Special Interest Group Cloud: Architektur, Daten- und Rechtssicherheit. Whitepaper

Größe: px
Ab Seite anzeigen:

Download "Special Interest Group Cloud: Architektur, Daten- und Rechtssicherheit. Whitepaper"

Transkript

1 Special Interest Group Cloud: Architektur, Daten- und Rechtssicherheit

2 Für Fragen zu diesem Dokument wenden Sie sich bitte an: Patrick Quellmalz VOICE Verband der IT-Anwender e.v. Marienstraße Berlin Postadresse: Inselkammerstraße Unterhaching Tel: Christoph Hecker VOICE Verband der IT-Anwender e.v. Marienstraße Berlin Postadresse: Inselkammerstraße Unterhaching Tel: Seite 2 von 24

3 Inhaltsverzeichnis Abbildungsverzeichnis Einleitung Definition Überblick Themenfelder...11 Übersicht Cloud-Toolbox Beschaffung...12 Status Quo Die Schritte und Ausgestaltung der Beschaffung Gegenüber dem Anbieter zu adressierende Herausforderungen Zertifizierung Standards/Interoperabilität Rechtlicher Rahmen Sicherheit Generelle Forderungen Entwicklung auf europäischer Ebene...23 Literaturverzeichnis...24 Seite 3 von 24

4 Abbildungsverzeichnis Abbildung 1: Servicemodelle "XaaS" (Quelle: acatech, Deutsche Akademie der Technikwissenschaften (2012))... 9 Abbildung 2: Bereiche des Cloud Computing...11 Abbildung 3: Toolbox Cloud Computing nach VOICE e.v Abbildung 4: Einflussfaktoren des organisationalen Beschaffungsverhaltens (in Anlehnung an Johnston/Lewin (1996), Prozess rechts noch zu integrieren nach van Weele (2005) Abbildung 5: Sichtweisen auf die Cloud-Service Beschaffung und assoziierte Kriterien (Quelle: Value4Cloud, sowie (Wollersheim et al. 2012), (Hoberg et al. 2012b))...13 Abbildung 6: Cloud Serviceanbieter Überprüfung...16 Abbildung 7: An der Standardisierung beteiligte nationale und internationale Organisationen...17 Abbildung 8: Beispiel des Enterprise Integration Bus seitens der Hapag Llloyd AG...18 Seite 4 von 24

5 1. Einleitung Der Austausch von Best-Practices unter den Mitgliedern steht zusammen mit der Vertretung deren Interessen im Mittelpunkt der Arbeit von VOICE e.v. In der Special Interest Group (SIG) Cloud: Architektur, Daten- und Rechtssicherheit wurden verschiedene Aspekte rund um den Schwerpunkt Cloud-Computing bearbeitet unter Anderem Beschaffung, Zertifizierung, Rechtlicher Rahmen, Sicherheit und Standards/Interoperabilität. Die Ergebnisse sind hier und in dem dazugehörigen Cloud- Werkzeugkasten für die Mitglieder zusammengefasst. Neben konkreten Ansätzen gibt das einen aktuellen Stand über Aktivitäten der Bundesregierung rund um Cloud- Services und beschreibt Forderungen der IT-Anwender gegenüber der Bundesregierung und der EU-Kommission (in Zusammenarbeit mit dem EuroCIO), sowie der Positionierung gegenüber Lösungsanbietern. Einen Dank für die engagierte Unterstützung bei der Erstellung der vorliegenden Ergebnisse, dürfen wir, neben den Teilnehmer der SIG Cloud: Architektur, Daten- und Rechtssicherheit, den folgenden Kollegen aus dem Netzwerk und ihren Unternehmen aussprechen. Namentlich zu nennen sind hier für den Bereich Beschaffung Jan Wollersheim (fortiss GmbH, Projekt Value4Cloud/Trusted Cloud), für den Bereich Zertifizierung Thomas Doms (TÜV TRUST IT GmbH) in Zusammenarbeit mit Nils Burmester (Bosch und Siemens Hausgeräte GmbH). Der Cloud-Gedanke verspricht Geschwindigkeit und Flexibilität und kann daher zu einem zentralen Vorteil für Unternehmen im globalen Wettbewerb werden. Aber noch hält die Cloud nicht, was sie verspricht. Denn in prozessualen und rechtlichen Belangen, sowie in Sachen Schnittstellen-Technologie und Interoperabilität ist sie noch nicht ausgereift. Hier besteht wie bei der Klärung von diversen rechtlichen Fragestellungen Handlungsbedarf. Dort, wo ein Einsatz möglich und sinnvoll ist, gilt es den Bedarf für Wissen und Werkzeuge zum richtigen Einsatz zu vervollständigen und aktuell zu halten. IT schnell und flexibel zukaufen zu können, ermöglicht es Unternehmen binnen kurzer Zeit Kapazitäten aufzubauen ohne Kapital langfristig binden zu müssen wie etwa durch das Einstellen neuer Mitarbeiter - Sei es auf einem lokalen Markt oder um neue Produkte oder Services zu lancieren. Die Technologien dafür stehen bereit doch sind z.b. die Beschaffungsprozesse zu optimieren. In den meisten Unternehmen liegt dies in der Verantwortung des IT-Bereiches, in anderen aber auch direkt in deren Fachabteilungen. So spielen das mit der Investition verbundene Risiko und die vom Unternehmen vorgenommene Klassifizierung der betroffenen Daten in einer Schutzklasse (mit den entsprechenden Konsequenzen hinsichtlich der Anforderungen an die Kombination aus technischen, organisatorischen, personellen und baulich-infrastrukturellen Sicherheitsmaßnahmen) eine zentrale Rolle. Die Verpflichtung durch das BDSG zur "sorgfältigen Auswahl" des Cloud-Providers gestaltet sich in der Praxis, wegen der oft nicht vorhanden transparenten Qualität der Cloud- Dienstleistung oder komplexer Partner- und Vertragssituationen, oft schwierig. Die Cloud ändert nichts an der unternehmerischen Verantwortung für die Daten und den Datenschutz. Die Verantwortung dafür kann vertraglich nicht auf einen Dienstleister übertragen werden. Gütesiegel und Zertifizierungen liefern einen Beleg für die Prüfung von Sicherheits-, Compliance- und Datenschutz-Anforderungen. Der im Rahmen des Vorgehens mit der SIG Seite 5 von 24

6 erarbeitete Anforderungs- und Prüfkatalog verbindet die Anforderungen aller relevanten Normen und ermöglicht eine strukturierte Prüfung der Kriterien durch das Unternehmen selbst oder durch eine unabhängige Stelle. Entsprechend des Schutzbedarfs können Selbstverpflichtung, Eigen-Auditierung oder externe Prüfung gewählt werden. VOICE bietet seinen Mitgliedern dabei die Möglichkeit, ihre jeweiligen Prüfergebnisse im Netzwerk auszutauschen. Kurz: Die Chancen der Cloud für beide Seiten, Anbieter und Anwender, sind längst nicht ausgeschöpft. Grund dafür sind neben den komplexen Sicherheits- und Rechtsfragen unter anderem auch hohe Integrationskosten. Cloud-Lösungen lassen sich oft nur unter beträchtlichem Aufwand in die Unternehmens-IT integrieren, beziehungsweise mit angrenzenden Cloud-Lösungen verknüpfen. Hinzu kommt, dass Best Practices fehlen, etwa für die Ausgestaltung des Cloud-Exit-Services. Denn wenn Anwender ihre Daten in die Wolke geben sollten sie sicher sein, dass sie sich von dort gegebenenfalls auch wieder entfernen lassen. Und zwar genauso rest- wie reibungslos. Vielfach wird der Aufwand der Integration in die Unternehmensarchitekur unterschätzt, technisch und prozessual. Das erfordert oftmals einen großen Zeitaufwand für vertragliche Vereinbarungen und Installationen, der die Agilität bremst. Um wirklich schnell und flexibel handeln zu können, werden mehr Standards gebraucht: in den technischen Schnittstellen und für die Kooperation. Dabei fehlen oft noch Lösungen für die bestehenden Lizenzmodelle und sinnvolle und attraktive Lösungen die einen Wechsel in Cloud Modelle ermöglichen. Wer Daten in eine Wolke gibt, muss vorab sicherstellen, dass er sie auch wieder aus der Cloud herausbekommt. Und zwar in einem lesbaren Format und mit dem Nachweis darüber, dass die Daten vollständig aus der Cloud entfernt worden sind. Vorbild hierfür könnte der Deinstallationsnachweis beim Entfernen von Software nach dem Auslaufen eines Lizenzvertrags sein. Shared Data Shared Responsibilty In Deutschland herrscht ein ausgeprägtes Bewusstsein für die Relevanz von Datensicherheit. Dennoch ist es derzeit so, dass die Verantwortung für die Sicherheit der Daten allein auf der Cloud-Nutzer-Seite liegt. Der Cloud-Anbieter wird lediglich als verlängerte Werkbank des Unternehmens verstanden. Will heißen: Das Unternehmen steht in der Pflicht, den Anbieter gründlich zu prüfen. Wo werden die Daten aufbewahrt? Wer hat Zugang? Wie wird sichergestellt, dass Unbefugte nicht zugreifen können? Die entsprechenden Prüfungen durchzuführen, ist für den Cloud-Kunden mit erheblichem Aufwand verbunden. Auch aus Anbietersicht sind solche Kontrollen schlicht nicht durchführbar: Keine Public Cloud mit einer Vielzahl von Kunden will sich von jedem Einzelnen prüfen lassen. Dennoch, die Anforderung bleibt: Der Kunde braucht Transparenz und Nachweise zur Datensicherheit. Im Sinne aller Beteiligten wäre es hier sinnvoll in die geteilte Verantwortlichkeit zu gehen, beispielsweise indem die Anbieter für mehr Transparenz sorgen und die Cloud-Kunden bei ihren Kontrollpflichten unterstützen. Denkbar wäre hier ein abgestimmtes System von vergleichbaren Nachweisen und freiwillige Zertifizierungen. Cloud Computing hat ein hohes Potenzial, das Anbieter und Nutzer dauerhaft begleiten wird. Von diesem Potenzial aber werden alle erst dann in vollem Umfang profitieren, wenn die Regeln für das Miteinander klar definiert sind. Das wiederum setzt Investments voraus. Investments in Schnittstellentechnologien, Standards, Zertifizierungen Seite 6 von 24

7 etc., die nur dann getätigt werden, wenn die Vision eines profitablen Ökosystems im Vordergrund steht. Seite 7 von 24

8 2. Definition Für den Bereich des Cloud Computing existiert eine Vielzahl möglicher Definitionen auf dem Markt. Diese Definitionen sind oftmals geprägt vom betrachteten Servicemodell einer Cloud- Lösung. Um einen einheitlichen Sprachgebrauch zu gewährleisten wird im vorliegenden Dokument die Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwendet: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Gemäß dem National Institute of Standards and Technology (NIST, 2011) und der Cloud Security Alliance (CSA) werden IT-Dienstleistung (Cloud-Services) durch nachfolgende Eigenschaften charakterisiert: On-demand Self Service: Ressourcenbereitstellung ohne Service-Anbieter- Interaktion Broad Network Access: Verfügbarkeit mittels Standard-Mechanismen über das Netz (Client unabhängig) Resource Pooling: Anbieterressourcen liegen in einem Pool vor, um viele Anwender bedienen zu können (Multi-Tenant Modell), Ressourcenlokation ist unbekannt, Speicherort kann jedoch vertraglich festgelegt werden (Region, Land oder Rechenzentrum) Rapid Elasticity: Services können schnell und flexibel bereitgestellt werden (teils automatisch), Ressourcen erscheinen unendlich und können in jeder Menge zu jeder Zeit verfügbar gemacht werden Measured Services: Cloud-Systeme steuern und optimieren automatisch die Ressourcennutzung auf bestimmten Ebenen (serviceabhängig, z.b. Speicher, Bandbreite, aktive Nutzerkonten), die Nutzung kann überwacht, gesteuert und dem Anwender zur Verfügung gestellt werden (Transparenz) Service orientierte Architektur (SOA) als Grundvoraussetzungen für Cloud Computing (Angebot über REST-API) Viele Anwender teilen sich gemeinsame Ressourcen (Mandantenfähigkeit) Pay per Use Model, bzw. Flatrate-Modelle Diese Services können durch verschiedene Liefermodelle bereitgestellt werden, bei dem das NIST in vier Kategorien unterteilt. Die Private Cloud wird für die ausschließliche Verwendung einer Organisation (unternehmenseigen) für mehrere Anwender (z.b. verschiedene Geschäftseinheiten) bereitgestellt. Sie wird von dem Unternehmen selber, einem Drittanbieter oder einer Kombination aus beidem zur Verfügung gestellt und verwaltet. Seite 8 von 24

9 Die Community Cloud bietet Zugang zu einer abstrahierten IT-Infrastruktur, ähnlich der Public Cloud, jedoch für einen erweiterten Nutzerkreis (Community) an Anwendern verschiedener Organisationen mit gleichen Interessen (Forschungsgemeinschaften, Universitäten, städtische Behörden, Unternehmen). Dabei wird sie von einem oder mehreren Unternehmen der Community, bzw. einem Drittanbieter verfügbar gemacht. Sowohl Private, als auch Community Cloud sind Onoder Off-Premise verfügbar. In der Public Cloud wird die Infrastruktur für die Öffentlichkeit über das Internet zur Verfügung gestellt. Der Service Anbieter kann ein Unternehmen, eine wissenschaftliche oder eine staatliche Institution sein und ist im Besitz der jeweiligen IT-Infrastruktur. Auf die Form und den physischen Ort der Datenhaltung, auf Compliance- und Sicherheitsaspekte hat der Nutzer oftmals keinen Einfluss. Als vierte Form der Bereitstellung existiert die Hybrid Cloud, welche eine Mischung aus 2 oder mehr der bereits aufgeführten Varianten ist, welche jedoch eigenständig bleiben, aber über standardisierte oder proprioritäre Technologien verbunden sind und eine Daten- und Anwendungsportabilität ermöglichen (Bsp.: Lastausgleich) Ähnlich den verfügbaren Liefermodellen, existieren für Cloud-Services eine Vielzahl an Servicemodellen, die als * as a Service (*aas) bezeichnet werden. Die Gesamtheit aller Services wird oft auch als XaaS, also Irgendwas als Dienstleistung bezeichnet und werden beispielhaft in Abbildung 1 dargestellt. Abbildung 1: Servicemodelle "XaaS" (Quelle: acatech, Deutsche Akademie der Technikwissenschaften (2012)) Die drei gebräuchlichsten Modelle werden nachfolgend erläutert: Infrastructure as a Service (IaaS) bezeichnet die Bereitstellung von virtualisierten IT-Ressourcen, wie Rechenleistung, Datenspeicher, Netze oder allgemein einer Infrastruktur als Dienst. Der Kunde hat dabei die volle Kontrolle über das IT-System und baut auf diesem, in hohem Maße standardisierten Services, seine eigenen Services zum internen oder externen Gebrauch auf. Bei der Platform as a Service (PaaS) werden dem Anwender Zugang zu Laufzeitoder Programmierumgebungen zur Verfügung gestellt. Der Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf dieser standardisierte Seite 9 von 24

10 Schnittstellen zur Nutzung der Kundendienste bereit. Auf die darunterliegenden Schichten, wie Betriebssystem und Hardware hat der Anwender keinen Zugriff, er hat nur Kontrolle über die Anwendung. Software as a Service (SaaS) ist die Bereitstellung sämtlicher Angebote von Anwendungen über definierte Schnittstellen, bei der die volle Kontrolle bei dem Serviceprovider liegt. Das Cloud Computing ähnelt in gewissen Grundzügen dem Outsourcing, erweitert das Modell aber um weitere Aspekte. So definiert sich Outsourcing durch das Auslagern von Arbeits-, Produktions- oder Geschäftsprozessen einer Institution/eines Unternehmens ganz oder teilweise zu externen Dienstleistern mit langen Laufzeitverträgen unter Verwendung einer Single Tenant Architektur. Beim Cloud Computing hingegen wird eine Multi Tenant Architektur verwendet. Die Bedarfsanpassung erfolgt dynamisch und ist innerhalb wesentlich kürzerer Zeiträume skalierbar. Weiterhin ist es möglich die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch weit verstreut sein können (Inland ebenso wie Ausland) und die Administration erfolgt über passende Schnittstellen, wobei wenig Interaktion mit dem Provider erforderlich ist. Seite 10 von 24

11 3. Überblick Themenfelder Übersicht Die Verwendung eines Cloud-Services ist prozessual von der Beschaffung, der Nutzung und schließlich auch von den Möglichkeiten der Ablösung geprägt. Diese genannten Prozesse werden, wie in Abbildung 2 dargestellt, von mehreren Teilbereichen (Sicherheit, Verträge, Zertifizierung, Standards und Interoperabilität), wie sie hier beispielhaft gezeigt werden, beeinflusst. All diesen Bereichen ist gemein, dass aus Ihnen nicht nur spezielle, sondern auch generelle Forderungen der Anwender gegenüber Anbietern und nationalen/internationalen Gesetzgeber erwachsen, welche das gesamte Konstrukt einer Cloud-Service Nutzung beeinflusst. Cloud-Toolbox Abbildung 2: Bereiche des Cloud Computing Der vorhergehende Überblick beschreibt, inwiefern die nachfolgenden Felder der Cloud- Toolbox aus Abbildung 3 ineinander greifen und entstehen. Hinter jedem Feld, welches ein bestimmtes Thema abbildet, sind Best Practice Ansätze, Vorgehensmodelle, Werkzeuge und Forderungen der Anwender hinterlegt. Im vorliegenden wird der aktuelle Stand in Deutschland und ggf. in Europa der einzelnen Bereiche näher beschrieben und die Forderungen des Verbandes VOICE e.v. gegenüber Anbietern & dem Gesetzgeber (national und international) formuliert. Abbildung 3: Toolbox Cloud Computing nach VOICE e.v. Seite 11 von 24

12 4. Beschaffung Status Quo Die Beschaffung von Dienstleistungen und somit auch von Cloud Services vollzieht sich in Unternehmen in einem multipersonalen Problemlösungs- und Entscheidungsprozess, der durch aktives Informationsverhalten und häufige Interaktion gekennzeichnet ist (Johnston/Lewin 1996). Die wesentlichen Prozessschritte sind die Spezifikation des Bedarfs, die Anbieterauswahl und der (Rahmen-)Vertragsabschluss (Van Weele 2005, 29). Im Anschluss folgen dann ggf. mehrere Prozesse mit den Schritten Auftragserteilung, Überwachung und Evaluation. Dabei ist es wichtig, die Schnittstellen zwischen den einzelnen Prozessschritten gut zu definieren und bspw. go-no-go Dokumente zu etablieren. Der gesamte Beschaffungsprozess wird beeinflusst von situativen Faktoren, die zu unterschiedlichen Ausprägungen des Prozesses, der Strukturierung enthaltener Aktivitäten und beteiligter Akteure führen (Büschken 1994; Kauffman 1996; Johnston/Lewin 1996). Diese situativen Einflussfaktoren können in die vier Bereiche Kauftyp, Organisation, Umwelt und Buying-Center gruppiert werden (Backhaus/Voeth 2010, 38). Die Ausgestaltung des Beschaffungsprozesses von Cloud Services wird bspw. im Bereich Kauftyp durch das mit der Investition verbundene Risiko für das beschaffende Unternehmen beeinflusst. Entsprechend ist auch die vom Unternehmen im Rahmen einer Strukturanalyse vorgenommene Klassifizierung der betroffenen Daten in eine Schutzklasse ein wichtiger Einflussfaktor. Der durch die Schutzklasse definierte Schutzbedarf der Daten impliziert Anforderungen an die Kombination aus technischen, organisatorischen, personellen und baulich-infrastrukturellen Sicherheitsmaßnahmen die bei der Datenhaltung und Verarbeitung einzuhalten sind (BSI 2011, 13). Diese sind zunächst vom Anwender in der Spezifikation seines Service-Bedarfs zu berücksichtigen und spiegeln sich im Verlauf des Auswahlprozesses in entsprechenden Prüfaktivitäten. Ein weiterer Einflussfaktor auf den Beschaffungsprozess sind gesetzliche Vorgaben für betroffene Daten. Governance-Strukturen der beschaffenden Organisation wie etwa definierte Abläufe für die Beschaffung von IT-Dienstleistungen sind ebenso ein zu berücksichtigender Einflussfaktor bei der Ausgestaltung des Beschaffungsprozesses wie Vorgaben bezüglich zu beteiligender Abteilungen und das Beziehungsnetzwerk der Beteiligten Akteure. Die nachfolgende Abbildung 4 visualisiert die Einflussfaktoren auf den organisationalen Beschaffungsprozess. Kauftyp Umwelt Merkmale der beschaffenden Organisation Organisationaler Beschaffungsprozess Buying Center & Buying Network Abbildung 4: Einflussfaktoren des organisationalen Beschaffungsverhaltens (in Anlehnung an Johnston/Lewin (1996), Prozess rechts noch zu integrieren nach van Weele (2005). Seite 12 von 24

13 Die Schritte und Ausgestaltung der Beschaffung Insbesondere an die Bedarfsspezifikation, dem ersten Schritt des Beschaffungsprozesses, werden bei der Beschaffung von Dienstleistungen besondere Anforderungen gestellt. Da die ex-ante Beschreibung von Dienstleistungen vergleichsweise schwierig ist, wird empfohlen zunächst eine unternehmensinterne Service-Spezifikation durchzuführen, um die Bedarfe und Anforderungen aller Beteiligten zu erfassen; diese aber dann in einem weiteren Schritt iterativ und gemeinsam im Dialog mit Anbietern weiter zu detaillieren (Van der Valk et al. 2009). Diese Vorgehensweise fördert bspw. die Entwicklung eines gemeinsamen SLA- Verständnisses und ermöglicht dem beschaffenden Unternehmen von der Expertise der Anbieter und innovativen Ideen zu partizipieren. Im Rahmen der Service-Spezifikation, sowie der sich anschließenden Beschaffungsschritte, sind unterschiedlichste unternehmensinterne Beteiligte verantwortlich oder zu informieren. Um alle Interessen und Anforderungen zu erfassen sind Akteure aus der IT-Abteilung, dem Einkauf, der Rechtsabteilung, der Geschäftsführung und ggf. betroffenen Fachbereichen bzw. unternehmensinternen Kunden und Nutzer der zu beschaffenden Dienstleistung in den Prozess einzubinden. Die beteiligten Akteure spezifizieren zunächst gemeinsam die bei der Beschaffung zu berücksichtigen Serviceeigenschaften und die pro Eigenschaft angestrebte Merkmalsausprägung. Pro Merkmal wird dann im Verlauf des Beschaffungsprozesses der Erfüllungsgrad pro angebotenem Service analysiert. Den Beschaffungsprozess von Cloud Services, seine Einflussfaktoren, häufig verwendete Merkmale und deren Zuordnung zu Akteuren im Beschaffungsprozess untersucht das vom Bundesministerium für Wirtschaft und Technologie geförderte Projekt Value4Cloud (weitere Informationen: Einen Ausschnitt des gegenwärtigen Arbeitsstandes visualisiert die folgende Abbildung 5, basierend bspw. auf den Veröffentlichungen von Hoberg et al. (2012a, 2012b). sowie Wollersheim et al. (2012). Abbildung 5: Sichtweisen auf die Cloud-Service Beschaffung und assoziierte Kriterien (Quelle: Value4Cloud, sowie (Wollersheim et al. 2012), (Hoberg et al. 2012b)) Bei der Betrachtung des Beschaffungsprozesses ist jedoch zu beachten, dass das Bereitstellungsmodell Cloud Computing per Definition industrialisierte Dienstleistungen beschreibt die mittels Selbstbedienung beschafft werden können, bei minimaler menschliche Interaktion zwischen Anwender- und Anbieter-Unternehmen (NIST 2011, 3). Seite 13 von 24

14 Gegenüber dem Anbieter zu adressierende Herausforderungen Die Beschaffung durch den Anwender bei minimaler Interaktion (Selbstbedienung) stellt insbesondere Anforderungen an die Beschreibung und Spezifikation von Cloud Services durch Anbieter. Der im Rahmen der Bedarfsspezifikation abteilungsübergreifend entstandene Merkmalskatalog wird vom beschaffenden Unternehmen während der Beschaffung zur Analyse des am Markt auffindbaren Angebots verwendet. Deshalb ist es notwendig: dass die per Selbstbedienung abrufbaren Servicebeschreibungen den Informationsbedarf des Anwenders vollständig abdecken. vorhandene und zukünftige Standardfunktionen/-anwendungen als Service zu definieren. Darüber hinaus sollten Servicebeschreibungen dem potenziellen Käufer bestimmte Abhängigkeiten aktiv aufzeigen. Anbieter sollten ihre Expertise und innovative Ideen aktiv einbringen und in der Servicebeschreibung bspw. weitergehende Informationen und Handlungsempfehlungen aufzeigen, die es ermöglichen den Cloud Service auch zur Speicherung und Verarbeitung personenbezogener Daten zu verwenden. Deshalb ist es notwendig: dass Anbieter bestehende Abhängigkeiten aufzeigen und aktiv Lösungsvorschläge präsentieren, wie der Cloud Service Anwender diese adressieren kann. dass Anbieter einen Standardkatalog für Risikoklassen, ähnlich dem bestehenden Schutzklassenkatalog (bereitgestellt durch die Bosch und Siemens Hausgeräte AG) verfügbar macht. Um den Grundforderungen an einen Service in Form von Einfachheit und Vergleichbarkeit gerecht zu werden, bedarf es einem Konzept, dass das notwendige Vertrauen in die Anbieter durch Transparenz und Verantwortlichkeiten steigert und somit zu einer erhöhten Risikoakzeptanz und verringerten Kontrollen (vom outtaking zum outsourcing) der Anwender führt. Eine Möglichkeit ist: dass Anbieter ab bestimmten Risikoklassen eine neutrale Zertifizierung (siehe Kapitel 6) durchlaufen. Neben den Anforderungen gegenüber den Anbietern erwachsen weitere Herausforderungen, die jedoch nur seitens der Politik und damit dem Gesetzgeber zu adressieren sind und im Kapitel 7 im Bereich des rechtlichen Rahmens betrachtet werden. Seite 14 von 24

15 5. Zertifizierung Vertrauen in die Nutzung von informationstechnischen Produkten und Systemen ist ein integraler Bestandteil, wenn sich der Nutzer auf eine Anwendungen verlassen will, vor allem im Bereich der Sicherheit von (sensiblen) Daten. Dieses Vertrauen ist für den Nutzer jedoch nur zu erreichen, wenn Klarheit bezüglich der Strukturen, Prozesse, Sicherheitseigenschaften und Rahmenbedingungen eines Cloud-Services bzw. dessen Provider besteht. Der Nutzer ist gemäß Bundesdatenschutzgesetz (BDSG) von vornherein zur sorgfältigen Auswahl des Cloud-Providers verpflichtet und hat die vorgenommenen Datenschutzmaßnahmen zu prüfen. Aufgrund von teilweise fehlender Expertise in den Unternehmen gestaltet sich dieses Vorgehen oft kritisch und ist nur mit erhöhtem Aufwand auf Anwender-, als auch auf Anbieterseite möglich. (Vgl. Fallenbeck, Windhorst (2012)). Eine Möglichkeit, um Transparenz gegenüber Sicherheits-, Compliance- und Datenschutz- Anforderungen zu schaffen, besteht in der Prüfung und Bewertung von Cloud-Services und Providern nach einheitlichen Kriterien durch unabhängige und anerkannte Prüfstellen und Bestätigung der Güte der Cloud Services durch ein Zertifikat.. (vgl. BSI (2012)). Zu den wichtigsten Zertifikaten mit Cloud-Computing-Bezug zählen: EuroCloud SaaS Star Audit ISO bzw. ISO auf Basis von BSI IT-Grundschutz das Europäische Datenschutz-Gütesiegel EuroPriSe das TÜV Trusted Cloud Zertifikat FedRAMP Jedoch sind Zertifikate und Gütesiegel auch kritisch zu betrachten. Zum einen gibt es Verfahren, die auf Selbst-Zertifizierung, bzw. auskunft nach Safe Harbour basieren, die in der Regel je nach vorliegendem Schutzbedarf des Unternehmens nicht ausreichen, da eine neutrale Prüfaussage und ein regelmäßiges Monitoring als wichtige Zertifizierungsvoraussetzung nicht gegeben sind. Zum anderen wird die Komplexität der Auslagerung eines Services in die Cloud und des Vorganges der Anbieterauswahl gemäß der gegebenen Anwenderanforderungen in allen Prüfstandards häufig nur unzureichend abgebildet. Eine Möglichkeit die Komplexität zu reduzieren, wäre ein Cloud-Prüfsystem auf Basis genereller Standards und Anforderungen und/oder individueller Kunden- sowie kontextbezogener Prüfinhalte, bei dem der Standard des Provider mit der Anforderungsanalyse des Anwenders überein stimmt. Dazu ist es notwendig, dass der Anwender, zur Schaffung einer Entscheidungsgrundlage, bereits vorab die Sicherheits-, Compliance- und Qualitätsanforderungen an einen Provider identifiziert. Eine Möglichkeit die Nutzung eines Cloud-Services vorzubereiten und zu unterstützen, wäre die VOICE Cloudability-Analyse oder das CSA Self-Assessment. Dabei haben unterschiedliche Verarbeitungskontexte in den verschiedenen Servicemodellen unterschiedliche Auswirkungen. Ein ergänzendes Konzept von Sicherheitsleveln, sogenannten Trust Leveln, wie es die TÜV TRUST IT GmbH in Zusammenarbeit mit VOICE e.v. vorschlägt, bricht die Komplexität auf und gibt Entscheidungshilfen. Für jedes im VOICE-Anforderungskatalog dargestellte Themenfeld wurden Anforderungen für die TRUST-Level 1 bis 4 definiert. Somit ist es möglich, für die jeweiligen Cloud Seite 15 von 24

16 Servicemodelle in Abhängigkeit zu den Anforderungen der ausgelagerten Informationswerte ein Mindest-Subset an Anforderungen zu definieren und in Form eines TRUST-Levels festzuschreiben. Die nachfolgende Abbildung 6 unterscheidet die verschiedenen Anforderungen an eine Zertifizierung für die verschiedenen TRUST-Level. So ist der TRUST- Level 1 der geringste zu erreichende Level und eignet sich nur für die Speicherung und Verarbeitung unkritischer Daten in der Cloud. Der höchste TRUST-Level (Level 4) hingegen bietet die weitreichendsten Maßnahmen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung u. A. personenbezogener Daten in der Cloud, die höchsten Vertraulichkeitsanforderungen genügen müssen, wie z. B. besonders schützenswerte Daten. Abbildung 6: Cloud Serviceanbieter Überprüfung * Ausbildung von Mitarbeitern in VOICE Mitgliedsunternehmen zum TCA Trusted Cloud Auditor erfolgt durch die TÜV Trust IT Das beschriebene Verfahren bildet eine Möglichkeit ab, um die nachfolgend spezifizierten Forderungen erfüllen zu können. Das Ziel einer Zertifizierung liegt darin, Transparenz zu schaffen, um Vertrauen zu bilden. Es ergeben sich hierbei nachfolgend genannte Anforderungen seitens der Anwender: Dass bei der Auslagerung sensibler Daten nicht ausschließlich auf eine Selbstauskunft nach Safe Harbour vertraut wird (Bsp.: CSA-Matrix) Dass eine allgemein anerkannte und einheitliche, neutrale Zertifizierung (ähnlich der TÜV-Prüfplakette für das Auto) geschaffen wird Dass die Anbieter von Cloud-Services eine Zertifizierung nach gemeinsam definierten, eindeutigen Kriterien durch eine neutrale Stelle durchführen Dass die Anbieter der erlangten Zertifikate sich kontinuierlich monitoren lassen, um den Fachexperten und IT-Sicherheitsbeauftragten der Anwenderunternehmen eine Betrachtung des aktuellen Zustandes zu ermöglichen Dass neben dem reinen Service auch Sicherheits- und Compliancekomponenten geprüft und prüfbar gemacht werden Seite 16 von 24

17 6. Standards/Interoperabilität Standards und Portabilität sind eine Grundbedingung für die Schaffung von Sicherheit und Vertrauen beim Einsatz von Cloudservices. Der Begriff des Standards muss jedoch differenziert nach Formalisierungsgrad und Verbindlichkeitswirkung betrachtet werden. Dazu werden in Vorarbeiten, wie Orientierungswissen, Spezifikationen, Industriestandards, (referenz-) Implementierungen und Norm unterschieden. Für die Entwicklungen und Etablierung von Standards und Spezifikation im Cloud-Umfeld zeichnen sich verschiedene Organisationen, sowohl international als auch national verantwortlich, welche in nachfolgender Abbildung dargestellt werden. Abbildung 7: An der Standardisierung beteiligte nationale und internationale Organisationen In den letzten Jahren entwickelte sich eine vermehrte Zusammenarbeit dieser Organisationen, um gemeinschaftlich Standards, Spezifikationen und Referenzarchitekturen zu entwickeln. So hat die International Telecommunication Union (ITU) gemeinsam mit der International Organization for Standardization (ISO) eine Referenzarchitektur für Cloud Computing entwickelt (Collaborative Team for Cloud Computing Reference Architecture). Die IEEE setzt sich mit einer Intercloud Workgroup und verschiedenen weiteren Bereichen ebenso wie das NIST mit Cloud-Initiativen auseinander. Im Europäischen Kontext arbeitet das European Telecommunications Standards Institute (ETSI) an Cloud Standards und einer Zusammenarbeit von Anwender- und Anbieterunternehmen. So fand im Dezember 2012 in Cannes eine Auftaktveranstaltung statt, um das weitere Vorgehen in 2013 zu besprechen. Auf deutscher Ebene arbeitet das Deutsche Institut für Normung e.v. ebenfalls an Standardisierungsoptionen. Seitens des Bundesministeriums für Wirtschaft und Technologie (BMWI) wurde unter dem Namen Das Normungs- und Standardisierungsumfeld von Cloud Computing Anfang 2012 eine von Booz&Company erstellte Studie veröffentlich, welche das Thema aus europäischer und deutscher Sicht unter Einbeziehung des Technologieprogramms Trusted Cloud betrachtet. Als Standards mit der höchsten Reife und Durchsetzungsfähigkeiten wurden OAuth, OpenStack und OCCI (Open Cloud Computing Interface) bewertet. Das Softwareprojekt OpenStack, dessen Konsortium namenhafte Hersteller, wie Cisco,HP,Dell, Seite 17 von 24

18 Rackspace, VMware und seit letztem Jahr auch IBM angehören, arbeitet an einer Reihe Standards, unter Anderem auch dem quelloffenen Hypervisor KVM, seitens Red Hat. Jedoch ist zu beachten, dass kaum Anwenderunternehmen beteiligt sind. In den Standards und Frameworks sollten aus Anwendersicht vor allem der prozessuale Einfluss des IT- Servicemanagements (Bsp.: ITIL) mit einbezogen werden. Bisherige Projekte in der Praxis ist zum Beispiel die Topology and Orchestration Specification«(TOSCA), welche es ermöglichen soll Cloud-Anwendungen von einer Infrastruktur in eine andere zu verschieben, um es Anwenderunternehmen zu ermöglichen Applikationen über Marktpltze und verschiedene Cloud Service Providern zu beziehen. Auch aus Sicht der Anwenderunternehmen erfolgen Vorstöße um Cloud Services interoperabel zu gestalten. Als Beispiel hierfür dient der in Abbildung 8 gezeigte Enterprise Integration Bus. Diese Technologie, welche ähnlich wie eine Middleware eine Interoperabilität zwischen verschiedenen Services erzeugt und die Anwendungen untereinander kommunizieren lässt. Hierbei ist es wichtig, dass homogene datenschutzstandards existieren, sowie klare und strukturierete Reversibilitätsabkommen. Abbildung 8: Beispiel des Enterprise Integration Bus seitens der Hapag Llloyd AG Neben den Grundanforderungen zur Schaffung von Sicherheit und Vertrauen durch Standards und (Inter-)Portabilität, hat auch die Möglichkeit des Wechsels eines Anbieters beziehungsweise dem Ausstieg aus einem Cloudszenario eine hohe Relevanz, aus denen sich folgende Forderungen ergeben: Standards für Prozeduren und Formate (Kommunikation im Beschaffungs-, Betriebs-, Ablöseprozess, Mapping auf Frameworks) auf prozessualer und technischer Ebene müssen geschaffen und eingesetzt werden Services mit standardisierten Kommunikations- und Datenformaten (Protokolle, Dienste, usw.) müssen etabliert und unterstützt werden (notwendig für Interoperabilität) Verträge müssen mit dedizierten Ausstiegsszenarien versehen werden und eine Kommunikation über die nachweisliche Löschung nach der Ablösung (Dokumentation über wo wurde was, wann und wie gespeichert und wie wurde es zerstört ) muss erfolgen ein Mapping auf die seitens der Anwender eingesetzten Frameworks (Bsp.: ITIL, CoBIT, usw.) durch Kataloge & Leistungsbeschreibungen der Anbieter auf die Services der Anbieter muss erfolgen können, um Geschäftsprozesse gemeinsam zu steuern Seite 18 von 24

19 7. Rechtlicher Rahmen Die Verarbeitung der Daten in der Cloud unterliegt einer Vielzahl an Datenschutz- und Sicherheitsanforderungen, die aus nationaler und internationaler Gesetzgebung hervorgehen und im Rahmen von öffentlich verfügbaren Telekommunikationsdiensten noch erweitert werden. Auf europäischer Ebene gilt grundsätzlich die Datenschutzrichtlinie 95/46/EG, welche im Telekommunikationsbereich, wie Services durch die Richtlinie 2002/58/EG erweitert wird. Hinzu zählen noch die EU-Standard-Klauseln, welche als rechtliche Instrumente beachtet werden müssen. In der deutschen Rechtssprechung greift grundlegend das Bundesdatenschutzgesetz (BDSG), welches Unternehmen zur sorgfältigen Auswahl des Cloud-Providers und die Prüfung der vorgenommenen Datenschutzmaßnahmen verpflichtet. Die betreffenden Paragraphen sind 3 Abs.9, 4b, 4c, 9, 11 BDSG, welche sich mit der Speicherung von Daten außerhalb des europäisches Wirtschaftsraumes, der Erhebung, Verbreitung oder Nutzung personenbezogener Daten im Auftrag und den Anforderungen an ein Sicherheitskonzept beschäftigen. Bei öffentlich verfügbaren Telekommunikations-Diensten findet eine rechtliche Erweiterung durch das Telekommunikationsgesetz (TKG) und das Telemediengesetz statt, mit den Paragraphen 6,8 ff TKG, sowie 109 TKG und 3, 11, 13 TMG. Außerhalb der Betrachtung von Datenschutz, Telekommunikations- und Telemediengesetzen sind innerhalb der deutschen Rechtsssprechung, vor allem bei der Inanspruchnahme von Cloud Diensten, die 203 StGB, Verletzung von Privatgeheimnissen, 280 Abs.1 S2., 631ff BGB (Schadensersatz und Werksvertrag) und 87 UrhG (Sendeunternehmen) zu beachten. Vor allem die letztgenannten Gesetze sind erstellt worden, als Cloud Services noch nicht verfügbar waren und somit zum Teil kontraproduktiv für deren Einsatz wirken. Neben den genannten Gesetzen finden zusätzlich international und vorwiegend aus Compliance-Anforderungen der Sarbanes-Oxley Act (SOX), der Health Insurance Portability and Accounting Act (HIPAA) und der Federal Information Security Management Act (FISMA) Anwendung. Neben den genannten Gesetzen und Anforderungen, spielen auch die zugrunde liegenden rechtlichen Vereinbarungen zwischen Anbieter und Anwender, in Form der Service Level Agreements (SLAs) eine große Rolle. Bisher gibt es kaum Cloud-spezifische Regelungen und auch die Voraussetzungen für die Feststellung der Einhaltung der Servicequalität sind nicht immer gegeben. Weiterhin beschreiben die SLAs oft nur die Verfügbarkeit oder das Produkt und es existieren nur unzureichende Sanktionierungsmaßnahmen, unter anderem nach der gesetzlichen Haftung durch 280 Abs.1 S.2 BGB. Im Falle der SLAs ist es notwendig, dass vorgesehene Leistungen in Bezug auf Qualität und Quantität konkretisiert werden (z.b. Service-/Betriebs-/Reaktionszeiten; Wartungsfenster etc.). Dafür ist es notwendig, dass Messverfahren, Messzeiträume, Messmethode, Messintervalle definiert werden und die Beschreibung der Messpunkte auf die Leistung am Einsatzort hin ausgerichtet werden. Im Allgemeinen ist im Cloud Computing die Verfügbarkeit der Gesamt- Cloud für den Anwender ohne Bedeutung, daher sollte die Verfügbarkeit stets auf (virtuelle) Instanzen, Applikationen oder ähnliche messbare Merkmale bezogen werden und verschuldensunabhängige Vertragsstrafe, sowie pauschalierter Schadensersatz beziehungsweise Minderungen oder Bonus-/Malus-Regelung eingeführt werden. Aufgrund von Konflikten mit dem deutschen Datenschutz im Sinne des BDSG ist der Ort der Seite 19 von 24

20 Datenspeicherung und Verarbeitung von enormer Wichtigkeit, denn ohne Regelung ist eine beliebige Verschiebung innerhalb der Cloud länderübergreifend möglich. Seitens des ETSI gibt es Bestrebungen zur Beschreibung von SLA-Kriterien, welche in TR und EG [i.1] festgehalten sind. Die genannten Kriterien sind: Speed, Accuracy, Availability, Reliability, Security, Capability, Usability und Fidelity. Dafür wird auch ein SLA Template (ETSI EG ) bereitgestellt. Aus den bisher genannten Beschreibungen ergeben sich daher auf Seiten der Anwender folgende Forderungen: dass eine Neubetrachtung der durch die Verwendung von Cloudanwendungen tangierten Gesetze durch die Bundesregierung und der europäischen Kommission unter dem Aspekt des Cloud Computing Modelles durchgeführt wird o unter anderem die Herstellung von rechtlichen Regularien, um eine Trennung der Daten von Beschuldigten zu den übrigen Anwendern zu ermöglichen, damit Anwender im Falle eines Rechtsvergehens eines Anderen weiterhin Zugriff auf Ihre Daten haben (Gesetzeseingriffe erfolgen nur gegenüber den Betroffenen) o weiterhin die Vereinfachung des Outsourcing in die Cloud, da eine Arbeitnehmerüberlassung in der Cloud keine Anwendung findet (Ressourcenpooling) o Klärung der urheberrechtlichen Fragestellung im Sinne der Nutzung einer Cloudlösung, als auch die Verwendung der durch den Anwender erzeugten Daten in einer solchen Lösungen (Rechtssicherheit bezüglich Eigentumsverhältnisse) dass eine Veränderung von Anbieterverträgen (Standardklauseln) ermöglicht wird, um den Compliance-Anforderungen der Anwenderunternehmen gerecht zu werden dass AGBs als fester Vertragsbestandteil aufgenommen werden, um so ein nachträglich Ändern zu vermeiden dass eine höhere Transparenz des Anbieter in Bezug auf den Einsatz von Subunternehmen (Personal & Infrastruktur) und dem Einsatz der wesentlichen Prozesse hergestellt wird umso den Anwendern eine eigene Risikobetrachtung zu ermöglichen (sofern gefordert) dass für die SLAs die Qualität und Quantität der vorgesehenen Leistungen konkretisiert werden (z.b. Service-/Betriebs-/Reaktionszeiten; Wartungsfenster etc.) und detaillierte Messverfahren, -zeiträume, -methode, -intervalle und punkte (Ort der Leistungserbringung) zu definieren sind dass der Ort der Datenspeicherung und verarbeitung transparent gestaltet wird Seite 20 von 24

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services BICCnet Arbeitskreistreffen "IT-Services" am 14. November bei fortiss Jan Wollersheim fortiss

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

Cloud Computing Chancen für KMU

Cloud Computing Chancen für KMU Cloud Computing Chancen für KMU Sascha A. Peters Cluster Manager IT FOR WORK 31. Oktober 2012 Cloud Computing Worüber reden alle? Fragen zum Thema Cloud Was ist Cloud Computing und wofür wird es genutzt?

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack CeBIT 2014 14. März 2014 André Nähring Cloud Computing Solution Architect naehring@b1-systems.de - Linux/Open Source Consulting,

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

GIS-Projekte in der Cloud

GIS-Projekte in der Cloud GIS-Projekte in der Cloud GIS Server ArcGIS PostGIS Geodaten GeoJSON QGIS GIS Stack GRASS GIS Web GIS Shapefile CartoDB Leaflet Geodatenbank Desktop GIS APIs GISday 2014 19.11.2014 Cloud Computing Was

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT?

Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT? Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT? Definition Cloud http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf 10.9.2014 2 Definition Cloud: «The service model» www.sans.org

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland www.eurocloud.de Netzwerken auf Europäisch. + = 29.04.2010 EuroCloud

Mehr

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Über den Wolken. ist die Freiheit nicht grenzenlos: Eckpfeiler aktueller Rechtsfragen zur Cloud in der Verwaltung Klaus M. Brisch LL.M.

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL

TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL TRANSFORMATION IN EIN HYBRIDES CLOUD MODELL AWS Enterprise Summit 2015 Dirk M. Schiller copyright 2015 We bring IT into Business Context copyright 2015 2 Motivationsfaktoren für Cloud Eigentlich nichts

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Governance- und Compliance-Aspekte im Cloud-Umfeld Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Der Referent Martin Schweinoch Rechtsanwalt und Partner bei SKW Schwarz, München

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Die Cloud aus der Sicht des Daten- und Geheimschutzes. Hannover, 13.06.2012, Helmuth Hilse

Die Cloud aus der Sicht des Daten- und Geheimschutzes. Hannover, 13.06.2012, Helmuth Hilse Die Cloud aus der Sicht des Daten- und Geheimschutzes Hannover, 13.06.2012, Helmuth Hilse Helmuth Hilse Dipl.-Ing. Nachrichtentechnik IT-Security-Beauftragter (TÜV), IT-Security-Manager (TÜV), IT-Security-Auditor

Mehr

Agenda.! Die Cloud-Strategie der Europäischen Kommission.! Themen und Arbeitsgruppen! Die Rolle von EuroCloud! Gestaltungsmöglichkeiten

Agenda.! Die Cloud-Strategie der Europäischen Kommission.! Themen und Arbeitsgruppen! Die Rolle von EuroCloud! Gestaltungsmöglichkeiten Agenda! Die Cloud-Strategie der Europäischen Kommission! Themen und Arbeitsgruppen! Die Rolle von EuroCloud! Gestaltungsmöglichkeiten Europa The EU Cloud computing strategy includes three key actions regarding:

Mehr

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Vorstellung des Kompetenzzentrums Trusted Cloud

Vorstellung des Kompetenzzentrums Trusted Cloud Innovationspolitik, Informationsgesellschaft, Telekommunikation Wissenschaftliche Begleitung, Evaluation und Ergebnistransfer zum Technologieprogramm Vorstellung des Kompetenzzentrums Trusted Cloud Caroline

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

CANCOM DIDAS GMBH MANAGED & CLOUD SERVICES

CANCOM DIDAS GMBH MANAGED & CLOUD SERVICES CANCOM DIDAS GMBH MANAGED & CLOUD SERVICES Von individueller Beratung bis zum bedarfsgerechten Betrieb Passen Sie Ihre IT an die Dynamik des Marktes an Unternehmen müssen heute unmittelbar und flexibel

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss

Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss Cloud-Standards und Zertifizierungen im Überblick Session I Andreas Weiss IT Ressourcing Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Open Source als de-facto Standard bei Swisscom Cloud Services

Open Source als de-facto Standard bei Swisscom Cloud Services Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Hosting in der Private Cloud

Hosting in der Private Cloud Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de

Mehr

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Prof. Dr. Britta Böckmann Ausgangssituation Telemedizin noch kein Bestandteil

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen

Cloud Computing. D o m i n i c R e u t e r 19.07.2011. Softwarearchitekturen Cloud Computing D o m i n i c R e u t e r 19.07.2011 1 Seminar: Dozent: Softwarearchitekturen Benedikt Meurer GLIEDERUNG Grundlagen Servervirtualisierung Netzwerkvirtualisierung Storagevirtualisierung

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Pressekonferenz Cloud Monitor 2015

Pressekonferenz Cloud Monitor 2015 Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet.

Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet. Antwort des Senats auf die Kleine Anfrage der Fraktion der SPD vom 10.2.2015 Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet. Cloud Computing in der öffentlichen Verwaltung Cloud

Mehr

Herzlich willkommen!

Herzlich willkommen! Herzlich willkommen! RA Marc Brauer 23.06.2010 Folie 1 Software as a Service und Cloud Services Grenzenlose 23.06.2010 Folie 2 Übersicht 1. Juristische Definitionen 2. SaaS und Cloud Computing = Miete

Mehr

SWISS PRIVATE SECURE

SWISS PRIVATE SECURE Ihr starker IT-Partner. Heute und morgen SWISS PRIVATE SECURE Technologiewende als Wettbewerbsvorteil Sicherheitsaspekte im IT-Umfeld Bechtle Managed Cloud Services 1 Bechtle Switzerland 05/02/2014 Bechtle

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. 1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus

Mehr

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Agenda Cloud: Services, Daten Paradigma-Wechsel Umfeld und Markt-Beobachtungen Verantwortung

Mehr

Anforderungen an Cloud- Rechenzentren

Anforderungen an Cloud- Rechenzentren Anforderungen an Cloud- Rechenzentren Student der Wirtscha3sinforma6k an der Universität zu Köln 1 Vorstellung Oktober 2009 bis September 2012 Bachelorstudium der Wirtscha3sinforma6k an der Wirtscha3s-

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

Cloud Computing - die Lösung der Zukunft

Cloud Computing - die Lösung der Zukunft Cloud Computing - die Lösung der Zukunft Agenda: 08:30 08:40 Begrüssung Herr Walter Keller 08:40 09:00 Idee / Aufbau der Cloud Herr Daniele Palazzo 09:00 09:25 Definition der Cloud Herr Daniele Palazzo

Mehr

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion Bernhard Cygan Solution Architect, StoneOne AG StoneOne 2007-2012 Über StoneOne Gründung 2007 in Berlin

Mehr

Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance

Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance 26. Oktober 2011 Jörg-Alexander Paul Bird & Bird LLP, Frankfurt am Main Keine Angst vor Cloud Computing! Cloud Computing ist kein

Mehr

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten Inhalt 1. Einführung Geschichte 2. Grundidee der Cloud-Technik (Virtualisierung, Skalierbarkeit,

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING B M T AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING 4. Fachtagung Dynamisierung des Mittelstands durch IT Schloss Vollrads 7. September 2010 Büsing Müffelmann & Theye Rechtsanwalt

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Zur Person. Dr. Tim Sattler. Studium der Physik seit 2000: Vollzeit in Informationssicherheit seit 2008: IT Security Officer, Bauer Systems KG

Zur Person. Dr. Tim Sattler. Studium der Physik seit 2000: Vollzeit in Informationssicherheit seit 2008: IT Security Officer, Bauer Systems KG Sicherheit in der Cloud Chancen und Risiken Dr. Tim Sattler tim.sattlerhamburg.de OWASP Stammtisch Hamburg 14.04.2011 Copyright The OWASP Foundation Permission is granted to copy, distribute and/or

Mehr