Wie sicher sind Daten in der Cloud? FM-Fachtag Dresden Systemhaus F&E-Soft Ulrich Fechner

Transkript

1 Wie sicher sind Daten in der Cloud? FM-Fachtag Dresden 2014 [1]

2 Ausgangssituation Cloud-Strategien Risiken Sicherheitsstandards Wie sicher sind Daten in der Cloud? FM-Fachtag Dresden 2014 [2]

3 Cloud Computing AUSGANGSSITUATION Pironet_Allaboutsec_Zertifiz_PwC_Bedenken] [3]

4 AUSGANGSSITUATION Cloud Computing ist nicht nur ein Trend sondern eine zukunftsweisende Technologie: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationsverarbeitung und beinhaltet Infrastruktur, Plattformen und Software. [BMI: Bundesamt für die Sicherheit in der Informationstechnik, [4]

5 AUSGANGSSITUATION So arbeitet die Wolke : Virtualisierung Bei der Wolke handelt es sich um einen technischen Vorgang mit erheblichem technischem Aufwand. Dabei werden die Daten und Systeme auf leistungsstarken Server-Rechnern und Storage- Lösungen in Rechenzentren gespeichert und vorgehalten und für die Kunden der Zugriff organisiert. Entscheidend dafür, dass die Wolke technisch und betriebswirtschaftlich funktioniert, ist hierbei das technische Mittel der "Virtualisierung" von Servern und Desktops sowie sichere, verschlüsselte Leitungsverbindungen. [Server-Vortualisierung am Beispiel vom VMWare] [5]

6 AUSGANGSSITUATION Virtualisierung der Daten Virtualisierung meint, dass die Infrastrukturen, Daten und Anwendungen von ihrer festen Bindung an ein bestimmtes physikalisches Gerät getrennt existieren. Mit einer Virtualisierungs-Technologie wird die Aufteilung etwa eines Servers in mehrere "virtuelle" Server möglich, aus denen mehrere Kunden gleichzeitig Cloud-Services beziehen können. Die Cloud-Services laufen dann als gekapselte Instanzen und sind im besten Fall mittels Verschlüsselung, Zugriffskontrolle und Identitätsmanagement strikt voneinander getrennt. Ein ähnliches Vorgehen wird für Desktops angewendet. [Desktop-Vortualisierung am Beispiel vom VMWare] [6]

7 CLOUD-STRATEGIEN Bevor also geschäftskritische Informationen oder Anwendungen in die Cloud ausgelagert werden, bedarf es einer Strategie. In einer Cloud-Strategiewerden die wesentlichen Rahmenbedingungen geklärt und festgelegt. Auf dieser Grundlage erfolgt die firmen-individuelle Sicherheitsanalyse für die auszulagernden Informationen oder Anwendungen. In der Cloud-Strategie ist unter anderem festzuhalten, wie die IT-Struktur aussieht (z. B. bei IaaS), wie bestehende IT- Systeme oder Geschäftsprozesse abgegrenzt und getrennt und ggf. wieder zusammengeführt werden können, wie die betrieblichen und rechtlichen Rahmenbedingungen aussehen und wie der konkrete Schutzbedarf der auszulagernden Informationen oder Anwendungen ist. Hierzugehören u.a. folgende Schritte:» die Strukturanalyse von IT-Systemen und -Anwendungen, um eine Abgrenzung zu ermöglichen und alle Schnittstellen zu identifizieren;» die Durchführung einer Schutzbedarfsfeststellung für Informationen, Anwendungen und IT-Systeme und Eingliederung der Informationen, Anwendungen, Systeme und Cloud Services in Schutzbedarfskategorien;» die Klärung der betrieblichen und rechtlichen Rahmenbedingungen;» die Festlegung der spezifischen Sicherheitsanforderungen an den Provider bzw. an den Hoster usw. [7]

8 CLOUD-STRATEGIEN Die tägliche Praxis: Bereitstellungsmodell + Speicherort + Zugang Unsere tägliche IT-Praxis zeigt, dass damit aktuell die wichtigsten Fragen im Zusammenhang mit dem Cloud Computing unter strategischem Aspekt diese sind: [A]die Frage nach dem Bereitstellungsmodellmit dem Speicherort der Daten und [B] die Frage nach der Art und Weise des Zugangs zu den Applikationen. Das ist in erster Linie absolut verständlich, weil gerade bei neuen Techniken und Dienstleistungen so auch beim Cloud Computing neben dem inhaltlichen und ökonomischen Nutzen die Aspekte Informationssicherheit und Datenschutz eine wesentliche Rolle spielen. Das ist auch in zweiter Linieabsolut verständlich, weil: Bei der Auftragsdatenverarbeitung, und darum handelt es sich hier, die datenschutzrechtliche Verantwortlichkeit uneingeschränkt beim Cloud-Nutzer als Auftraggeber [verbleibt]. Der Cloud-Nutzer behält datenschutzrechtlich die volle Kontrolle über die Daten. Die Auftragsdatenverarbeitung ist grundsätzlich an keine weiteren materiellen Voraussetzungen gebunden; es sind aber eine Reihe formaler Anforderungen umzusetzen. Die Auftragsdatenverarbeitung setzt eine schriftliche Vereinbarung voraus, die mindestens die in 11 Abs. 2 BDSG aufgeführten Punkte enthalten muss. Der Auftraggeber hat sich beim Auftragnehmer vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Dies muss nicht zwingend durch eine Vor-Ort-Kontrolle geschehen, sondern kann auch durch unabhängige Stellen testiert werden. [8]

9 CLOUD-STRATEGIEN IaaS PaaS SaaS XaaS Servicemodelle Infrastructure as a Service (IaaS) Eswerden IT-Ressourcen wie z.b. Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. Der Cloud- Kunde mietet beim cloudserviceprovider(csp) z.b. Rechenleistung, Arbeitsspeicher und Datenspeicher und kann darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Platformasa Service (PaaS) Ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der CSP in der Regel eigene Werkzeuge Software asa Service (SaaS) Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung, FM-Lösungen oder Kollaborationsanwendungen genannt. [9]

10 CLOUD-STRATEGIEN Cloud Taxonomie Mai 2014 [public cloudblueprint.wordpress.com [10]

11 CLOUD-STRATEGIEN private cloud publiccloud communitycloud hybidcloud Bereitstellungsmodelle(deploymentmodels) In einer private cloudwird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im IT-Zentrum der eigenen Institution oder in einer fremden Institution stehen. Von einer public cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden. In einer community cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder von einem Dritten betrieben werden. Werden mehrere Cloud-Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dieser Fall hybrid cloud genannt. [NIST: National Institute of Standards and Technology, USA 2014] [11]

12 CLOUD-STRATEGIEN private cloud vs. public cloud: [12]

13 CLOUD-STRATEGIEN KERNFRAGEN: Wo liegen meine Daten? Welche Kontrolle habe ich über meine Daten? [NIST: National Institute of Standards and Technology, USA 2014] [13]

14 CLOUD-STRATEGIEN KERNFRAGEN: Wo liegen meine Daten? Welche Kontrolle habe ich über meine Daten? [NIST: National Institute of Standards and Technology, USA 2014] [14]

15 RISIKEN [A] Die üblichen Dienste des Internets stellen ad hoquékeine speziellen Funktionen für die Absicherung und Beweisführung einer rechtsverbindlichen elektronischen Geschäftstätigkeit zur Verfügung. [B] Jeder, der im Internet surft, hinterlässt Datenspuren. [C] Die Datenübertragung über das Internet impliziert Risiken, diese betreffen: -die Sicherheit[safety]; Risiken ergeben sich z.b. durch die Unterbrechung von Teilen des Systems, das Einschleusen nicht autorisierter Nutzer, das Ändern von Daten durch nicht dafür autorisierte Nutzer, das Erzeugen falscher Daten durch nicht autorisierte Nutzer; -die Vertraulichkeit[confidentiality]; Risiken entstehen z.b., wenn Daten und Dienste eines Systems unberechtigten Nutzern zugänglich gemacht werden, auch bei der Identifikation des Benutzers bzw. bei unverschlüsselter Übertragung der Daten; -die Unversehrtheit[integrity]; Risiken betreffen z.b. die Unversehrtheit der genutzten Daten bzw. die korrekte Arbeitsweise der angeforderten Dienstleistung, etwa wenn z.b. digitale Signaturen und Prüfsummen fehlen. -die Verfügbarkeit[availability]; Risiken liegen z.b. vor, wenn nicht gesichert ist, dass eine Dienstleistung dem Benutzer immer dann zur Verfügung steht, wenn dieser sie wünscht. -die Verbindlichkeit[liability] und den Nachweis des Ursprungs [authentity]; Risiken sind möglich, wenn z.b. durchgeführte Aktionen nicht den Urhebern zugeordnet und somit die Verantwortlichen nicht einwandfrei identifiziert werden können. [D] Jede Datenspeicherung bedarf der Sicherheit der gespeicherten Daten. [15]

16 RISIKEN Sicherheits-Schwachstellen unserer aktuell eingestzten IT Bereits die aktuell im Einsatz befindliche IT hat hinsichtlich der Datensicherheit und des Datenschutzes eine ganze Reihe enger Stellen, z.b.: - falsche Identität - unauthorisierter Zugriff - Geräteverlust - Datenklau - Serverausfall - Datenverlust - Zugriff von außen - das Abhören, Ausspähen, Ändern von Daten - und dazu kommt noch das Hauptproblem: nämlich das Problem zwischen Stuhllehne und Tastatur [16]

17 RISIKEN weitere Sicherheits-Schwachstellen beim Cloud Computing - Übertragungsweg: Das Internet ist ein Zusammenschluss von unabhängigen Netzen. Die Übertragungswege im Internet sind nicht vorhersehbar. Die Daten werden dem Netz a priori unverschlüsselt übergeben und können auf jedem der beteiligten Rechner zur Kenntnis genommen, gelöscht, verändert, kopiert und wiederholt eingespielt werden. - Speicherort: Dem Benutzer fällt es schwer, nachzuvollziehen wer, an welchem Ort und für welche Zwecke seine Daten letztendlich speichert und verarbeitet. - Verarbeitung: Datenschutz, der nach deutschem Recht den Einzelnen davor schützen soll, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, ist im Internet aufgrund seiner globalen Ausdehnung i.a. nicht oder nur eingeschränkt gewährleistet. - Auch die besten Sicherheitsvorkehrungen gewährleisten keinen hundertprozentigen Schutz. Daher kann ein Eindringen in die CloudUmgebung grundsätzlich nicht ausgeschlossen werden. - Es gibt keine zentrale Internet-Kontrollinstanz, der eine Gesamtverantwortung für das Netz zugewiesen ist und die eine globale internationale Kontrolle ausübt. [17]

18 RISIKEN Analyse der Sicherheits-Schwachstellen beim Cloud Computing am Beispiel der public cloud - Übertragung + Weg der Daten vom Benutzer über das Internet in die private cloud Übertragung IT-Administration IT-Organisation IT-Dokumentation - Speicherung + Verarbeitung der Daten beim Cloud-Service Weg im Internet Firewall - Art + Einstellungen der Firewall Übertragung Speicherung - IT-Administration - IT-Organisation - IT-Dokumentation - Und wenn es schief geht: Der Weg der Daten ZURÜCK vom Provider zur Firma Verarbeitung IT-Administration IT-Organisation IT-Dokumentation Benutzer [@2014; adaptiert Dr.Fechner] [18]

19 RISIKEN Analyse der Sicherheits-Schwachstellen beim Cloud Computing am Beispiel der private cloud - Übertragung + Weg der Daten vom Benutzer über das Internet in die private cloud - Interne Übertragung, Speicherung + Verarbeitung der Daten im Firmennetz - Art + Einstellungen der Firewall - IT-Administration - IT-Organisation - IT-Dokumentation IT-Administration IT-Organisation IT-Dokumentation Übertragung Speicherung Verarbeitung Firewall Weg im Internet Benutzer [@2014; adaptiert Dr.Fechner] [19]

20 SICHERHEITSSTRATEGIEN Welche Strategien können wir den Sicherheits-Schwachstellen beim Cloud Computing heute entgegensetzen? Aspekt: Übertragungsweg Verschlüsselung der zu übertragenden Daten und Athentifizierung der Kommunikationspartner Eine Möglichkeit besteht im Einsatz eines sicheren Übertragungsprotokolls [hypertexttransferprotocolsecure= https], verbunden mit entsprechenden SSL-Zertifikaten, die zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen den Webservern und Browsern und für weitere Anwendungen eingesetzt werden. Die Verschlüsselungbewirkt, dass die Daten nicht als Klardaten durch das Netz wandern. Neben der Dateiverschlüsselung kann der Übertragungsweg auch durch eine Paketverschlüsselung gesichert werden. Durch dieses Vorgehen lassen sich auch nicht-datei-basierte Übertragungsprotokolle schützen.letztlich bestimmt der Ort der Datenverschlüsselung, wer Zugriff auf die Daten hat. Die Authentifizierungdient dazu, dass sich jede Seite vor dem Aufbau der Kommunikation der Verbindung der Identität des Verbindungspartners vergewissern kann. Syntaktisch ist HTTPS identisch mit dem Schema für HTTP [hypertexttransferprotocol= http], die zusätzliche Verschlüsselung der Daten geschieht mittels SSL/TLS [transportlayersecurity= TLS; deutsch Transportschichtsicherheit), auch bekannt unter der Bezeichnung Secure Sockets Layer (SSL)], einem hybriden Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Unter Verwendung des SSL- Handshake-Protokolls findet eine geschützte Identifikation und Authentifizierung der Kommunikationspartner statt. Dann wird mit Hilfe asymmetrischer Verschlüsselung oder des Diffie-Hellman-Schlüsselaustauschs ein gemeinsamer symmetrischer Sitzungsschlüssel ausgetauscht. Dieser wird schließlich zur Verschlüsselung der Nutzdaten verwendet. [2] [20]

21 SICHERHEITSSTRATEGIEN Höchstmögliche Sicherheit beim Cloud Computing Aspekt: Ende-zu-Ende-Verschlüsselung Eine höchstmögliche Verschlüsselung erreicht man auf diesem Weg mit einer sog. Ende-zu-Ende-Verschlüsselung. Unter einer Ende-zu-Ende-Verschlüsselung versteht man die Verschlüsselung übertragener Daten über alle Zwischenstationen eines Übertragungswegs hinweg. Dabei werden die zu übertragenden Daten auf der Senderseite verschlüsselt und erst auf der Empfängerseite wieder entschlüsselt. Eine zuverlässige Technik für eine End-zu-End-Verschlüsselung beim -Verkehr ist OpenPGP. Die bisherige Alternative S/MIME, welches das MessageCenterunterstützt, darf nach den jüngsten Enthüllungen, als geknackt angesehen werden. Leider unterstützt das MessageCenteraktuell noch kein OpenPGP, da es ungeklärte Fragen im Hinblick auf die sichere Speicherung der Schlüssel gibt. Für die externen Übertragungswege gibt es einen viel versprechenden Ansatz den privaten Schlüssel auf dem Rechner des Users zu belassen: adaptiert Dr.Fechner] [21]

22 SICHERHEITSSTRATEGIEN Welche Strategien können wir den Sicherheits-Schwachstellen beim Cloud Computing heute entgegensetzen? Aspekte: Zugriffskontrolle und Identitätsmanagement In einer Cloud-Umgebung greifen unterschiedliche Nutzer auf dieselben Komponenten zu. Eine dienstabhängig gesteuerte Zugriffsberechtigungist somit zwingend notwendig. Der Server mit den Daten bzw. den Services sollte damit die letzte Kontrollinstanz über berechtigte Zugriffe darstellen. Ein zentrales Rollenverwaltungssystem hilft, den Überblick über die zu steuernden Zugriffsregeln zu behalten. Das Ziel ist die Verwaltung von Identitäten. Darunter fallen natürliche Personen, Servicekonten, physikalische und virtuelle Computer sowie Server und Dienste. Den Cloud-Diensten sollte kein unbeschränkter Zugriff auf die Identitätsinformationen erteilt werden. Das Anlegen, Löschen sowie das Ändern der Rechte einer Identitätsoll dabei unmittelbar mit den entsprechenden Cloud-Diensten synchronisiertwerden. Jede Verzögerung stellt ein Risiko dar, denn der Zugriff auf die Cloud-Dienste ist nicht mehr nur aus dem Firmennetz möglich. Eine Hürde stellt dabei häufig die eigene Rechteverwaltung der Cloud-Anwendungen und die Dokumentation dar. Allgemeine Schnittstellen ermöglichen die Kommunikation mit der vorhanden Infrastruktur, z.b. ActiveDirectory oder LDAP. Solchen Schnittstellen sollten nicht die direkten Identitäten, sondern repräsentative Vertreter-Identitäten bereitstellen, sondern nur die Informationen enthalten, die der jeweilige Dienst benötigt. [22]

23 SICHERHEITSSTRATEGIEN Welche Strategien können wir den Sicherheits-Schwachstellen beim Cloud Computing heute entgegensetzen? Aspekt: Speicherung Bei der Speicherung an einem permanenten Ort, z.b. der Festplatte, können verschiedene Varianten zur Anwendung kommen. Dabei kann zwischen dem Verschlüsseln einzelner Dateien und ganzer Partitionen bzw. Volumesgewählt werden. Die Partitions-bzw. Volumeverschlüsselungsichert den gesamten Bereich. Nicht einmal der Cloud-Provider hat Zugriff auf die Daten. Dieses Vorgehen erschwert aber das Anlegen von automatischen Backups, da immer der gesamte Bereich gespiegelt werden muss; und: während der Übertragung und Verarbeitung sind die Daten nicht geschützt. Eine Dateiverschlüsselung würde die enthaltenen Informationen genauso schützen und zusätzlich inkrementelle Backups ermöglichen. Auch könnten die Dateien so verschlüsselt übertragen werden. Aspekt: Verarbeitung Die Verarbeitung der Daten findet im Gegensatz zur Speicherung und Übertragung überwiegend im Klartext statt. Daten werden auf traditionelle Art im RAM abgelegt und von der CPU verarbeitet. Hier gibt es erste marktreife Produkte z.b. von Intel (corei5/i7), die eine AES-Verschlüsselung [AdvancedEncryption Standard] unterstützen. Somit wird auch die Verarbeitung verschlüsselt und eine vollständige Ende-zu-Ende-Verschlüsselung wird realisiert. [23]

24 SICHERHEITSSTRATEGIEN Welche Strategien können wir den Sicherheits-Schwachstellen beim Cloud Computing heute entgegensetzen? Aspekt: Netzwerktrennung Die Trennung von Netzen ist auch weiterhin eine Möglichkeit, sich vor fremdem Zugriff zu schützen. Da eine vollständige Trennung der Netze aus wirtschaftlicher Sicht nicht möglich ist, bleibt eine Firewalldas Mittel der ersten Wahl, gepaart mit sicheren Verbindungen zwischen den Geräten durch das Internet per VPN(virtual private network). adaptiert Dr.Fechner] Cloud-Anbieter verwenden häufig nur einfache Paketfilter, um die Kommunikation zwischen den APIs [applicationprogramminginterface] zu steuern. Für die sichere Verbindung zwischen Kunde und Anbieter sollte je nach verwendetem Cloud-Service eine komplexe Firewall gewählt werden, die auch weitergehende Inspektionen zulässt. Diese sollte zum verlässlichen Schutz von Netzwerken, Endgeräten und Daten vor Cyberspionage, Spam, Viren, Malware und Phishing-Angriffen mit modernsten Sicherheitsfunktionen wie Single Sign-On, Traffic-Shaping, QoS, IPSec/SSL IDS/IPS und entsprechenden Web-und Virusfiltern ausgestattet sein. gateprotect.de] [24]

25 FAZIT Welche Strategien können wir den Sicherheits-Schwachstellen beim Cloud Computing heute entgegensetzen? Aspekt: IT-Administration, IT-Organisation, IT-Dokumentation Sicherheit beim Cloud Computing umsetzen = IT-Administration Es gibt eine Vielzahl von technischen und organisatorischen Maßnahmen, die zur Reduktion der oben genannten Risiken beitragen. Hierzu zählen vertragliche Regelungen, SLAs (Service Level Agreement), firmeninterne SOPs mit den entsprechenden Arbeitsanweisungen für die tägliche Arbeit im Internet, ein gut organisiertes Patch- und Änderungsmanagement, Konfigurations-und Netzwerkmanagement, System-und Applicationmanagementund das Reporting sowie die Nutzerverwaltung, aktuelle Browser mit entspr. Einstellungen für den kontrollierten Einsatz von Coockies, Java-Applets, Java-Skripts, exakte personenbezogene Passwort- Regelungen gepaart mit einer hinreichenden Authentifizierung (etwa Zwei- Faktor-Authentifizierung) mit einer rigiden Beschränkung der Zugriffsrechte nach dem Need-to-KnowPrinzip und die Entwicklung von Notfallplänen sowie die IT-Dokumentation. [@2014, adaptiert Dr.Fechner] [25]

26 FAZIT Fazit Als Fazit bleibt festzuhalten, -dass die Vorstände, Geschäftsführer und sonstige in einem Unternehmen Verantwortliche, wie aus IT-, Einkaufs-und Rechtsabteilungen, die sich für das Cloud Computing entscheiden, nicht zuletzt aus Compliance-Gesichtspunkten, alles unternehmen sollten, Risiken für das Unternehmen zu vermeiden und eine persönliche Haftung der verantwortlichen Personen auszuschließen. -dass die Vorstände, Geschäftsführer und sonstige in einem Unternehmen Verantwortliche, wie aus IT-, Einkaufs-und Rechtsabteilungen, die sich für das Cloud Computing entscheiden, vorab eine Bestandaufnahme darüber vornehmen, ob das Geschäftsmodell und die einschlägigen Schutzstandards des Anbieters einer publiccloudgeeignet sind, den datenschutz-und weiteren rechtlichen und tatsächlichen Vorgaben zu genügen oder alternativ eine private cloud-umgebung zu installieren. adaptiert Dr.Fechner] [26]

27 FAZIT Fazit für den Einsatz von Schaffe im eigenen Unternehmen und in den GEBman-Partnerunternehmen (Lieferant, Dienstleister, Kunde, ): # ein nutzen-, daten- und sicherheitsorientiertes Cloud-Konzept File-Server SQL-Server Web-Server + # den Aufbau einer konzeptkonformen Private Cloud bzw. die Organisation und vertragliche Bindung eines entsprechenden Zugangs zu einer Public Cloud bzw. zum Hosting + # eine gesicherte Internet-Verbindung mit einer zweckmäßigen Verschlüsselung und einer sicheren Authentifizierung und einer adäquaten Firewall und VPNs + # firmeninterne SOPs mit den entsprechenden Verantwortlichkeiten, Handlungsvorschriftenfür die Internet-und GEBman-Nutzung und für die Nutzung mobiler Geräte; Aus-und Fortbildung der Mitarbeiter, Arbeitsanweisungen für die tägliche Arbeit im Internet und auf dem Portal + # eine gute IT-Administration, IT-Organisation und IT-Dokumentation. [27]

28 Vortrag: Dr. Jürgen Fechner Im Auftrag des Walter-Markov-Ring 26 D Leipzig Referenzen - [1] Der kurze Weg zum Sourcing-Vertrag, [2] Bünseler, 2011 und Identitäts-und Zugriffsmanagement für Cloud Computing Anwendung, [3] Virtuelle Spuren, 2011 und Birk, et al., 2010 Systemhaus F&E-Soft: Wir überprüfen gemeinsam mit Ihnen Ihr Unternehmen auf den möglichen Nutzen des Cloud Computing und hinsichtlich interner und externer Sicherheitsrisiken und zeigen Ihnen die möglichen Lösungen auf. Das reicht von der Bestandsaufnahme der existierenden IT- Infrastruktur und des vorhandenen Gefährdungspotenzials in Ihrem Unternehmen bis zur gemeinsamen Zusammenstellung eines auf Ihre Bedürfnisse zugeschnittenen IT-Cloud und IT-Sicherheitskonzept, das dann gemeinsam implementiert wird. Im Anschluss erhalten Sie von uns laufende Unterstützung bei der Betreuung und Wartung Ihrer IT- Lösungen und bei der Unterstützung Ihrer Mitarbeiter. [28]