cloudservice; Portabilität und Interoperabilität des Cloud Service Compliance: u.a. Erforderlichkeit vertraglicher Vereinbarung bei Personenbezug; Anforderungen an die Auditierbarkeit des Service; spezifische Lizenzanforderungen. Für die Themenfelder nicht-funktionale Anforderungen und Sicherheit konnte anhand der Servicebeschreibungen der jeweiligen Provider verifiziert werden, dass die Anforderungen des Unternehmens durch die drei verbliebenen Anbieter mindestens erfüllt werden können. Daneben ergab sich, dass seitens des Cloudinteressenten spezielle Anforderungen hinsichtlich der zukünftigen Portabilität des Services, der damit gegebenenfalls einhergehenden Rückgabe von Daten und der Interoperabilität mit weiteren Systemen bestehen. Hintergrund war der Wunsch des Unternehmens, für zukünftige strategische Entscheidungen, für Wechsel der Eigentumsverhältnisse bei dem gewählten Cloud Provider und für die geplante Anbindung unter anderem von Archivierungssystemen die entsprechende Planungssicherheit zu haben. Nur einer der Provider, die in der engeren Auswahl waren, konnte alle diese Anforderungen aktuell und zukünftig erfüllen. Momentan ist das weitere Verfahren noch in der Schwebe, da innerhalb des Unternehmens noch im Rahmen der Wirtschaftlichkeitsprüfung des Cloudabilitychecks geprüft wird, welcher Aufwand für die Migration des Service zu erwarten ist. Sobald dies bekannt ist, wird das weitere Vorgehen für die Auslagerung des CRM Systems abzustimmen sein. Zertifizierte IT-Sicherheit für Cloud-Services Seite 19

20 6. Literatur Baun, C.; Kunze, M.; Nimis, J.; Tai, S.: Cloud-Computing, Berlin et al. 2010, S. 27 ff. Biebl, J.: Wofür steht Cloud-Computing eigentlich?, in: Wirtschaftsinformatik und Management, 01/2012, S. 24 Gadatsch, A.: IT-Controlling, Praxiswissen für IT-Controller und Chief Information Officer, ViewegTeubner, Wiesbaden 2012a Gadatsch, A: Big Data: Begriff und betriebswirtschaftliche Auswirkungen, in: WISU, Das Wirtschaftsstudium, Heft 12, 2012b, S Gadatsch, A.; Juszczak, J.; Kütz, M.: Ergebnisse der 4. Umfrage zum Stand des IT- Controlling im deutschsprachigen Raum (2013), in: Schriftenreihe des Fachbereiches Wirtschaft Sankt Augustin, Hochschule Bonn-Rhein-Sieg, Sankt Augustin 2013 Mell, P.; Grance, T.: The NIST Definition of Cloud Computing, NIST Special Publication , 2011 Picot, A.: Podiumsdiskussion Wann vertrauen Sie Ihrem IT-Versorger? Cloud und Trust in der Kontroverse von Anbietern und Konsumenten, Springer, Berlin et. al., 2011, DOI: / _10 Seufert, A.; Bernhardt, N.: Business Intelligence und Cloud-Computing, HMD275, 47. Jahrgang, Oktober 2010., S. 39 Reißmann, Ole: Cloud Computing EU-Studie warnt vor Überwachung durch die USA, in: Spiegel online; , Online im Internet: (Abruf am ) Vossen, G.: Cloud-Computing für Unternehmen, dpunkt, Heidelberg, 2012 Winkelmann, A.: Cloud Computing: Sicherheit und Datenschutz, Universität Potsdam, Institut für Informatik, Arbeitspapier für die Alcatel-Lucent Stiftung, , Online im Internet: (Abruf ) Zertifizierte IT-Sicherheit für Cloud-Services Seite 20

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING B M T AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING 4. Fachtagung Dynamisierung des Mittelstands durch IT Schloss Vollrads 7. September 2010 Büsing Müffelmann & Theye Rechtsanwalt

Mehr

Pressekonferenz Cloud Monitor 2015

Pressekonferenz Cloud Monitor 2015 Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

yourcloud Mobile Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung

yourcloud Mobile Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung yourcloud Mobile PC Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung perdata IT nach Maß: individuell beraten vorausschauend planen zukunftssicher

Mehr

Marktstudie 2011: Cloud Computing im Business Einsatz. Durchgeführt von der AppSphere AG in Kooperation mit BT Germany

Marktstudie 2011: Cloud Computing im Business Einsatz. Durchgeführt von der AppSphere AG in Kooperation mit BT Germany Marktstudie 2011: Cloud Computing im Business Einsatz Durchgeführt von der AppSphere AG in Kooperation mit BT Germany Agenda Informationen zu den Studienteilnehmern Akzeptanz, Einsatz und Erfahrungen

Mehr

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre

Mehr

Cloud-Monitor 2016. Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz. www.kpmg.de/cloud

Cloud-Monitor 2016. Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz. www.kpmg.de/cloud Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen Cloud Computing D o m i n i c R e u t e r 19.07.2011 1 Seminar: Dozent: Softwarearchitekturen Benedikt Meurer GLIEDERUNG Grundlagen Servervirtualisierung Netzwerkvirtualisierung Storagevirtualisierung

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Cloud Computing Chancen für KMU

Cloud Computing Chancen für KMU Cloud Computing Chancen für KMU Sascha A. Peters Cluster Manager IT FOR WORK 31. Oktober 2012 Cloud Computing Worüber reden alle? Fragen zum Thema Cloud Was ist Cloud Computing und wofür wird es genutzt?

Mehr

2010 FUJITSU TECHNOLOGY SOLUTIONS

2010 FUJITSU TECHNOLOGY SOLUTIONS ist eigentlich Infrastructure-as-a-Service? 1 ist eigentlich Infrastructure-as-a- Service? Infrastructure-as-a-Service definiert sich über 5 Parameter: 1. Infrastruktur: Neben anderen Cloudangeboten wie

Mehr

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. www.schleupen.de Schleupen AG 2 Herausforderungen des Betriebs der IT-Systeme IT-Systeme werden aufgrund technischer und gesetzlicher

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Über den Wolken. ist die Freiheit nicht grenzenlos: Eckpfeiler aktueller Rechtsfragen zur Cloud in der Verwaltung Klaus M. Brisch LL.M.

Mehr

Cloud-Technologie. Chancen für Messdienstunternehmen. www.qundis.com. Stefan Hammermüller, Bereichsleiter Produktmanagement der QUNDIS GmbH

Cloud-Technologie. Chancen für Messdienstunternehmen. www.qundis.com. Stefan Hammermüller, Bereichsleiter Produktmanagement der QUNDIS GmbH Cloud-Technologie Chancen für Messdienstunternehmen Agenda Motivation und Überblick Chancen für Messdienstunternehmen Datenschutzaspekte Stefan Hammermüller (Dipl. Inf.) Bereichsleiter Produktmanagement

Mehr

INFORMATIK-BESCHAFFUNG

INFORMATIK-BESCHAFFUNG Leistungsübersicht Von Anbietern unabhängige Entscheidungsgrundlagen Optimale Evaluationen und langfristige Investitionen Minimierte technische und finanzielle Risiken Effiziente und zielgerichtete Beschaffungen

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Prof. Dr. Britta Böckmann Ausgangssituation Telemedizin noch kein Bestandteil

Mehr

Trusted Cloud im Gesundheitswesen mit TRESOR. Torsten Frank Geschäftsführer medisite Systemhaus GmbH

Trusted Cloud im Gesundheitswesen mit TRESOR. Torsten Frank Geschäftsführer medisite Systemhaus GmbH Trusted Cloud im Gesundheitswesen mit TRESOR Torsten Frank Geschäftsführer medisite Systemhaus GmbH Telemed 2013-18. Nationales Forum für Gesundheitstelematik und Telemedizin Zur Person Torsten Frank Geschäftsführer

Mehr

Sichere Cloud-Entscheidungen

Sichere Cloud-Entscheidungen Leitfaden Sichere Cloud-Entscheidungen Inhalt Vorbemerkungen 3 Typische Schwächen in Cloud-Vereinbarungen 4 Notwendigkeit eines Cloudability-Checks 6 15 beispielhafte Anforderungen an die Cloud-Provider

Mehr

Cloud Computing: Hype oder Chance auch. für den Mittelstand?

Cloud Computing: Hype oder Chance auch. für den Mittelstand? Prof. Dr.-Ing. Rainer Schmidt HTW Aalen Wirtschaftsinformatik Überblick Was ist Cloud-Computing und wieso ist es für Unternehmen wichtig? Wie können Unternehmen mit Hilfe einer Cloud- Computing-Strategie

Mehr

Externe Datensicherung in der Cloud - Chance oder Risiko?

Externe Datensicherung in der Cloud - Chance oder Risiko? Externe Datensicherung in der Cloud - Chance oder Risiko?, IT-Tag 2014, 10.09.2014 Agenda Kurzpräsentation INFOSERVE Warum Datensicherung in der Cloud? Vor- und Nachteile Auswahlkriterien Frage- und Diskussionsrunde

Mehr

Am Farrnbach 4a D - 90556 Cadolzburg

Am Farrnbach 4a D - 90556 Cadolzburg Am Farrnbach 4a D - 90556 Cadolzburg phone +49 (0) 91 03 / 7 13 73-0 fax +49 (0) 91 03 / 7 13 73-84 e-mail info@at-on-gmbh.de www.at-on-gmbh.de Über uns: als Anbieter einer Private Cloud : IT Markenhardware

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen:

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services BICCnet Arbeitskreistreffen "IT-Services" am 14. November bei fortiss Jan Wollersheim fortiss

Mehr

WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN

WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN Dr. Bernd Kiupel Azure Lead Microsoft Schweiz GmbH NEUE MÖGLICHKEITEN DURCH UNABHÄNGIGKEIT VON INFRASTRUKTUR BISHER: IT-Infrastruktur begrenzt Anwendungen

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Freie Universität Berlin

Freie Universität Berlin Freie Universität Berlin Was muss eine Cloud-Richtlinie regeln? Dietmar Dräger Folie 1 von 10 Cloud-Computing Abgrenzung Cloud eines externen Anbieters Keine Kontrolle über die Cloud-IT Fokussierung auf

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

INS Engineering & Consulting AG

INS Engineering & Consulting AG INS Engineering & Consulting AG INS Präsentation «Auslagerung von Dienstleistungen im KMU-Umfeld» 11. Juni 2015 Seite 0 Agenda Begrüssung & Vorstellung Was macht KMUs einzigartig? Was sind Gründe für eine

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

Für ein sicheres Gefühl und ein effizientes Arbeiten.

Für ein sicheres Gefühl und ein effizientes Arbeiten. Für ein sicheres Gefühl und ein effizientes Arbeiten. Der Leistungsausweis. Netcetera zählt zur Spitzengruppe der Softwarefirmen in der Schweiz und unterstützt verschiedenste Kunden in ihrem Kerngeschäft

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht Cloud Dienste als rechtliche Herausforderung BESTANDSAUFNAHME

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

1 von 6 27.09.2010 09:08

1 von 6 27.09.2010 09:08 1 von 6 27.09.2010 09:08 XaaS-Check 2010 Die Cloud etabliert sich Datum: URL: 26.08.2010 http://www.computerwoche.de/2351205 Eine Online-Umfrage zeigt: Viele Unternehmen interessieren sich für das Cloud

Mehr

Rechtssicher in die Cloud so geht s!

Rechtssicher in die Cloud so geht s! Rechtssicher in die Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Computing Services für die Wirtschaft IHK Niederrhein, 14. Februar 2013 Ist die (Public-)Cloud nicht...

Mehr

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Governance- und Compliance-Aspekte im Cloud-Umfeld Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Der Referent Martin Schweinoch Rechtsanwalt und Partner bei SKW Schwarz, München

Mehr

Infografik Business Intelligence

Infografik Business Intelligence Infografik Business Intelligence Top 5 Ziele 1 Top 5 Probleme 3 Im Geschäft bleiben 77% Komplexität 28,6% Vertrauen in Zahlen sicherstellen 76% Anforderungsdefinitionen 24,9% Wirtschaflicher Ressourceneinsatz

Mehr

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09. ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,

Mehr

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011 Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Cloud Computing im Mittelstand

Cloud Computing im Mittelstand Cloud Computing im Mittelstand Mehr Sicherheit durch ganzheitliche Lösungen Darmstadt, 25. November 2010 IT-Grundschutz-Tag Dr. Clemens Plieth Managing Director Service Delivery cplieth@pironet-ndh.com

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr