Was erwarten Unternehmen in puncto Sicherheitsleistungen im Cloud-Computing als MSS?

Transkript

1 Was erwarten Unternehmen in puncto Sicherheitsleistungen im Cloud-Computing als MSS? Dr. Karl- Friedrich Thier T- Systems Interna<onal Markus J Neuhaus marim consult 9. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Frankfurt, 16. Juni ISACA Germany Chapter e.v. 1

2 Unified Threat Management An<virus Cloud Compu<ng ist wich<ger Enabler für MSS 2015 ISACA Germany Chapter e.v. Security Intelligence Endpoint Protec<on Authen<ca<om Managed Security Services An<spam Iden<ty and Access Management Security Informa<on & Event Management Governace Risk & Compliance Incident Response Web Security IPS BCM Backup Security VPN Opera<ons IDS GRC SIEM Security Monitoring Managed Firewall DLP UTM Vulnerability Scanning IAM Applica<on Security Tes<ng Encryp<on ddos E- Mail Security SOC Protec<on Mobile Security APT Detec<on Data Leakage Preven<on 2

3 Unified Threat Management An<virus Cloud Compu<ng ist wich<ger Enabler für MSS 2015 ISACA Germany Chapter e.v. Security Intelligence Endpoint Protec<on Authen<ca<om Security as a Service An<spam Iden<ty and Access Management Security Informa<on & Event Management Governace Risk & Compliance Incident Response Web Security IPS BCM Backup Security VPN Opera<ons IDS Managed Firewall GRC SIEM Security Monitoring DLP UTM Vulnerability Scanning Integrity Monitoring IAM Applica<on Security Tes<ng Encryp<on ddos E- Mail Security SOC Protec<on Mobile Security APT Detec<on Data Leakage Preven<on 3

4 Managed Security Services & Cloud Compu<ng Managed Security Services aus der Cloud Security as a Service SECaaS Managed Security Services für die Cloud Security as a Service für Cloud- basierte IT Wie passt das zur Cloud Strategie deutscher Unternehmen? 2015 ISACA Germany Chapter e.v. 4

5 Cloud Governance in Deutschland Eine StandortbesImmung Inhalte der Studie Bedeutung von Cloud Compu<ng für Unternehmen Nutzung von Cloud Compu<ng in Unternehmen Haltung der Fachabteilungen gegenüber Cloud Compu<ng Beurteilung der Güte von Cloud- Angeboten Herausforderungen für die Steuerung der IT 2015 ISACA Germany Chapter e.v. 5

6 Herausgeber ISACA ist der bedeutendste Verband von IT- Revisoren, IT- Sicherheits- managern und IT- Governance- BeauOragten In Deutschland ca Mitglieder Weltweit ca Mitglieder in über 180 Ländern PwC ist die führende WirtschaOsprüfungs- und BeratungsgesellschaO in Deutschland und Mitglied im internaionalen Netzwerk Deutschlandweit rund 500 Partner und Mitarbeiter an 29 Standorten Rund Experten in 158 Ländern 2015 ISACA Germany Chapter e.v. 6

7 Befragte Experten Fokus auf Kompetenz & Erfahrung bei IT Governance Antworten von 306 Mitgliedern des ISACA Germany Chapters Führungs- und FachkräOe aus den Bereichen Finanzen, Revision, Audit, IT und Risikomanagement Deutscher Mi`elstand als auch global agierende Konzerne 39% 61% Angestellte Führungskräfte/ Entscheider in einem Unternehmen Externe Beratungs-, Begleit- oder Koordinierungsfunktion in einem oder mehreren Unternehmen 2015 ISACA Germany Chapter e.v. 7

8 Repräsen<erte Unternehmen Unterschiedlichste Größen und Branchen vertreten Große Unternehmen mit mehr als Mitarbeiter und Umsätzen von über 1 Mrd. Euro sind relaiv stark vertreten Die Mehrheit der repräsenierten Unternehmen ist weltweit oder europaweit akiv lediglich 27% sind ausschließlich in Deutschland täig Kleine Unternehmen werden eher durch Berater repräseniert, große durch angestellte Führungs- und FachkräOe Mitarbeiter weltweit Mitarbeiter in Deutschland 14% 20% < 500 Umsatz weltweit Umsatz in Deutschland 31% 42% 500 bis % 10% 22% 37% > % 16% < 500 Mio. > 1 Mrd ISACA Germany Chapter e.v. 53% keine Angabe 34% 36% 26% 0,5-1 Mrd. nicht anwendbar/k.a. 8

9 Nutzung von Cloud Compu<ng Ca. 70% der Unternehmen nutzen Cloud- Services größere intensiver als kleinere Der Großteil der Nichtnutzer plant auch keinen Einsatz von Cloud CompuIng Nichtnutzer 31% Mehr als die HälOe der repräsenierten Unternehmen verfügen über eine definierte Cloud- Strategie Unternehmen der Branchen Technologie und Medien sowie AutomoIve verfolgen besonders häufig eine Cloud- Strategie 2015 ISACA Germany Chapter e.v. 69% Nutzer Cloud Compu<ng ist in deutschen Unternehmen angekommen 9

10 Befürworter von Cloud Compu<ng und Skep<ker Eher Pro Zus<mmung und Ablehnung liegen oa dicht beieinander IT-Betrieb einzelne Produktions- und Geschäftsleitungen Betriebsrat 32% Rechtsabteilung 32% 46% Marketing/ Vertrieb 42% 33% 35% Eher Contra DatenschutzBeauftragter IT-Sicherheit, Compliance Risikomanagement Interne Revision 2015 ISACA Germany Chapter e.v. 54% 53% 42% 38% 10

11 Wich<ge Erwartungen häufig genannt Kosteneinsparungen 67% keine hohen Vorabinvestitionen 57% Bessere Time to Market 56% Flexibilität und Skalierbarkeit 55% Pay-per-Use-Prinzip 54% Verbesserte Verfügbarkeit 49% Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit 2015 ISACA Germany Chapter e.v. 11

12 Wich<ge Erwartungen weniger häufig Unterstützung neuer& innovativer Geschäftsmodelle 48% Unabhängigkeit von eigenen IT-Ressourcen 48% Mehr Kostentransparenz 44% Professionalisierung der eigenen IT 38% Größere Benutzerfreundlichkeit Erhöhte Informationssicherheit 29% 23 % der Unternehmen erwarten Verbesserungen bei der Informa<onssicherheit 2015 ISACA Germany Chapter e.v. 12

13 Bedenken Wich<gster Ausschlussgrund sind Zweifel an der Informa<onssicherheit. Sicherheit nicht gewährleistet 84% Compliance-Verstöße 77% Keine Vorteile für das Unternehmen 54% Markt zu unübersichtlich 34% Zu hoher Integrationsaufwand Noch keine Beschäftigung mit dem Thema 2015 ISACA Germany Chapter e.v. 32% 18% 13

14 Wich<gste Kriterien für die Auswahl eines Cloud- Services und - Anbieters Daten- bzw. Informationssicherheit Compliance-Anforderungen 91% 89% Standort Datenspeicherung/verarbeitung 85% Image, Vertrauenswürdigkeit 78% Zertifizierungen durch Dritte Datenschutz, Informa<ons- sicherheit und Compliance sind die wich<gsten Auswahlkriterien. 73% Hinzugekommen ist der Standort der Server und der Rechtsrahmen ISACA Germany Chapter e.v. 14

15 Weniger wich<ge Kriterien Möglichkeiten von eigenen Audits 72% Skalierbarkeit Lösung 72% Firmensitz des Anbieters 64% Flexible & verbrauchsgerechte Preismodelle 61% Flexibilität in Verträgen, Exit-Möglichkeiten 61% Finanzstärke des Anbieters 58% Größe des Anbieters 50% 42% Empfehlung durch Dritte, Erfahrungsberichte 37% Bewertung durch Scoring-/Ratingfirmen Unternehmerische soziale Verantwortung 2015 ISACA Germany Chapter e.v. 28% 15

16 Relevante Standards und Zer<fikate bei der Auswahl eines Cloud- Anbieters 82% ISO/IEC 2700x ITIL bzw. ISO/IEC % COBIT 47% Cloud Security Alliance (CSA) 36% Payment Card Industry (PCI) Standard 31% IAASB 30% BITKOM-Leitfäden 27% AICPA, SOC Reports Open Data Center Alliance (ODCA) andere Standards und Zertifikate weiß nicht, keine Angabe 21% 8% 11% 9% 2015 ISACA Germany Chapter e.v. Auch bei Cloud Compu<ng setzen Unternehmen auf die ISO/IEC Reihe. Die Bedeutung Cloud- spezifischer Standards und Zer<fikate nimmt zu. 16

17 Eingesetzte Steuerungsmodelle individuelle, nicht standardisierte Methode ITIL/ISO und die ISO Reihe haben sich in Unternehmen durchgesetzt. Die Erfahrungen mit den genutzen Steuerungsmodellen sind auch für Cloud Compu<ng meist posi<v.. 21% ITIL, ISO % ISO/IEC 2700x 66% Cobit CMMI andere standardisierte Methode 2015 ISACA Germany Chapter e.v. 46% 14% 18% 17

18 Funk<oniert die Sicherheit in der Cloud? Funk<oniert Cloud- Sicherheit besser oder schlechter als on premise? Umsetzung von Verfügbarkeit 36% 33% 23% 8% Schutz gegen Angriffe von Außen 14% 32% 45% 9% Erkennung von Sicherheitsvorfällen 14% 32% 43% 11% besser gleich schlechter weiss nicht Der Schutz vor Angriffen und das Erkennen von Vorfällen bleibt eine Herausforderung für Service Provider ISACA Germany Chapter e.v. 18

19 Erfahrungen mit Cloud Service- Modellen Unternehmen bevorzugen SaaS. SoOware- as- a- Service (SaaS) wird bevorzugt genutzt. Überwiegend posiive Erfahrungen mit allen Serviceformen. Standardisierte und individuell konfigurierte Serviceverträge werden zu annähernd gleichen Teilen genutzt. Die meisten Erfahrungen haben die Befragten mit Private Clouds gemacht. Diese fallen vorwiegend posiiv aus. SaaS 66% IaaS 53% PaaS BpaaS Consulting 20% 44% 19% 14% 41% 15% 20% 22% 10% 22% 37% 14% 7%7% 14% 30% 27% 18% Ja, bereits genutzt Ja, geplant Nein keine Angabe 2015 ISACA Germany Chapter e.v. 19

20 Erfahrungen mit Cloud Deployment- Modellen Private Cloud Modelle führen. Private Clouds 16% 71% Überwiegend posiive Erfahrungen mit Private Clouds. Public Clouds 6% Mit Public Clouds hat fast jeder dri`e Teilnehmer negaive Erfahrungen gemacht. Hybrid Clouds 6% 63% Community Clouds 6% 62% 2015 ISACA Germany Chapter e.v. 57% 9%1% 3% 29% sehr positiv eher positiv sehr negativ keine Angabe 26% 23% 3% 5% 5% 9% eher negativ 20

21 Herausforderungen bei Public Clouds Speicherung von Unternehmensdaten in einer Public Cloud: Generell nein 442 2% % 58 % Ja, wenn das Schlüsselmaterial unter eigener Kontrolle verbleibt (88%) der Server in Deutschland bzw. der EU steht (79%). die Compliance belegt ist (64%) 2015 ISACA Germany Chapter e.v. þ 21

22 Herausforderungen Die Befragten wünschen sich mehr Orien<erung beim Risiko- und Compliance- Management sowie der Prüparkeit von Cloud- Services und Cloud- Anbietern. Prüfbarkeit von CloudDienstleistungen 90% Unterstützung bei der Umsetzung rechtlicher Vorgaben 77% Management von Risiken bei der Einführung von CloudDiensten 76% Standards und Leitfäden mit konkreten Empfehlungen für bestimmte Leitlinien für Entscheider 2015 ISACA Germany Chapter e.v. 67% 50% 22

23 Prognosen Der Aufwand für nimmt zu bleibt gleich Sicherheitsmanagement 75% Juristische Prüfungen 73% Kontrollen & Auditierung 71% Risikomanagement Planung/Evaluation 20% 38% 2015 ISACA Germany Chapter e.v. 3% 2% 2% 5% 20% 7% 2% 25% 54% 42% weiss nicht 20% 70% Kostenkontrolle Integration nimmt ab 29% 13% 2% 3% 4% 38% 16% 4% 44% 14% 4% 23

24 Fazit Die Cloud ist in Deutschland angekommen InformaIonssicherheit & Compliance sind und bleiben Schlüsselthemen. Verschlüsselung, Compliance und Rechtssicherheit sind wichige Enabler für den Erfolg von SECaaS Angeboten Unternehmen haben weiterhin Orien<erungs- und Beratungsbedarf Vor allem bzgl. Risiko- und Compliance- Management und der Prümarkeit von Cloud- Services und Cloud- Anbietern wird Unterstützung erwartet as- a- Service Lösungen müssen in vorhandene Steuerungsmodelle integrierbar sein Unternehmen erwarten von Cloud- Anbietern Sicherheits- und Governance- Ansätze, die zu denen im eigenen Unternehmen passen. ITIL/ISO und ISO sind die bevorzugten Steuerungsmodelle 2015 ISACA Germany Chapter e.v. 24

25 ISACA Dokumente Cloud Compu<ng Security as a Service: Business Benefits with Security and Assurance Perspec<ves h`p:// Center/Research/ResearchDeliverables/Pages/Security- As- A- Service.aspx Security Considera<ons for Cloud Compu<ng (2012) h`p:// Center/Research/ResearchDeliverables/Pages/Security- ConsideraIons- for- Cloud- CompuIng.aspx IT Control Objec<ves for Cloud Compu<ng: Controls and Assurance in the Cloud (2011) h`p:// Control- ObjecIves- for- Cloud- CompuIng- Controls- and- Assurance- in- the- Cloud- e- book.aspx Cloud Compu<ng Management Audit/Assurance Program (2011) h`p:// Center/Research/ResearchDeliverables/Pages/Cloud- CompuIng- Management- Audit- Assurance- Program.aspx Download Dokumente: ISACA Germany Chapter e.v. 25

26 Fragen und Antworten Wir danken für Ihre Aufmerksamkeit! Markus J Neuhaus, M.A Dr. Karl- Friedrich Thier marim consult T: E: mne@marim.de T- Systems InternaIonal T: E: karl- friedrich.thier@t- systems.com systems.com Die vollständige Studie ist über folgenden Webseiten erhältlich: ISACA Germany Chapter e.v. : PricewaterhouseCoopers AG Deutschland: ISACA Germany Chapter e.v. 26

27 Dokumente Cloud Compu<ng [BITKOM 2013] Eckpunkte für sicheres Cloud Compu<ng. Leivaden für die Auswahl vertrauenswürdiger Cloud Service Provider h`p:// BITKOM_Leisaden_Eckpunkte_Sicheres_Cloud_CompuIng_ pdf [BITKOM 2010] Cloud Compu<ng Was Entscheider wissen müssen. Ein ganzheitlicher Blick über die Technik hinaus: Posi<onierung, Vertragsrecht, Datenschutz, Informa<onssicherheit, Compliance h`p:// Was_Entscheider_wissen_muessen.pdf [BSI 2011] Sicherheitsempfehlungen für Cloud Compu<ng Anbieter Mindestanforderungen in der Informa<onssicherheit, Eckpunktepapier h`ps:// Eckpunktepapier_node.html 2015 ISACA Germany Chapter e.v. 27

28 Dokumente Cloud Compu<ng [BITKOM 2013] Eckpunkte für sicheres Cloud Compu<ng. Leivaden für die Auswahl vertrauenswürdiger Cloud Service Provider h`p:// BITKOM_Leisaden_Eckpunkte_Sicheres_Cloud_CompuIng_ pdf [BITKOM 2010] Cloud Compu<ng Was Entscheider wissen müssen. Ein ganzheitlicher Blick über die Technik hinaus: Posi<onierung, Vertragsrecht, Datenschutz, Informa<onssicherheit, Compliance h`p:// Was_Entscheider_wissen_muessen.pdf [BSI 2011] Sicherheitsempfehlungen für Cloud Compu<ng Anbieter Mindestanforderungen in der Informa<onssicherheit, Eckpunktepapier h`ps:// Eckpunktepapier_node.html 2015 ISACA Germany Chapter e.v. 28

29 Dokumente Cloud Compu<ng [BSI 2014] IT Grundschutz- Kataloge h`ps:// [CSA- CAIQ 2011] Consensus Assessments Ini<a<ve Ques<onnaire, Version 1.1 h`ps://cloudsecurityalliance.org/download/consensus- assessments- iniiaive- quesionnaire- v1-1/ [CSA- CCM 2013] Cloud Controls Matrix (CCM),Version 3.0 h`ps://cloudsecurityalliance.org/download/cloud- controls- matrix- v3/ [CSA- SG 2011] Security Guidance for Cri<cal Areas of Focus in Cloud Compu<ng Version 3.0 h`ps://cloudsecurityalliance.org/research/security- guidance/ [CSA- TS 2013] The Notorious Nine - Cloud Compu<ng Top Threats in 2013 h`p:// ISACA Germany Chapter e.v. 29

30 Dokumente Cloud Compu<ng [DIN 66286] Management von Cloud Compu<ng Lösungen in kleinen und miyleren Unternehmen (KMU). Im Entwurf. [ENISA 2009] Cloud Compu<ng - Benefits, risks and recommenda<ons for informa<on security, Editors: Daniele Cayeddu and Giles Hogben hyp:// [ISACA 2012a] COBIT 5 for Informa<on Security [ISACA 2012b] Security Considera<ons for Cloud Compu<ng [ISACA 2011] IT Control Objec<ves for Cloud Compu<ng : Controls and Assurance in the Cloud, ISBN [ISO ] Commiyee Draa Guidelines on informa<on security controls for the use of cloud compu<ng services based on ISO/IEC (noch im Entwurf, Veröffentlichung geplant für Okt. 2015) 2015 ISACA Germany Chapter e.v. 30

31 Dokumente Cloud Compu<ng [ITGipfel 2011] Arbeitsgruppe 4 - Rechtliche Anforderungen an Cloud Compu<ng Sichere Cloud- Dienste, Version 1.0 h`p:// content/blogs.dir/5/files/ anford_recht_beicloudcompuing_v1.pdf [KDBL 2011] Arbeitskreise Technik und Medien, Orien<erungshilfe Cloud Compu<ng, Version 1.0 h`p:// TechnologischeOrienIerungshilfen/ArIkel/OHCloudCompuIng.pdf [ODCA 2011] Open Data Center Alliance, Open Data Center Usage Models h`p:// ISACA Germany Chapter e.v. 31