E-Government und Cloud-Computing

Größe: px
Ab Seite anzeigen:

Download "E-Government und Cloud-Computing"

Transkript

1 Telefon: ++43 (316) Fax: ++43 (316) Inffeldgasse 16a / 8010 Graz / Austria E-Government und Cloud-Computing Graz, am 15. September 2010 Dr. Thomas Rössler Cloud-Computing ist ein Begriff, der bereits seit ein paar Jahren die IT-Landschaft prägt. Dahinter verbergen sich zum Teil zwar altbekannte Architekturen und Konzepte, die aber Dank fortschreitender, technischer Entwicklungen erstmals markttauglich umsetzbar sind. Dieses Papier bringt eine allgemeine Einführung ins Thema Cloud-Computing, konzentriert sich aber bei den diskutierten Aspekten auf die besonderen Anforderungen die E-Government Applikationen stellen. So werden vor allem IT-Sicherheits- und Datenschutzfragen behandelt. Auf Basis der diskutierten Erkenntnisse werden am Ende dieses Papiers Anregungen für mögliche Einsatzszenarien von Clouds und cloudbasierten Technologien im Bereich E- Government gegeben. Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU-Graz

2 Inhaltsverzeichnis Dokumenthistorie... 2 Abkürzungen Einleitung Cloud-Computing ein Überblick Sicherheit und Cloud-Computing User-, Access und Identity Management Datensicherheit Auditierung/Zertifizierung von CSP Security-as-a-Service Datenschutz Anbieter von cloudbasierten Diensten/Ressourcen Fazit: Cloud-Computing und E-Government Referenzen Abbildungsverzeichnis Abbildung 1: Rollen... 4 Abbildung 2: Betriebs- und Deployment-Modelle von Clouds... 7 Abbildung 3: Einfaches Beispiel - IaaS Cloud mit zentraler IDM/SSO Lösung... 9 Dokumenthistorie Version: Datum: Kommentar: - Dokument erstellt und geliefert. Autor: Thomas Rössler, EGIZ Version: Datum: Kommentar: Autor: 2

3 Abkürzungen AICPA American Institute of Certified Public Accountants CICA Canadian Institute of Chartered Accountants CSA Cloud-Computing Security Alliance CSP Cloud Service Provider DDoS Distributed Denial of Service DoS Denial of Service edos Economic Denial of Service IaaS Infrastructure-as-a-Service IDM Identity Management OASIS Organization for the Advancement of Structured Information Standards PaaS Portal-as-a-Service SaaS Software-as-a-Service SAML Security Assertion Markup Language SAS 70 Statement on Auditing Standards No. 70 SLA Service Level Agreement SSO Single Sign-On VPN Virtual Private Network 3

4 1 Einleitung Cloud-Computing ist ein immer populärer werdendes Schlagwort der IT-Industrie. In vielen Bereichen erscheinen Clouds anwendbar bzw. werden als anwendbar angepriesen, so auch im Bereich E-Government. Besonders im Datenschutzbereich erhebt E-Government hohe Ansprüche, die in erster Näherung nur schwer mit cloudbasierten Systemen vereinbar scheinen. Selbiges gilt für die sehr klare und strikte Verteilungen von Verantwortlichkeiten. In diesem Papier wird daher das Thema Cloud-Computing aufbereitet, um aus dem Blickwinkel E-Government mögliche Anwendungsszenarien zu skizzieren. Dieses Papier beginnt einleitend mit einer grundlegenden Einführung ins Thema Cloud-Computing. Die Einführung wird dabei bewusst knapp gehalten, da eine Vielzahl guter, ausführlicher Beschreibungen des Themas in der Literatur und im Web zu finden sind. Eine profunde Erörterung des Themas Cloud-Computing ist beispielsweise im Bericht Above the Clouds: A Berkely View of Cloud-Computing [1] zu finden, welcher eine gute Ergänzung zur in diesem Paper gebrachten Einführung liefert. Nach der kurzen Einführung geht dieses Papier vor allem auf Sicherheits- und Datenschutzaspekte von cloudbasierten Systemen ein. Es werden dabei die wichtigsten Problembereiche andiskutiert und Lösungsansätze vor allem aus Sicht des Nutzers von cloudbasierten Systemen skizziert. Nach einer kurzen Übersicht von beispielhaften Anbietern cloudbasierter Dienste und Ressourcen werden mögliche Anwendungsszenarien von Cloud-Computing im Bereich des österreichischen E-Governments aufgezeigt. Die Diskussion über mögliche Anwendungsszenarien erhebt keinen Anspruch auf Vollständigkeit und die Vorschläge müssen im Einzelfall vor dem Hintergrund der konkreten Anwendungsfälle im Detail diskutiert werden. Die gebrachten Beispiele sollen viel mehr Anreize für weiterführende Diskussionen stiften. Abbildung 1: Rollen In diesem Papier werden das Thema Cloud-Computing anhand von zwei Hauptrollen diskutiert. Einerseits gibt es eine Organisation oder Unternehmen, das als Anbieter von cloudbasierten Diensten und Ressourcen fungiert. Dieser wird in weiterer Folge als Cloud Service Provider CSP bezeichnet. Dem gegenüber steht eine Organisation, wie zum Beispiel eine Behörde, die sich die cloudbasierten Dienste oder Ressourcen 4

5 zu Nutze macht. Diese Rolle wird nachfolgend als Nutzer bezeichnet. Hinter dem Nutzer stehen die eigentlichen Endanwenderinnen und Endanwender, die die vom Nutzer zur Verfügung gestellte Gesamtanwendung nutzen. Dieser Bericht geht aber fast ausschließlich auf die Beziehung zwischen Nutzer und CSP ein. Abbildung 1 verdeutlicht diesen Zusammenhang. In dieser Abbildung wird angenommen, dass der Nutzer eine eigene Anwendung auf Basis der cloudbasierten Dienste oder Ressourcen erstellt und seinen EndanwenderInnen zur Verfügung stellt. Wie später noch ausgeführt werden wird, kann aber auch die gesamte Anwendung beim CSP betrieben werden. In diesen Fällen steht das Server-Symbol Anwendung beim Nutzer für dessen Aufgabe die Anwendung einzurichten bzw. zu verwalten. 2 Cloud-Computing ein Überblick Hinter Cloud-Computing steht ganz allgemein das Anbieten bzw. Nutzen von Ressourcen oder Diensten, die über Netzwerke zur Verfügung gestellt werden. Charakteristisch ist des Weiteren, dass cloudbasierte Ressourcen oder Dienste nicht dezidiert einem Kunden zugeordnet, sondern dynamisch je nach Bedarf und Vertragsmodell zur Verfügung gestellt werden (shared services/ressources). In [2] wird Cloud-Computing über fünf Attribute definiert: 1. Multitenancy (Mehrmandantenfähigkeit) Ressourcen und Dienste werden zwischen allen Kunden/Nutzern dynamisch aufgeteilt. 2. Massive Scalability (Skalierbarkeit) Je nach Anforderungen können Ressourcen im entsprechenden Umfang dem Kunden zur Verfügung gestellt werden. 3. Elasticity (Elastizität) Dank der dynamischen Verteilung von Ressourcen und Diensten können bspw. Lastspitzen gut ausgeglichen werden. 4. Pay as you go (verbrauchsorientiertes Bezahlmodell) Nutzer zahlen in der Regel nur für tatsächlich abgerufenen Ressourcen und Dienste (je nach Vertragsmodell): 5. Self-provisioning of resources (Ressourcenmanagement durch Nutzer/Kunde) Nutzer können in der Regel selbst Ressourcen akquirieren oder freigeben. Die Art der via Cloud angebotenen Dienste ist vielfältig. Im sogenannten SPI Modell 1 wird das Angebot nach 3 Betriebsmodellen unterschieden: Software-as-a-Service (SaaS) Platform-as-a-Service (PaaS) Infrastructure-as-a-Service (IaaS) Cloud Service Provider (CSP), die IaaS zur Verfügung stellen, fokussieren sich auf reine infrastrukturelle Services, wie Rechenleistung oder Datenspeicher. Die Nutzer können auf die in der Cloud angebotene Infrastruktur zurückgreifen, um eigene Anwendungen zu realisieren. Wird zum Beispiel Datenspeicher als cloudbasiertes Service angeboten, so bietet der CSP seinen Kunden eine definierte API, um auf das in der Cloud gehaltene Datenspeichervolumen zurückgreifen zu können. Ein Beispiel für IaaS ist die von Amazon angebotene Elastic Computer Cloud (EC2) 2. 1 SPI steht für die 3 Hauptkategorien der via Cloud angebotenen Dienste: Portal, Software und Infrastructure, siehe Seite 11 in [2]. 2 Siehe 5

6 PaaS Service-Provider gehen einen Schritt weiter und bieten eine cloudbasierte Plattform, auf deren Basis Kunden eigene Anwendungen entwickeln können. Zumeist stellt der CSP dazu eine eigene Entwicklungssprache sowie Bausteine zur Verfügung, um die Entwicklung von Anwendungen zu unterstützen oder gar erst zu ermöglichen. Beispiele für PaaS ist Microsoft Windows Azure Platform 3 oder die Google App Engine 4. SaaS ist die höchste Abstraktionsstufe via Cloud angebotener Dienste. In diesem Fall stellt der CSP Applikationen als Dienste dem Nutzer über dessen Cloud zur Verfügung. Beispielsweise werden über SaaS Office-Anwendungen angeboten, wie etwa Google- Docs 5. In diesem Fall genügt ein Thin-Client beim Anwender konkret ein Internetfähiger Computer mit Web-Browser um auf die in der Cloud gehostete Office- Anwendung zugreifen zu können. Diese drei Säulen stellen die etablierten Hauptkategorien in der Klassifizierung von cloudbasierten Ressourcen und Diensten dar. Allen Arten von Diensten ist gemein, dass sie über Netzwerke den Nutzern zur Verfügung gestellt werden. Je nach Ausprägung des Netzwerks unterscheidet man zwischen drei Deployment-Modellen wie in Abbildung 2 dargestellt, verhalten sich Betriebs- und Deployment-Modelle zueinander orthogonal: Public Clouds Öffentlich zugänglich auf Basis öffentlicher Netzwerke. Private Clouds Nur für einen geschlossenen Nutzerkreis zugänglich; meist auf Basis eines Virtual Private Networks (VPN) realisiert. Hybrid Clouds Mischvariante aus Public Cloud und Private Cloud. Zumindest Teile der Dienste/Ressourcen sind nur einem geschlossenen Nutzerkreis zugänglich. Zusätzlich kommen in der Literatur weitere Begriff wie Community Cloud, Enterprise Cloud, Exclusive Cloud, etc. vor. Diese lassen sich aber aufgrund deren Eigenschaften immer einer dieser drei Hauptmodelle unterordnen. Das der Cloud zu Grunde liegende Netzwerk ist in der Regel offen (bei Public Clouds ist dies meist das Internet). Selbst die in einer Cloud zur Verfügung gestellten Ressourcen und Diensten konzentrieren sich nicht auf einzelne, wenige Standorte. Vielmehr können die in einer Cloud angebotenen Dienste und Ressourcen global verteilt sein. Ein CSP entspricht daher nicht mehr dem Bild eines klassischen Rechenzentrumsbetreibers mit wenigen, überschaubaren Standorten. 3 Siehe 4 Siehe 5 Siehe 6

7 Betriebsmodell IaaS PaaS SaaS Software -as-a- Service (SaaS) Plattform-as-a-Service (PaaS) Infrastructure-as-a-Service (IaaS) Public Clouds Hybrid Clouds Private Clouds Abbildung 2: Betriebs- und Deployment-Modelle von Clouds Deployment Modell All diese Eigenschaften zusammen werfen eine Reihe von Fragen auf. Besonders Anwendungen im Behördenbereich, die persönliche Daten verarbeiten oder auf besonderen rechtlichen Grundlagen beruhen, sind nicht ohne weiteres auf Basis von Clouds abbildbar. Die nachfolgenden Abschnitte diskutieren daher die wichtigsten Aspekte wie IT- Sicherheit und Datenschutz in Bezug auf Cloud-Computing. Am Ende dieses Papiers wird ein Ausblick auf mögliche Anwendungsszenarien im Bereich E-Government gegeben. 3 Sicherheit und Cloud-Computing Aus Sicht eines Nutzers von via Cloud angebotenen Diensten/Ressourcen ergeben sich grundsätzlich all jene Sicherheitsrisiken, die sich auch bei konventionellem Web- Diensten oder Services bzw. bei IT-Outsourcing ergeben. Aufgrund der besonderen Eigenschaften von Clouds sind adäquate Sicherheitsmechanismen in der Regel jedoch etwas herausfordernder und müssen durch CSP und Nutzer gemeinsam adressiert werden. Cloud-basierte Dienste müssen wie andere IT-Dienste die folgenden Sicherheitsaspekte beachten und stehen den selben Bedrohungen gegenüber: Vertraulichkeit, gefährdet durch zum Beispiel: o Fehlende Verschlüsselung o Mangelndes Schlüsselmanagement o Unzureichender Zugriffsschutz Integrität, gefährdet durch zum Beispiel: o Unautorisierte Zugriffe und Manipulationen (von innen und von außen) o Fehlerhafte Verarbeitung 7

8 Authentizität, gefährdet durch zum Beispiel: o Unautorisierte Zugriffe und Manipulationen (von innen und außen) Verfügbarkeit o Denial of Service (DoS) Attacken (von innen oder von außen) Selbst der Vorteil der in einer Cloud geballt vorhandenen Ressourcen kann ein Risiko darstellen. Gelingt es infolge von Schwachstellen einem Angreifer Kontrolle über Teile der Cloud zu bekommen, so können die Clouds selbst als Ausgangsbasis für effektvolle DoS Angriffe genutzt werden, sowohl innerhalb der Cloud als auch nach außen (Clouds, aus denen Angriffe durchgeführt werden, bezeichnet man als Dark Clouds ). Umgekehrt können auch Sicherheitsdienste als cloudbasierte Dienste implementiert werden. Diese besondere Sparte von Cloud-Diensten wird auch als Security-as-a- Service bezeichnet (siehe Abschnitt 3.4). Die nachfolgenden Abschnitte gehen auf einige grundlegende Sicherheitsaspekte ein. Ein umfassender Überblick über Sicherheit in Zusammenhang mit Cloud-Computing wird in [2] gegeben. Die Cloud-Computing Security Alliance 6 (CSA) hat zudem mehrere Guidelines zum Thema Sicherheit und Cloud-Computing veröffentlicht. Nennenswert sind vor allem die allgemeinen Security Guidelines in Bezug auf Cloud-Computing [3] sowie die Guidelines bezüglich Sicherheit von Cloud Anwendungen [4]. 3.1 User-, Access und Identity Management Betrachtet man zum Beispiel eine IaaS Cloud, die Speichervolumen als Ressource zur Verfügung stellt, so werden die Daten des Nutzers an verschiedensten Orten und auf verschiedenen Servern verteilt gehalten. Je nach Anforderungen können diese auch dynamisch laufend umverteilt werden. In jedem Fall entsteht die Herausforderung, die Daten des Benutzers mit Zugriffsrechten zu versehen, sodass unabhängig wo die Daten abgelegt wurden nur autorisierte Nutzer Zugriff darauf erhalten. Um dies überhaupt realisieren zu können, müssen Nutzer der Cloud auch geeignet identifiziert und authentifiziert werden. Die Identitätsdaten müssen in weiterer Folge auch an alle affiliierten Elemente der Cloud übermittelt werden, samt eines Statements, dass der Anwender sich tatschlich authentifiziert hat. Das Problem der einmaligen Authentifizierung eines Nutzers für die Nutzung verschiedenster, affiliierter Einzeldienste ist nicht neu. Sogenannte Single Sign-On (SSO) Anwendungen erfüllen ähnliche Aufgabenstellungen bspw. bei Intranet- Lösungen, denen eine zentrale Identitätsmanagement- und Authentifizierungskomponente beigestellt wird. Obschon Cloud-Computing zur Zeit noch nur spärlich mit Standards und offenen Spezifikationen durchsetzt ist, wird für die Realisierung eines zentralen Identitätsmanagements und einer zentralen Benutzerauthentifizierung vermehrt auf den OASIS Standard Security Assertion Markup Language (SAML) [5] gesetzt, der bereits seit längerem eine etablierte Basistechnologien für SSO-Systeme darstellt. Nichtsdestotrotz verwenden viele Cloud-Anbieter eigene Systeme, was eine Cloud-übergreifende Nutzung von Diensten und Ressourcen, auf Basis einer Authentifizierung, noch schwierig macht. Auch wird Mangelns des Einsatzes von Standards das Koppeln eines bspw. organisations-/betriebsinternen Identitätsmanagements mit dem eines Cloud-Anbieters schwierig. Beispielhaftes Szenario: ein Unternehmen möchte Office-Anwendungen aus einer Cloud nutzen. Dazu wäre es effizient, das bestehende Identitätsmanagement-System des Unternehmens direkt mit dem der Cloud zu verbinden, sodass eine doppelte Benutzerführung und mehrfache Anmeldung der AnwenderInnen nicht notwendig ist. 6 8

9 IaaS Cloud Authentifikation IDM Abbildung 3: Einfaches Beispiel - IaaS Cloud mit zentraler IDM/SSO Lösung Trotz geeignetem und effizientem Identitätsmanagements muss vor allem der CSP dafür Sorge tragen, dass alle in der Cloud, und somit auf verschiedenen Einzelsystemen, gehaltenen Daten oder bereitgehaltenen Dienste nur autorisierten Nutzern zugänglich sind. Eine stringente Zugriffskontrolle ist nicht zuletzt auch ein Erfordernis, um Datensicherheit v.a. bzgl. der Vertraulichkeit von Daten zu gewährleisten. 3.2 Datensicherheit Datensicherheit bezieht sich im Allgemeinen auf: Vertraulichkeit von Daten Integrität von Daten Authentizität von Daten Verfügbarkeit von Daten Auf Vertraulichkeit wurde teilweise schon in Abschnitt 3.1 kurz eingegangen. Eine adäquate Zugriffskontrolle ist daher eine Grundvoraussetzung; darüber hinaus ist der Einsatz von kryptographischen Technologien unabdingbar. Daten sollen daher von und zum CSP und innerhalb der Cloud ausschließlich verschlüsselt ausgetauscht werden (encryption in transfer via TSL/SSL etc.). Die Speicherung soll vorzugsweise ebenso verschlüsselt erfolgen (encryption in rest), um technisch das missbräuchliche Lesen von Daten zu verhindern. Dazu sollten vom CSP kryptographische Dienste zur Verschlüsselung der Daten angeboten werden, sodass der Nutzer seine Daten ausschließlich verschlüsselt in die Cloud einbringt. Ein entsprechendes Schlüsselmanagement sowie geeignete Ver- /Entschlüsselungskomponente -- idealerweise auf Seiten des Nutzers sind dabei erforderlich. Das verschlüsselte Halten von Daten in der Cloud ist nur im Falle IaaS und bei einer reinen Datenspeicherung trivial und eine ausreichende Sicherheitsmaßnahme. Werden Daten auch in der Cloud verarbeitet, so sind bei konventionellen Systemen die Daten zumindest vor der Verarbeitung zu entschlüsseln. Abhilfe kann hier die homomorphe Eigenschaft von Verschlüsselungsalgorithmen liefern. Sehr vereinfacht ausgedrückt 9

10 kann bei homomorphen Verschlüsselungsalgorithmen eine Operation auf verschlüsselte Daten angewendet werden, wobei nach Entschlüsselung des Ergebnisses auch das entschlüsselte Ergebnis von der Operation geprägt ist. 7 Die meisten homomorphen Algorithmen verhalten sich aber nur auf bestimmte Funktionen homomorph. Ein Forschungsteam von IBM hat 2009 jedoch angekündigt [6] einen voll-homomorphen Verschlüsselungsalgorithmus entwickelt zu haben. Ein voll-homomorpher Verschlüsselungsalgorithmus ermöglicht es sämtliche Operationen auf Basis verschlüsselter Daten durchzuführen. Momentan arbeitet man noch an der Reduktion des hohen Rechenleistungsbedarfs des Algorithmus. Aber auch andere Forscher haben sich dieses Problems bereits angenommen. Ein europäisches Forscherteam 8 ist mittlerweile dabei den Ansatz IBMs weiterzuentwickeln und praktisch nutzbar zu machen. Kurzfristig ist aber mit keiner marktreifen Lösung zu rechnen. Bis zur Marktreife voll-homomorpher Verschlüsselungstechniken bleibt es dem CSP vorbehalten ein adäquates Zugriffsmanagement sowie eine rigorose Datenverschlüsselung anzubieten und tatsächlich auch zu leben. Dieser Umstand erfordert daher ein entsprechendes Vertrauensverhältnis zwischen Nutzern und Anbietern von Cloud-Diensten/-Ressourcen. Geeignete Service Level Agreements (SLA) sind daher unerlässlich, um den CSP zumindest vertraglich in die Pflicht zu nehmen (v.a. relevant bei Public Clouds). Darüber hinaus sind unabhängig durchgeführte Audits bzw. Zertifizierungen des CSP von Vorteil (siehe dazu Abschnitt 3.3). Die Vertraulichkeit der Daten muss allerdings durch den gesamten Daten- Lebenszyklus sichergestellt werden: von der Erstellung der Daten über deren Nutzung und Archivierung bis hin zum Löschen der Daten. Da die Daten an beliebigen Teilsystemen einer Cloud (temporär) gehalten werden, ist besonders auf das sichere Löschen zu achten. Der Betreiber der Cloud muss gewährleisten, dass vor allem im Falle personenbezogener oder sensibler Daten sichere Löschalgorithmen zum Einsatz kommen. Beim Umgang mit sensiblen oder klassifizierten Daten sofern Cloud-Computing in diesem Bereich überhaupt zur Anwendung gelangen kann (Private Clouds sind denkbar) ist zudem sicherzustellen, dass die Datenträger selbst nach dem Löschen der Daten nicht anderswertig wiederverwendet werden. Aufgrund der verteilten Architektur von Cloud-basierten Systemen ist dies durch den CSP zu gewährleisten. Die Gewährleistung der Vertraulichkeit von Daten wird nicht zuletzt auch durch den Datenschutz gefordert. Da bezgl. Datenschutz auch territoriale Einflüsse zu beachten sind d.h. je nach Lage der Einzelsysteme einer Cloud können unterschiedliche Datenschutzvorgaben wirksam sein, die im Konflikt mit den Datenschutzanforderungen des Nutzers (Auftraggeber) stehen können wird in Abschnitt 4 der Datenschutzaspekt gesondert diskutiert. Die Integrität und Authentizität von Daten zu gewährleisten bedarf es ebenfalls kryptographischer Techniken, wie HMACs. Auch dies ist, falls erforderlich, vom CSP in seinem System zur Verfügung zu stellen. Die Herausforderung besteht allerdings darin, die Integrität der in einer Cloud gehaltenen Daten verifizieren zu können, ohne die Daten dazu aus der Cloud herunterzuladen müssen. Dies würde ansonsten zu nicht zu unterschätzenden Datenübertragungen führen, was eine Verifikation der Integration ineffizient erscheinen lässt. Ein Ansatz für ein effizientes Schema zur Integritätsprüfung wird in [7] vorgeschlagen. Unter Verwendung homomorpher Eigenschaften werden Verifikationstokens eingeführt, die entweder vom User selbst oder von einer 7 Definition aus [8]: A mapping : is called homomorphism of into if preserves operations of. That is, if is an operation of and, an operation of, then x,y we have (x y) = (x)(y). 8 Nigel Smart (Bristol University) und Frederik Vercauteren (Katholieke Universiteit Leuven), siehe [9][9]. 10

11 vertrauenswürdigen Dritten Instanz (Trusted Third Party) laufend verifiziert werden können, ohne die Daten vollständig aus der Cloud herunterladen zu müssen. Bis wann ein derartiges System auch bei den gängigen CSPs zur Verfügung steht ist offen. In Bezug auf die Verfügbarkeit, sowohl von Daten als von Diensten im generellen, stellt die Cloud-Architektur einerseits eine Verbesserung dar, da aufgrund der dynamischen und verteilten Struktur der Cloud Daten oder Dienste redundant zur Verfügung gehalten werden können. Andererseits ist der Nutzer der Cloud meist an seinen CSP gebunden: Mangelns Standards im Bereich des Cloud-Computing sind die von den CSPs verwendeten Systeme (z.b. File-System, Nutzer und Rechteverwaltung, etc.) proprietär. Der Transfer von einem zu einem anderen CSP ist daher nur schwer möglich, was im Fall des Ausfalls des CSPs nicht nur infolge technischer Gründe sondern auch infolge wirtschaftlicher Gründe (edos: economic Denial of Service) die Verfügbarkeit der Dienste oder Daten gefährdet. 3.3 Auditierung/Zertifizierung von CSP Bei der Realisierung einer sicheren Cloud-Anwendung teilen sich CSP und Nutzer die Verantwortung. Je nach Betriebsmodell IaaS, PaaS oder SaaS verschieben sich die Verantwortlichkeiten vom Nutzer hin zum CSP und vice versa. Damit CSPs gegenüber ihren Nutzern und Kunden nachweisen können, dass sie die erforderlichen Sicherheitsanforderungen erfüllen, kann auf unabhängige Audits und Zertifizierungen zurückgegriffen werden. Audits und Zertifizierungen sind besonders im Bereich des Out-Sourcing gängige Praxis, um die Qualität und die vom Provider ergriffenen Sicherheitsmaßnahmen zu evaluieren. Obschon die gängigen Schemen für Sicherheitszertifizierungen und Audits (noch) nicht explizit auf Cloud-Computing Bezug nehmen, stellen sie eine geeignete Basis dar. Unter anderem werden folgende Schemen zur unabhängigen Auditierung von CSPs herangezogen (aus [2]): SAS 70 (Type II) SAS 70 Statement on Auditing Standards No. 70 stammt vom American Institute of Certified Public Accountants (AICPA) und hat seinen Ursprung im Bereich der Financial Statements. Mit Hilfe von SAS 70 Audit Reports sollen Kunden von Dienstleistern in deren Financial Statements nachweisen können, dass deren Dienstleister (z.b. CSP) ein funktionierendes und effektives internes Kontrollsystem etabliert hat. Die Kontrollziele des Kontrollsystems werden dabei vom Dienstleister selbst definiert und sind nicht durch das Schema vorgegeben. Daher ist dieses Schema auf viele Arten von Dienstleistern, so auch CSPs, anwendbar. Audit Reports des Typs II liefern über die reine Beschreibung des implementierten Kontrollsystems auch den Nachweis, dass das Kontrollsystem effektiv ist (gemessen an den vom Dienstleister definierten Kontrollzielen). Weiterführende Informationen: Trust Services (SysTrust und WebTrust) Hier werden zwei Schemen zusammengefasst: das SysTrust und das WebTrust (ergänzt SysTrust Schema und hat Fokus auf e-commerce) Schema. Diese Schemata stammen vom AICPA in Zusammenarbeit mit dem Canadian Institute of Chartered Accountants (CICA). Im Gegensatz zu SAS 70 wird hier eine Reihe von Kriterien vorgegeben, die sich auf Sicherheit, Verfügbarkeit, Integrität im Zuge der Verarbeitung und Vertraulichkeit beziehen. WebTrust ergänzt diesen Kriterienkatalog um Kriterien bezgl. Datenschutz. Weiterführende Informationen: ISO

12 ISO ist ein etablierter Standard der Anforderung für die Implementierung von Sicherheitsmechanismen, bzw. allgemein für die Implementierung eines umfassenden Informationssicherheitsmanagementsystems, liefert. Die allgemeinen Vorgaben des Standards sind dabei an die konkreten Gegebenheiten anzupassen. Vom internationalen ISO Standard wurden weitere nationale Standards abgeleitet. Weiterführende Informationen: Bei der Auswahl eines CSP ist daher darauf zu achten, ob ein CSP ein solches Zertifikat bzw. den Bericht eines unabhängigen Auditors vorweisen kann. In jedem Fall ist im Einzelfall zu prüfen, auf welche Bereiche sich das Zertifikat bzw. der Audit- Bericht bezieht. Hat umgekehrt der Nutzer der cloudbasierten Dienste/Ressourcen das Erfordernis seine unter Verwendung der Cloud realisierte Anwendung zertifizieren oder auditieren zu lassen, so muss die Unterstützung durch den CSP früh sichergestellt werden. Eine sogenannte Right to Audit Klausel sollte Bestandteil des Vertrages mit dem CSP sein. Die genauen Bedingungen der Zertifizierung/Auditierung sind in jedem Fall mit dem CSP abzuklären. Die verteilte Architektur einer Cloud stellt allerdings eine nicht zu unterschätzende Herausforderung dar. Sieht die Zertifizierung/Auditierung bspw. eine räumliche Begehung vor, so müssen ggf. alle in Frage kommenden Standorte der Einzelsysteme der Cloud in Betracht gezogen werden. Eine genaue Abgrenzung der Systeme und Verantwortlichkeiten zwischen CSP und Kunden ist dabei unabdingbar. 3.4 Security-as-a-Service Selbst Sicherheitsfunktionen können als Cloud-Dienste abgebildet werden. Cloud- Dienste, die Sicherheitsfunktionen realisieren, werden auch in einer eigenen Kategorie zusammengefasst: Security-as-a-Service. Aus logischer Sicht der Betriebsmodelle ist Security-as-a-Service dem Hauptbereich Software-as-a-Service unterzuordnen. Übliche Sicherheitsfunktionen, die als Cloud-Dienste angeboten werden, sind: Filter Web-Content Filter Identity-Management Systeme (Identity-Management-as-a-Service) Aufgrund der guten Skalierbarkeit von Cloud-Systemen, die daher sehr gut auf kurzfristige Lastspitzen reagieren können, sind diese sehr dazu geeignet, um schwankende Mengen von Mail oder Web-Zugriffen zu filtern. Üblicherweise lässt ein auf Mail- oder Web-Content-Filter spezialisierter CSP mehrere Filter und Filter-Produkte den Content oder die Mails filtern, um die Erkennung von SPAM oder Malware zu maximieren. Beim Filtern von Content oder s ist aber besonders auf die Datensicherheit zu achten. Eine Sonderstellung nimmt Identity-Management-as-a-Service ein. Hier bietet ein CSP eine Identity-Management Lösung als Service an, die idealerweise auf etablierte Standards wie SAML beruht. Leider bieten CSPs gerade im Bereich der Identity Management Lösungen meist nur proprietäre Systeme an. Siehe dazu auch Abschnitt Datenschutz Cloud-Anwendungen, die personenbezogene oder gar sensible Daten verarbeiten, müssen geltenden Datenschutzrichtlinien und gesetzen genügen. Über den gesetzlichen Datenschutz hinaus sind Nutzer von cloudbasierten Ressourcen und 12

13 Diensten grundsätzlich interessiert, dass deren Daten oder Informationen über und von durch sie benutzten Diensten nicht missbräuchlich verwendet werden. In der Regel agieren CSPs gem. der aufgrund ihres Standorts anzuwendenden nationalen oder internationalen Datenschutzrichtlinien. Aber auch hier stellt die verteilte Architektur von Clouds eine Herausforderung dar, denn besonders bei Public Clouds können sich die Einzelsysteme über viele Territorien erstrecken. Dadurch sind Einzelsysteme unterschiedlichen Rechtssystemen unterworfen. Darüber hinaus können Einzelsysteme oder ganze Clouds auch außerhalb nationaler Territorien (z.b. auf Hochsee, sog. off-shoring ) betrieben werden, wo jeglicher rechtlicher Datenschutz fehlt. Manche Länder räumen in ihren nationalen Datenschutzbestimmungen staatlichen Behörden auch umfassende Zugriffsmöglichkeiten auf Daten ein. Diese Möglichkeit stellt dabei für viele Cloud-Anwendungen und Nutzer ein unüberwindbares Hindernis dar. Die auf den CSP wirkenden Datenschutzbestimmungen sind daher den auf den Nutzer wirkenden Datenschutzbestimmungen gegenüberzustellen. Gerade Zugriffsrechte stattlicher Behörden stehen oft mit den Anforderungen und Datenschutzbestimmungen vieler Cloud Nutzer in Konflikt. Umgekehrt kann für Nutzer von Cloud-Diensten/Ressourcen das rechtliche Erfordernis bestehen Daten ausschließlich im Inland zu verarbeiten bzw. zu archivieren oder, bspw. auf Basis eines richterlichen Erlasses, im Falle einer Strafverfolgung, den Zugriff auf Daten zu gewähren (dies bezieht sich nicht nur auf die in der Cloud im Auftrag des Nutzers gehaltenen Daten sondern auch auf Verkehrsdaten wie Zugriffsprotokolle etc.). Ersteres würde die Nutzung einer internationalen Cloud grundsätzlich verbieten; letzteres wird durch eine cloudbasiertes Anwendung, die sich über das nationale Territorium hinaus erstreckt, oft nur schwierig zu erfüllen sein. In jedem Fall hat in erster Linie der Nutzer der cloudbasierten Dienste/Ressourcen die Einhaltung solcher Anforderungen sicherstellen. Eine genaue Prüfung der Rahmenbedingungen des CSPs bzw. des Nutzungsvertrages und des SLA ist unerlässlich. Eine gute Zusammenfassung der datenschutzrechtlichen Aspekte bei Cloud- Computing ist in [10] gegeben. Zwar wurde die Zusammenfassung aus der Perspektive des deutschen Datenschutzes geschrieben, jedoch sind die grundsätzlichen Aussagen allgemein gültig. Ebenfalls in [10] aber auch in [2] wird die Rolle internationaler Datenschutzabkommen diskutiert. Aus österreichischer Sicht ist hier besonders die EU Datenschutzrichtlinie relevant, auf der auch das österreichische Datenschutzgesetz basiert. Trotz EU-weiter Basis ist aber auch bei europäischen CSPs deren jeweiliger, aufgrund des Standorts geltender, Datenschutzrahmen zu prüfen, da auch die EU Datenschutzrichtlinie Abweichungen in der Regel Verschärfungen durch das nationale Datenschutzrecht zuläßt. Die Europäische Union hat zudem die Datenschutzbestimmungen einiger nicht-eu Länder als akzeptabel anerkannt, um grenzüberschreitende Datenverarbeitung zu erleichtern. Im Zuge dessen wurde mit den USA das Safe-Harbor Abkommen 9 etabliert, dass trotz Mangelns einer US-weiten Datenschutzregulierung die Datenverarbeitung zwischen europäischen und US Organisationen erleichtert. Das Safe-Harbor Abkommen ist aber nur bedingt tauglich, um Clouds auf US Territorium auf Ebene der EU Datenschutzrichtlinie zu sehen. Einerseits ist das Safe-Harbor Abkommen nicht auf alle US Unternehmen anwendbar, andererseits haben trotzdem US Behörden umfassende Zugriffsrechte auf Daten. 9 Details zum Safe Harbor Abkommen sind bspw. auf der Web-Seite des US Handelsministeriums zu finden: 13

14 Wenn man Clouds betrachtet, die auf internationalem Terrain betrieben werden, so liefert die gegenwärtige internationale Situation bzgl. des Datenschutzes eine noch nicht zufriedenstellende Basis. Es bleibt letztlich die Verantwortung des Nutzers der Cloud-Dienste/-Ressourcen zu prüfen, ob ein CSP und dessen Cloud für eine gegebene Anwendung aus Datenschutzsicht akzeptabel sind. Die Hauptverantwortung zur Sicherstellung eines ausreichenden Datenschutzes bleibt beim Nutzer der Cloud, der über cloudbasierte Dienste/Ressourcen personenbezogene oder gar sensible Daten verarbeiten möchte. Eine adäquate Vertragsbeziehung zwischen Nutzer und CSP ist dabei eine notwendige Basis, kann den Nutzer aber keinesfalls von seiner Verantwortung befreien. Auch kann ein privatrechtlicher Vertrag keine gesetzlichen Verpflichtungen des CSP aushebeln, die das Erfüllen von Datenschutzverpflichtungen des Nutzers unmöglich machen. Umgekehrt muss der Nutzer beachten, dass auch er aufgrund auf ihn wirkender rechtlicher Bestimmungen verpflichtet sein kann, Auskunft oder Zugang zu in der Cloud gehaltenen/verarbeiteten Daten zu geben. Um dieser Verpflichtung gerecht werden zu können, muss er bei der Auswahl des CSPs auf mögliche Einschränkungen achten. In [2] wird eine Sammlung von Basisfragen gegeben, die helfen sollen, in Bezug auf Datenschutz die Anforderungen des Nutzers, sowie die Tauglichkeit des CSPs diese zu erfüllen, festzustellen. Die Schlüsselfragen beziehen sich auf sieben Kernaspekte. Einige dieser Aspekte wurden zuvor schon diskutiert. Das nachfolgende Exzerpt soll abschließend die wichtigsten Punkte bzgl. des Datenschutzes (personenbezogener oder sensibler Daten) nochmals zusammenfassen (ergänztes Exzerpt aus [2]): Zugriff auf Daten (Access) Die Person, auf die sich Daten beziehen (d..h der/die Betreoffene im Sinne des DSG), kann sowohl Auskunft über, als auch Korrektur oder das Löschen dieser Daten verlangen. Ist sowohl die Einsichtnahme als auch das Löschen in der Cloud gemäß den rechtlichen Vorgaben gewährleistet und durchführbar? Wie ist das Auskunftsrecht über allfällige Empfänger von Übermittlungen zu sehen, wenn die Cloud mehrere Auftraggeber oder Dienstleister umfasst? Speicherort von Daten (Storage) Manch Datenschutzbestimmungen verbieten den Transfer von Daten in andere oder bestimmte Länder, oder es ist die explizite Zustimmung durch jene Person, auf die sich die Daten beziehen, erforderlich. Wo werden daher die Daten gespeichert? Erfolgt eine dynamische Umverteilung im Laufe der Zeit, eventuell an Orte/Länder die zu Beginn der Datenhaltung unbekannt waren (neues Einzelsystem der Cloud)? Ist dem Nutzer der Cloud immer bekannt wo die Daten gehalten werden (das Wissen darum kann ein Erfordernis aus Datenschutzbestimmungen sein)? Verbleib von Daten (Retention) Daten werden in der Regel im Auftrag des Nutzers in der Cloud gehalten. Arbeitet der CSP unter einer definierten Retention-Policy? Wie lange werden Daten auch Verkehrs- und Metadaten, die sich auf die eigentlichen Nutzdaten beziehen gehalten? Vernichten von Daten (Destruction) Am Ende der Haltezeit von Daten müssen diese geeignet gelöscht werden. Arbeitet der CSP nach einer definierten Policy? Nach welchen Verfahren löscht der CSP die Daten? Werden die Daten tatsächlich gelöscht oder werden nur die Zugriffsrechte entzogen bzw. die Speicherbereiche freigegeben? Wie stellt der CSP sicher, dass keine Kopien der Daten erhalten bleiben? Wie wird mit Backup-Medien umgegangen, die die Daten enthalten? Werden die 14

15 Datenträger Träger personenbezogener oder sensibler Daten vernichtet oder wiederverwendet? Datenschutzkonformität (Compliance) Grundfrage an beide, Nutzer sowie CSP: welche Datenschutzbestimmungen finden jeweils Anwendung? Nach welchen Datenschutzbestimmungen arbeiten die Einzelsysteme der Cloud? Sind die Datenschutzanforderungen des Nutzers mit denen des CSPs vereinbar und vice versa? Audit und Monitoring (Audit/Monitoring) Wie kann der Nutzer der Cloud die Einhaltung der Datenschutzbestimmungen durch den CSP sicherstellen (audtieren und monitoren)? Wie kann der Nutzer der Cloud gegenüber seinen AnwenderInnen die Einhaltung der anzuwendenden Datenschutzbestimmungen nachweisen? Datenschutzverletzungen (Privacy Breaches) Dieser Punkt gilt sinngemäß für alle IT-Sicherheitsverletzungen (Incidents). Arbeitet der CSP nach einer definierten Incident Handling Procedure? Deckt diese auch Datenschutzverletzungen ab? Wie wird das cloud-weite einhalten dieser Policy sichergestellt? Ist sichergestellt, dass der CSP auch allfällige Datenschutz-/Sicherheitsverletzungen an seine Nutzer meldet? Eine Frage wird sein, inwieweit der CSP Auftraggeber oder Dienstleister im Sinne des DSG ist und inwieweit hier Standardverträge des CSP es dem Nutzer aus Auftraggeber erlauben, seine Pflichten als Auftraggeber wahrzunehmen (vgl. auch Meinung der Artikel 29 Gruppe [13], etwa das vergleichbare Beispiel 19 zu Grids). 5 Anbieter von cloudbasierten Diensten/Ressourcen Die Liste der CSPs in diesem Abschnitt ist nur beispielhaft und erhebt keinerlei Anspruch auf Vollständigkeit. Sie ist keinesfalls als Empfehlung zu verstehen sondern soll vielmehr einen Anhaltspunkt für eigene Marktrecherchen liefern. Die nachfolgende Tabelle basiert auf der Übersicht aus [2]; diese wurde um weitere Anbieter angereichert. CSP / Produkt Beschreibung / Link IaaS PaaS SaaS Amazon Elastic Compute Cloud (EC2) Amazon Simple Storage Service (S3) Amazon Virtual Private Cloud Fabasoft FOLIO Cloud Bietet Rechenkapazität. Siehe Bietet Speicherkapazität. Siehe https://s3.amazonaws.com Bietet Unternehmen die Möglichkeit ihre interne Infrastruktur über VPN mit isolierten Amazon Web-Service Ressourcen zu verbinden. Plattform bietet Applikation für, z.b., Projektmanagement, Collaboration, Content Management, Archivierung, etc. Siehe 15

16 CSP / Produkt Beschreibung / Link IaaS PaaS SaaS Google App Engine Portal zum Erstellen von Anwendungen, die dann im Rahmen der Google Cloud Infrastruktur betrieben werden. Siehe Google Apps Diverse Applikationen z.b. Office Applikationen wie Textverarbeitungs- oder Tabellenkalkulationsprogramme werden via Cloud angeboten und sind via Browser nutzbar. Siehe Microsoft Azure Services Platform Microsoft Online Services NetSuite Proofpoint Portal zum Erstellen von Anwendungen, die dann im Rahmen der Microsoft Infrastruktur betrieben werden. Siehe sazure/ Diverse Applikationen z.b. Office Applikationen wie Textverarbeitungs- oder Tabellenkalkulationsprogramme werden via Cloud angeboten und sind via Browser nutzbar. Siehe Bietet cloudbasierte Financial und ERP Software wie, z.b., CRM, Inventory Management etc. Siehe Bietet, unter anderem, Dienste ( Filter, SPAM- Abwehr, Archivierung, Verschlüsselung, etc.) als SaaS. Siehe Rackspace Cloud Bietet als cloudbasierte Infrastruktur virtuelle Linux oder Windows Server, Datenspeicherkapazitäten und Site-Hosting. Siehe Rightscale Bietet umfangreiches Hosting von virtuellen Servern sowie eine 16

17 CSP / Produkt Beschreibung / Link IaaS PaaS SaaS Salesforce.com Sun Open Cloud Platform bzw. Oracle Cloud- Computing Cloud Management Platform. Siehe Bietet einerseits eine Vielzahl von Unternehmensanwendungen (wie Vertriebs- oder Kundensverice- Anwendungen) als SaaS; andererseits wird eine Plattform zur Entwicklung eigener Anwendungen (PaaS) angeboten. Siehe Sun Open Cloud Platform ist ein offenes System (Plattform) auf Basis der bekannten OpenSource-Technologien von Sun (z.b. Java, MySQL, etc.) zur Entwicklung von Cloud- Applikationen. Zudem bietet Sun eine eigene Cloud-Infrastruktur als IaaS. Seit der Übernahme durch Oracle wurden die Sun Cloud-Produkte tw. eingestellt oder in Form von Oracle-Produkten tw. modifiziert - weitergeführt. Oracle bietet derzeit sowohl PaaS als auch SaaS Dienste an. Siehe ogies/cloud/index.html Workday Bietet einige Unternehmensanwendungen (wie Human Capital Managementoder Financial Management- Anwendungen) als SaaS. Siehe 6 Fazit: Cloud-Computing und E-Government Cloud-Computing hat viele Facetten und Ausprägungen. Daher muss die Tauglichkeit von cloudbasierten Systemen systematisch betrachtet werden. Für die weiteren Betrachtungen wird angenommen, dass E-Government Anwendungen in der Regel personenbezogene Daten verarbeiten oder zumindest Daten, die Dritten nicht zugänglich sein sollen. Stellt man diese Anforderung den drei Deployment- Modelle von Cloud-Systemen gegenüber das sind Public Clouds, Hybrid Clouds und Private Clouds so scheidet keine dieser Ausprägungen grundsätzlich aus, jedoch sind deren territoriale Verteilung sowie datenschutzrelevanten Rahmenbedingungen genau zu prüfen. Public und Hybrid Clouds bringen erschwerend hinzu, dass die Cloud Dienste/Ressourcen mit anderen Nutzern über öffentliche Netzwerke geteilt werden. Entsprechende Sicherheitsmaßnahmen müssen daher ergriffen werden. Private 17

18 Clouds, die sich zudem nur auf EU-Mitgliedstaaten oder gar Österreich ausdehnen, erscheinen am einfachsten für den Umgang mit personenbezogenen Daten nutzbar. Stellt man die drei Hauptbetriebsmodelle des Cloud-Computing IaaS, PaaS und SaaS möglichen Anwendungsfällen im Bereich E-Government gegenüber, so sind alle drei Modelle in unterschiedlichen Szenarien denkbar, zum Beispiel: Infrastructure-as-a-Service (IaaS): o Archivierung von Daten o Backup von Daten o Rechenleistung o Virtuelle Server Platform-as-a-Service (PaaS): o Plattform für das Abbilden von behördeninternen und/oder bürgerorientierten Prozessen (eformularen) o Plattform zum einfachen Erstellen von Web-Applikationen; diese Plattform bindet über einfache Module (APIs) die E-Government Infrastruktur mit ein (z.b. Zustellung, Payment, Bürgerkarte, SZR- Services, etc.) Software-as-a-Service (SaaS): o Desktop-Software der öffentlichen Verwaltung wird als cloudbasierter Dienst angeboten Zugriff erfolgt bspw. über Web-Browser. o Workflow Management System, wie bspw. elektronische Aktensysteme. o Collaboration Suite o Identity-Management-as-a-Service: die Bürgerkartenanmeldung wird nach dem Muster eines Identity Providers als zentrale Infrastruktur angeboten. o Security-as-a-Service: Mail-Filter (Filtern auf SPAM und Malware etc) kann performant als Cloud-basierter Dienst angeboten werden. Laut einem Artikel des Guardian [11] ist die britische Regierung daran, ein eigenes cloudbasiertes System für die öffentliche Verwaltung zu errichten. Mehrere leistungsfähige Datenzentren in Großbritannien sollen zu einer Private Cloud vernetzt werden und die bisher genutzten Rechenzentren ersetzen. Zudem will die Verwaltung die bestehenden Desktop Anwendungen durch cloudbasierte Office-Applikationen ersetzen, bei denen der Endanwender via Thin Client Browser auf eine serverseitige Office-Anwendung zugreift (ähnlich Google Docs oder Microsoft Online Services). Bis zum Jahr 2015 sollen 80% der Desktops der zentralen öffentlichen Verwaltung anstatt lokaler Office-Applikationen auf cloudbasierte Dienste zurückgreifen. Ein ähnliches Beispiel stellt Los Angeles dar. Im Oktober 2009 unterzeichnete die Stadtverwaltung mit Google einen Vertrag, um künftig Google s Apps anstelle konventioneller, lokaler Office-Anwendungen zum Einsatz zu bringen [12]. Ähnliche Anwendungsfälle könnten sich auch für die österreichische öffentliche Verwaltung ergeben. Beispielsweise hat der österreichische IT-Dienstleister Fabasoft mit Fabasoft FOLIO Cloud 10 ein cloudbasiertes Produkt auf den Markt gebracht, das unter anderem als Content Management, Archivierungs-, Projektmanagement oder Collaboration System genutzt werden kann. 10 Produktdetails siehe 18

19 Neben einer Vielzahl positiver Eigenschaften von Cloud-Systemen wirken die noch mangelnde Durchdringung des CSP Marktes mit etablierten Standards, sowie die teilweise unklare Rechtslage im Bereich des Datenschutzes, noch ernüchternd. Der Mangel an Standards verhindert letztlich ein einfaches Portieren von cloudbasierten Anwendungen von einem CSP zu einem anderen, was im Falle wirtschaftlicher Probleme eines CSPs für die Verfügbarkeit der Gesamtanwendung entscheidend sein kann. Dies bringt eine ungewollte Bindung an einen CSP (vendor lock-in). Die grundlegenden Datenschutzaspekte wurden in Abschnitt 4 bereits diskutiert. In erster Linie geht es darum die Datenschutzanforderungen zu kennen, die auf den Nutzer und auf den Anbieter (CSP) der cloudbasierte Dienste und Ressourcen wirken. Beim CSP müssen alle möglichen Standorte beachtet werden. Auf Basis dieses Wissens kann dann der Nutzer eine Entscheidung treffen, ob der CSP geeignet ist. Die dynamische und verteilte Architektur von Clouds kommt dabei erschwerend hinzu und macht eine profunde Entscheidung im schlimmsten Fall unmöglich. Je kleiner die Cloud und je lokal beschränkter diese ist, desto einfacher ist die Entscheidungsgrundlage. Bei einem CSP, der mit einer auf einem Territorium operierenden Cloud arbeitet, ist die Fragestellung identisch wie bei heutigen IT- Outsourcing Entscheidungen. Zusammengefasst stellt Cloud-Computing eine Weiterentwicklung dar, die sich auch auf das E-Government auswirken wird. Kurz- und mittelfristig wird man vor allem bei Rechenzentren den Schwenk zu Cloud-ähnlichen Strukturen finden (z.b. im Rahmen internationaler Kooperationen). Nutzt das E-Government solche Rechenzentren, um Anwendungen betreiben zu lassen, so wird man unweigerlich mit dem Thema Cloud- Computing konfrontiert werden. Andererseits sind auch auf Basis von territorial eingeschränkter, privater Clouds E-Government Plattformen vorstellbar, die etwa elektronische Aktensystem (als SaaS) oder Web-Formulare (als PaaS) zur Verfügung stellen. Eine derartige Plattform könnte vor allem kleinen und mittleren Behörden helfen, kostengünstig und ohne tiefem technischem Know-Hows bspw. ein Aktensystem (allgemein Workflow-System) oder (maßgeschneiderte) E-Government Formulare einzuführen. Referenzen [1] M.Armburst, et.al.: Above the Clouds: A Berkeley View of Cloud-Computing. EECS Department, University of California, Berkeley. 10 Februar Abgerufen aus dem WWW am 30. Juli 2010 unter [2] T.Mather, S.Kumaraswamy, S.Latif: Cloud Security and Privacy An Enterprise Perspective on Risks and Compliance. O Reilly Media Inc. ISBN September [3] Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud- Computing V2.1. Version 2.1, vom Dezember Abgerufen aus dem WWW am 8. September 2010 unter [4] Cloud Security Alliance: Domain 10 - Guidance for Application Security V2.1. Version 2.1, von Juli Abgerufen aus dem WWW am 8. September 2010 unter [5] OASIS Standard: Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0. Editoren S.Cantor, J.Kemp, R.Philpott und E.Maler. Version 2.0, vom 15. März Abgerufen aus dem WWW am

20 September 2010 unter 2.0-os.pdf. [6] B.Prince: IBM Discovers Encryption Scheme That Could Improve Cloud Security, Spam Filtering. Artikel veröffentlicht in eweek.com, am 25. Juni Abgerufen aus dem WWW am 8. September 2010 unter Could-Improve-Cloud-Security-Spam-Filtering [7] C. Wang, Q. Wang, K. Ren, K., W. Lou: Ensuring data storage security in cloud computing. Aus Proceedings der IWQoS 2009 Konferenz, Charleston, South Carolina, USA [8] W. Mao: Modern Cryptography - Theory and Practice. Hewlett-Packard Books, Prentice Hall. ISBN August [9] B. Schwan: Voll homomorphe Verschlüsselung in der Cloud. Heise News vom 16. Juni Abgerufen aus dem WWW am 8. September 2010 unter [10] T.Weichert: Cloud-Computing und Datenschutz. Unabhängiges Landeszentrum für Datenschutz Schleswig-Hohlstein. Abgerufen aus dem WWW am 30.Juli 2010 unter [11] C.Arthur: Government to set up own Cloud-Computing System. Artikel aus guardian.co.uk vom 27. Jänner Abgerufen aus dem WWW am 30. Juli 2010 unter [12] T.Claburn: Google's 'Gov Cloud' Wins $7.2 Million Los Angeles Contract. Artikel in der InformationWeek vom 28. Oktober Abgerufen aus dem WWW am 10. September 2010 unter [13] Artikel 29 Datenschutzgruppe Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortliche und Auftragsverarbeiter, WP169, 16. Februar Verfügbar und abgerufen aus dem WWW am 14. September 2010 von 20

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

It's all in the Cloud! Cloud Computing Grundlagen

It's all in the Cloud! Cloud Computing Grundlagen It's all in the Cloud! Cloud Computing Grundlagen Folie: 1/25 Agenda Einleitung - Cloud Computing Begriffe Überblick - Wer bietet was? Der Weg zur Private Cloud Einblick - RRZK und Cloud Computing Anmerkung

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Sind Cloud Apps der nächste Hype?

Sind Cloud Apps der nächste Hype? Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau

Mehr

Stefan Kusiek BFW-Leipzig

Stefan Kusiek BFW-Leipzig Stefan Kusiek BFW-Leipzig Schnellere Geräte (CPU, HDD, RAM, ) Mehrere Geräte (CPU, HDD, RAM, ) Mehrere Geräte (Rechner, Server, ) Cluster Preiswerter????? Mindestgröße Installation Konfiguration Wartung

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Linux Server in der eigenen Cloud

Linux Server in der eigenen Cloud SÜD IT AG World of IT Linux Server in der eigenen Cloud Infrastructure as a Service (IaaS) Michael Hojnacki, ProtoSoft AG Quellen: SUSE Cloud 4 Präsentation (Thore Bahr) Diverse Veröffentlichungen Stahlgruberring

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

JEAF Cloud Plattform Der Workspace aus der Cloud

JEAF Cloud Plattform Der Workspace aus der Cloud JEAF Cloud Plattform Der Workspace aus der Cloud Juni 2014 : Aktuelle Situation Heutige Insellösungen bringen dem Nutzer keinen Mehrwert Nutzer sind mobil Dateien und Applikationen sind über Anbieter und

Mehr

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen Cloud Computing D o m i n i c R e u t e r 19.07.2011 1 Seminar: Dozent: Softwarearchitekturen Benedikt Meurer GLIEDERUNG Grundlagen Servervirtualisierung Netzwerkvirtualisierung Storagevirtualisierung

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Agenda Cloud: Services, Daten Paradigma-Wechsel Umfeld und Markt-Beobachtungen Verantwortung

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

- Sicherheit in der Cloud -

- Sicherheit in der Cloud - - Blockseminar Siegmundsburg - - Sicherheit in der Cloud - Christoph Koch Christoph Koch 1 Friedrich-Schiller-Universität Jena Agenda 1) Motivation 2) Datensicherheit / Datenschutz 3) Herausforderungen

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

Christian Metzger Thorsten Reitz Juan Villar. Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER

Christian Metzger Thorsten Reitz Juan Villar. Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER Christian Metzger Thorsten Reitz Juan Villar Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht HANSER Inhalt Vorwort, XI 1 Ist die Zukunft schon da? 1 1.1 Allgemeine Definition

Mehr

Vorbesprechung Hauptseminar "Cloud Computing"

Vorbesprechung Hauptseminar Cloud Computing Vorbesprechung Hauptseminar "Cloud Computing" Dimka Karastoyanova, Johannes Wettinger, Frank Leymann {karastoyanova, wettinger, leymann}@iaas.uni-stuttgart.de Institute of Architecture of Application Systems

Mehr

Cloud Computing: Hype oder Chance auch. für den Mittelstand?

Cloud Computing: Hype oder Chance auch. für den Mittelstand? Prof. Dr.-Ing. Rainer Schmidt HTW Aalen Wirtschaftsinformatik Überblick Was ist Cloud-Computing und wieso ist es für Unternehmen wichtig? Wie können Unternehmen mit Hilfe einer Cloud- Computing-Strategie

Mehr

ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY

ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY ADLON Datenverarbeitung Systems GmbH Cloud Security, Konstanz, 14.12.2011 Agenda Die Firma ADLON Der Trend Cloud Was ist IT Sicherheit Cloud Security

Mehr

EuroCloud Deutschland_eco e.v.

EuroCloud Deutschland_eco e.v. Die Cloud Factory das moderne Rechenzentrum EuroCloud Deutschland_eco e.v. 1 Kurzvorstellung EuroCloud 2 Wo ist der Business Case? 3 Was erwartet der Kunde? 4 Besondere Herausforderungen 5 Vom Rechenzentrum

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Cloud Computing Chancen für KMU

Cloud Computing Chancen für KMU Cloud Computing Chancen für KMU Sascha A. Peters Cluster Manager IT FOR WORK 31. Oktober 2012 Cloud Computing Worüber reden alle? Fragen zum Thema Cloud Was ist Cloud Computing und wofür wird es genutzt?

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht. von Christian Metzger, Thorsten Reitz, Juan Villar. 1.

Cloud Computing. Chancen und Risiken aus technischer und unternehmerischer Sicht. von Christian Metzger, Thorsten Reitz, Juan Villar. 1. Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht von Christian Metzger, Thorsten Reitz, Juan Villar 1. Auflage Hanser München 2011 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

CC: Herausforderungen Konsequenzen & Aufgaben

CC: Herausforderungen Konsequenzen & Aufgaben KOGIS CC: Herausforderungen Konsequenzen & Aufgaben Aus 5 Jahren Erfahrung geo.admin.ch SATW 10.9.2014 Hanspeter Christ & David Oesch KOGIS CC: Herausforderungen Konsequenzen & Aufgaben Aus 5 Jahren Erfahrung

Mehr

Überblick zu bewährten Cloud ServiceVarianten. Dipl.-Ing. Udo Böhm, Senior Consultant

Überblick zu bewährten Cloud ServiceVarianten. Dipl.-Ing. Udo Böhm, Senior Consultant Überblick zu bewährten Cloud ServiceVarianten Dipl.-Ing. Udo Böhm, Senior Consultant Welche IT-Services gibt es am deutschen Markt? Projektbasierte IT-Services (ca. 30%, Tendenz konstant) IT Consulting

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Cloud Computing. IM-Briefing 3.12.2009

Cloud Computing. IM-Briefing 3.12.2009 Cloud Computing IM-Briefing 3.12.2009 Cloud Computing IM-Breefing 3.12.2009 Fragestellung Was ist eine Cloud Vergangenheit, Gegenwart Motivation - Treiber Technische Ausprägungen Anwendungsfälle Abhängigkeit

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten Inhalt 1. Einführung Geschichte 2. Grundidee der Cloud-Technik (Virtualisierung, Skalierbarkeit,

Mehr

Cloud Computing als Basisinfrastruktur für Shared Services in der Verwaltung

Cloud Computing als Basisinfrastruktur für Shared Services in der Verwaltung Cloud Computing als Basisinfrastruktur für Shared Services in der Verwaltung Dr. Matthias Kaiserswerth Director and Vice President IBM Research - Zurich Aktuelle Situation Die Finanzkrise hat tiefgreifende

Mehr

Cloud Computing Datenschutz und IT-Sicherheit

Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing in der Praxis Trends, Risiken, Chancen und Nutzungspotentiale IHK Koblenz, 23.5.2013 Helmut Eiermann Leiter Technik Der Landesbeauftragte für

Mehr

Ein Cloud-basierter Marktplatz für vertrauenswürdige Dienste aus Wirtschaft und Verwaltung

Ein Cloud-basierter Marktplatz für vertrauenswürdige Dienste aus Wirtschaft und Verwaltung Ein Cloud-basierter Marktplatz für vertrauenswürdige Dienste aus Wirtschaft und Verwaltung Dr.-Ing. Matthias Flügge April 2012 Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS 1 Motivation Lebenslage

Mehr

Cloud Computing: Chancen und Herausforderungen. Dr. Mathias Petri IHK Cottbus, 29. Mai 2013

Cloud Computing: Chancen und Herausforderungen. Dr. Mathias Petri IHK Cottbus, 29. Mai 2013 Cloud Computing: Chancen und Herausforderungen Dr. Mathias Petri IHK Cottbus, 29. Mai 2013 StoneOne 2013 Über StoneOne Gründung 2007 in Berlin Entwicklung von Softwarebausteinen für Software as a Service

Mehr

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Information Systems & Semantic Web University of Koblenz Landau, Germany. Cloud Computing. Steffen Staab

<is web> Information Systems & Semantic Web University of Koblenz Landau, Germany. Cloud Computing. Steffen Staab Information Systems & Semantic Web University of Koblenz Landau, Germany Cloud Computing Cloud Computing if you do not have Cloud Computing in your business proposal you do not get VC funding. P. Miraglia@Austin,

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Herausforderungen beim Arbeiten in der Wolke

Herausforderungen beim Arbeiten in der Wolke Herausforderungen beim Arbeiten in der Wolke Was Sie auf dem Weg zum Cloud Computing bedenken sollten Natanael Mignon // nm@consulting-lounge.de Agenda» Cloud was ist das?» Welchen Herausforderungen müssen

Mehr

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Erfahrungen im Münchner Wissenschaftsnetz Silvia Knittl, Wolfgang Hommel {knittl,hommel}@mnm-team.org Agenda Hybrid Cloud im Münchner Wissenschaftsnetz

Mehr

Identitätsmanagement der nächsten Generation

Identitätsmanagement der nächsten Generation Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur Dr. Eisenstadt, 03.06.2014 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes

Mehr

Pressekonferenz Cloud Monitor 2015

Pressekonferenz Cloud Monitor 2015 Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen

Mehr

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Musterexamen EXIN Cloud Computing Foundation Ausgabe Mai 2012 Copyright 2012 EXIN Alle Rechte vorbehalten. Veröffentlichung, Wiedergabe, Vervielfältigung oder Aufzeichnung auf einem Speichermedium bzw.

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud 1 Bayerischer IT-Sicherheitscluster e.v. 28.02.2014 Was ist CeSeC Certified Secure Cloud? Die Certified Secure Cloud, oder kurz CeSeC genannt, ist ein technischer und organisatorischer

Mehr

OmniCloud. Sichere Nutzung von Cloud-Speicherdiensten. Ruben Wolf (Fraunhofer SIT)

OmniCloud. Sichere Nutzung von Cloud-Speicherdiensten. Ruben Wolf (Fraunhofer SIT) OmniCloud Sichere Nutzung von Cloud-Speicherdiensten Ruben Wolf (Fraunhofer SIT) Sicus e.v. AK Datenschutz & Security AK Identity & Access Management 25.04.2013 ThyssenKrupp, Essen Inhalt 1. Sicherheit

Mehr

Trusted Adviser gesucht: Vom Outsourcing zum Cloud-Sourcing. Ing. Thomas Putz, MSc. Kapsch BusinessCom AG

Trusted Adviser gesucht: Vom Outsourcing zum Cloud-Sourcing. Ing. Thomas Putz, MSc. Kapsch BusinessCom AG Trusted Adviser gesucht: Vom Outsourcing zum Cloud-Sourcing Ing. Thomas Putz, MSc. Kapsch BusinessCom AG Operating ICT Trust Kapsch 4 Operating ICT Trust Kapsch 5 Studie zu den spannenden Fragen rund

Mehr

Software as a Service

Software as a Service Software as a Service Andreas Von Gunten http://www.ondemandnotes.com http://www.andreasvongunten.com SaaSKon 2008 11. November 2008 Das Problem - Komplexität Software selber zu betreiben, bedeutet zunehmende

Mehr

Cloud Computing mit OpenStack

Cloud Computing mit OpenStack Cloud Computing mit OpenStack B1 Systems GmbH http://www.b1-systems.de Cloud Computing Cloud Computing Servicemodelle Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service

Mehr

Trusted Cloud im Gesundheitswesen mit TRESOR. Torsten Frank Geschäftsführer medisite Systemhaus GmbH

Trusted Cloud im Gesundheitswesen mit TRESOR. Torsten Frank Geschäftsführer medisite Systemhaus GmbH Trusted Cloud im Gesundheitswesen mit TRESOR Torsten Frank Geschäftsführer medisite Systemhaus GmbH Telemed 2013-18. Nationales Forum für Gesundheitstelematik und Telemedizin Zur Person Torsten Frank Geschäftsführer

Mehr

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein Contra Cloud Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein DAV-Symposium: In den Wolken Schutz der anwaltlichen Verschwiegenheitspflicht auch bei grenzüberschreitendem

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Microsoft Azure für KMU

Microsoft Azure für KMU Microsoft Azure für KMU IT bei KMU entwickelt sich weiter 47% aller Applikationen on-prem 70% der Server nicht virtualisiert Virtualisierung wächst ums 2.5x Cloudwachstum basiert auf IaaS Neue Applikationen

Mehr

Multicast Backbone in the Cloud. Sebastian Zagaria Prof. Dr. Thomas C. Schmidt

Multicast Backbone in the Cloud. Sebastian Zagaria Prof. Dr. Thomas C. Schmidt Multicast Backbone in the Cloud Sebastian Zagaria Prof. Dr. Thomas C. Schmidt Gliederung Motivation HAMcast Project Cloud Computing Multicast Backbone in the Cloud Ausblick Motivation Probleme von IP Multicast

Mehr

Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste

Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste Innovationspolitik, Informationsgesellschaft, Telekommunikation Technologiepolitische Aktionslinie des BMWi zum Internet der Dienste Dr. Andreas Goerdeler, Referatsleiter Entwicklung konvergenter IKT www.bmwi.de

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

Cloud! dotnet Usergroup Berlin. Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de

Cloud! dotnet Usergroup Berlin. Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de dotnet Usergroup Berlin Cloud! Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de conplement AG Südwestpark 92 90449 Nürnberg http://www.conplement.de/roberteichenseer.html 1 conplement

Mehr

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Impressum Angaben gemäß 5 TMG: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Vertreten durch: Jens Müller Kontakt: Telefon: 004915168497847 E-Mail: info@mcdrent.de Registereintrag: Eintragung

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht Cloud Dienste als rechtliche Herausforderung BESTANDSAUFNAHME

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering Azure und die Cloud Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat Institut für Informatik Software & Systems Engineering Agenda Was heißt Cloud? IaaS? PaaS? SaaS? Woraus besteht

Mehr