Datenschutz und Datensicherheit beim Cloud Computing

Größe: px
Ab Seite anzeigen:

Download "Datenschutz und Datensicherheit beim Cloud Computing"

Transkript

1 white paper Datenschutz und Datensicherheit beim Cloud Computing

2 Inhaltsverzeichnis Einleitung... 3 Wesentliche Risiken des Cloud Computings... 4 Datenschutz und Compliance Einleitung Welcher Datenschutz greift? Vertragsinhalte Anforderungen Service Level Agreement Compliance Datenschutz und Compliance der Cloud-Angebote der Telekom Gefahren und Sicherheitsmaßnahmen beim Cloud-Nutzer...13 Einleitung...13 Netze (LAN/WAN)...13 WLAN-Verschlüsselung...14 Datenverschlüsselung...14 Desktops und Software Risiko USB-Sticks Verwaltung von Anmeldedaten (Benutzername/Passwort) Antiviren-Software und Spamschutz Smartphones/Tablet-PCs/Laptops Gefahren und Sicherheitsmaßnahmen beim Cloud-Anbieter Einleitung Sicherheit von Rechenzentren Zertifizierung/Auditierung Notfallmanagement...21 ID- und Rechtemanagement...22 Personalmanagement...22 Server-/Software-Sicherheit...23 Virtuelle Trennung der Nutzer...23 Netzsicherheit...24 Verschlüsselung und Schlüsselmanagement...24 Security Information and Event (Incident) Management Computer Notfallteams (Cert) Glossar

3 einleitung Einleitung Cloud Computing hat den Hype-Status abgelegt und entwickelt sich zu einem ernst zu nehmenden Angebot für Unternehmen jeder Größe und geschäftlichen Ausrichtung. Für James Staten, Analyst bei Forrester Research, kommen wir endlich zu einem vernünftigen Umgang mit dem Thema Cloud. Cloud-Services und -Plattformen würden nun in die formellen IT-Portfolios integriert. Daher budgetieren etwa die Hälfte der europäischen Firmen laut Forrester in diesem Jahr Investitionen in die Cloud. Auch bei den kleinen und mittelständischen Unternehmen (KMU) finden auf Cloud Computing basierende IT-Infrastrukturen immer mehr Akzeptanz. Analysten der International Data Corporation (IDC) machen eine Reihe von Faktoren aus, warum Cloud Computing auch bei den KMUs zunehmend eine Rolle spielen wird. So benötigen sie keine großen Rechnersysteme mehr, senken ihre Wartungskosten für Anwendungen sowie Services, und geschäftskritische Daten sind jederzeit und über mobile Kanäle verfügbar. Ein Vorteil ist auch, dass sie neue Anwendungen kurzfristig nutzen sowie auf- und abwärts skalieren können. Nicht zuletzt stellen laut IDC Anbieter von Cloud-Diensten die Daten und Anwendungen sicher und redundant bereit. Auch Mitarbeiter treiben den Einsatz von Cloud-Diensten voran: Sie fordern flexible und moderne Arbeitsmodelle, die sich mit Angeboten aus der Cloud leichter umsetzen lassen. Trotz aller Euphorie halten sich aber nach wie vor hartnäckige Vorbehalte gegenüber Cloud Computing. Noch immer fürchten Unternehmen die angeblich mangelnde Datensicherheit, den ungenügenden Datenschutz sowie die geringere Verfügbarkeit. Dies sehen Analysten wie IDC jedoch anders. Sie sind davon überzeugt, dass professionelle Cloud-Anbieter meist besser vor Cyberangriffen und Diebstahl von geschäftskritischen Daten schützen als firmenintern betriebene IT-Infrastruktur. IT-Sicherheit und Cloud sind also kein Widerspruch per se, denn Cloud Computing hat nur wenige neue Sicherheitsrisiken, die es zuvor nicht auch beim Vor-Ort-Betrieb oder beim klassischen IT-Outsourcing gegeben hat. Zumal es im eigenen Interesse eines Cloud-Anbieters liegt, das Vertrauen in die bereitgestellten Cloud-Dienste zu gewinnen und alles für dieses Vertrauen zu tun. Der Vorteil für Kunden kann sogar sein, dass sie vom hohen Sicherheitsniveau des Anbieters profitieren und das eigene Sicherheitslevel steigern. Laut einer PAC-Studie vom Frühjahr schätzen mehr als zwei Drittel der Unternehmen, die bereits Cloud-Konzepte einsetzen, die erhöhte Datensicherheit im Vergleich zum Eigenbetrieb. Eine von Microsoft beauftragte ältere Studie vom Mai bestätigt diese Annahme. So sagten mehr als ein Drittel der KMUs, die in ihren Unternehmen zwischen und PCs einsetzen, dass sie mit dem Schritt in die Cloud ein erheblich höheres Sicherheitsniveau erreicht haben. Jeweils ein weiteres Drittel der Befragten gab an, sie würden sich seitdem weniger Sorgen um Cyberattacken machen und sparten deutlich Zeit für die Gewährleistung der Sicherheit ihrer Infrastruktur. Für den Einsatz von Cloud-Diensten spricht auch, dass Unternehmen ihre Budgets für IT-Sicherheit in den nächsten Jahren aufgrund der stark zunehmenden Gefahren aus dem Cyberspace deutlich erhöhen müssen und sind Gartner zufolge die Ausgaben für IT-Sicherheit schon jeweils um rund neun Prozent gestiegen. Dieser Trend wird sich fortsetzen. So wollen 45. Prozent der Unternehmen ihre Budgets für IT-Sicherheit erhöhen, die Hälfte erwarten gleichbleibende Ausgaben. Bisher geben KMUs für IT-Sicherheit deutlich weniger pro Mitarbeiter aus als Großunternehmen. Dies zeigt eine im Januar veröffentlichte Umfrage von Kaspersky Lab. Kleine Unternehmen zwischen 10. und 9.9. Mitarbeitern investieren in IT-Sicherheit 27. Euro pro Jahr und Mitarbeiter. Bei den mittelgroßen Unternehmen mit bis zu Mitarbeitern sind es immerhin schon 38. Euro. Konzerne mit mehr als Mitarbeitern lassen sich die IT-Sicherheit jährlich rund 110. Euro pro Mitarbeiter kosten. 3

4 einleitung WESENTLICHE RISIKEN DES CLOUD COMPUTINGs Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass mindestens 8.0. Prozent der Sicherheitsrisiken durch Cloud Computing nicht neu sind. Andere Experten bestätigen diese Größenordnung. Es stellt sich die Frage, welche zusätzlichen Risiken Cloud Computing tatsächlich gegenüber klassischem IT-Outsourcing verursacht. Die hier beschriebenen Risiken, wie auch die bekannten Risiken, die im Cloud Computing nicht anders zu bewerten sind als im klassischen Outsourcing oder in der eigenen IT-Infrastruktur, lassen sich mit einem ganzheitlichen Datensicherheits- und Datenschutzansatz minimieren. Dazu müssen Anbieter und Nutzer von Cloud-Diensten infrastrukturelle, organisatorische, personelle und technische Maßnahmen zum Schutz der bereitgestellten Dienste umsetzen. Hundertprozentigen Schutz gibt es allerdings nirgendwo. Wenn Cloud-Anbieter und Cloud-Nutzer sich wirksam absichern wollen, müssen sie alle Einzelaspekte des Cloud Computings betrachten. Nur so lässt sich die Vertraulichkeit, Integrität und Verfügbarkeit übertragener und gespeicherter Informationen schützen. Das BSI empfiehlt in seinem Eckpunktepapier zur Sicherheit bei den Cloud-Computing-Anbietern: Neben einem gut strukturierten Vorgehensmodell für alle IT-Prozesse sind insbesondere der Aufbau einer Sicherheitsarchitektur zum Schutz der Ressourcen (Mitarbeiter, Gebäude, Netze, IT-Systeme, Anwendungen, Daten etc.) und eine sichere Isolierung der Mandanten wichtig. Eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stacks (Anwendung, Server, Netze, Storage etc.) ist eine der grundlegenden Anforderungen, die jede Cloud Computing Plattform erfüllen sollte. Diese Anforderung gilt gleichermaßen für Public Clouds wie auch für Private Clouds. 4

5 einleitung Rechenzentren zertifizieren Sicherung des Rechenzentrums Standort des Rechenzentrums Administrationsrechte definieren und Zugriffe monitoren Sicherung von Hardund Software SicherheitsmaSSnahmen beim Cloud-Provider Folgende Bereiche sollten Nutzer und Anbieter bei jeder Form des Outsourcings also auch beim Cloud Computing sichern: MOBILE NETZWERKE Da sich immer mehr Benutzer von vielen verschiedenen Standorten aus anmelden, stellt dies die Netzwerksicherheit in ihrer herkömmlichen Form auf eine harte Probe. Firewalls werden immer durchlässiger, da Mitarbeiter über Smartphones, Tablets, Laptops und PCs auf Dienste zugreifen. Daher sind in diesem Bereich Sicherheitslösungen erforderlich, die auf dem Niveau einer klassischen VPN-Anbindung, beispielsweise von Laptops, sind. Für viele Unternehmen liegt ein Fokus darauf, kleine Außenstellen oder Home -Offices besser anzubinden. In der IT-Planung kommt es dann darauf an, dass der plattformübergreifende Zugriff auf Unternehmensdaten sicher gestaltet wird auch wenn die Netzwerkgrenzen immer weiter verschwimmen. DIEBSTAHL VON ZUGANGSDATEN Wenn Angreifer Zugangsdaten für den Zugriff auf Daten und Vorgänge stehlen, können sie Daten manipulieren, verfolgen und missbrauchen. Dieser Zugriff lässt sich durch Sicherheitsmaßnahmen verhindern. FEHLENDE VERSCHLÜSSELUNG Im Cloud Computing greifen Unternehmen sowohl mobil als auch über den herkömmlichen Anschluss auf Anwendungen und Daten zu, die im Cloud-Rechenzentrum betrieben und gespeichert werden. Damit kommt dem Übertragungsweg von der zugreifenden Hardware (Smartphones, Tablets, Laptops und PCs) eine besonders wichtige Rolle zu. Daten sollten daher grundsätzlich verschlüsselt übertragen werden. UNSICHERE SCHNITTSTELLEN Wer Cloud-Dienste anbindet, muss die Schnittstellen der Anbieter kennen. Letztere versprechen das Einhalten von Sicherheitsstandards. Sie sind aber nicht in irgendeiner Weise gesetzlich verpflichtet, diese Standards einzuhalten. Wer also sicher gehen will, dass Daten verschlüsselt und auf hohem Sicherheitsniveau übertragen werden, muss dies kontrollieren oder selbst dafür sorgen. 5.

6 einleitung Rechenzentren zertifizieren Sicherung des Rechenzentrums Standort des Rechenzentrums Administrationsrechte definieren und Zugriffe monitoren Sicherung von Hardund Software SicherheitsmaSSnahmen beim Cloud-Provider UNSICHERE INFRASTRUKTUR Im Unterschied zum klassischen Outsourcing werden in einem Cloud-Rechenzentrum die Daten und Anwendungen der Kunden oftmals nicht auf getrennten Infrastrukturen betrieben und verarbeitet. Dies erfordert neue Technologien, die eine logische Trennung auf virtueller Ebene sichern. KRIMINELLE MITARBEITER Der Kunde vertraut dem Cloud-Anbieter seine Daten an. Er weiß aber meist nicht, welche technischen und organisatorischen Maßnahmen der Cloud-Anbieter anwendet, um den Umgang der Mitarbeiter mit Kundendaten zu regeln. Dazu gehören etwa Rechte und Richtlinien für den Zugriff auf Systeme und Daten. So könnten beispielsweise einzelne Mitarbeiter des Anbieters volle Zugriffsrechte auf die Daten besitzen beispielsweise Administratoren und sie für kriminelle Zwecke nutzen. INTRANSPARENTE SICHERHEIT BEIM CLOUD-ANBIETER Ob und wie ein Cloud-Anbieter seine Rechenzentren sowie die Hard- und Software sichert, ist nicht so einfach überprüfbar. Daher sollten Cloud-Nutzer, die geschäftskritische Daten oder dem Datenschutz unterliegende persönliche Daten in der Cloud verarbeiten, nur seriösen und vertrauenswürdigen Anbietern trauen. Vertrauen basiert dabei auf der Einschätzung, ob ein Anbieter alle Risiken ausreichend, angemessen und nachhaltig abgedeckt hat, sowohl diejenigen aus dem Bereich der Informationssicherheit als auch aus Bereichen wie Datenschutz, Technik und Recht. Einer transparenten Beschreibung der getroffenen technischen und organisatorischen Maßnahmen ist entlang der gesamten Produktionskette besondere Bedeutung beizumessen. Eine Zertifizierung des Anbieters nach der Norm ISO kann hier als Orientierung dienen. In welchem Rechenzentrum steht die Cloud-Infrastruktur Aus datenschutzrechtlicher Sicht können der Standort eines Rechenzentrums, die Herkunft des Cloud-Anbieters und seiner Dienstleister sowie die Standorte, von welchen aus auf die Daten zugegriffen wird, wichtig sein. Vorgaben und Anforderungen des Auftraggebers können ebenso wie gesetzliche Anforderungen die Standortwahl einschränken. So dürfen personenbezogene Daten laut deutscher Datenschutzgesetzgebung ohne besondere Voraussetzungen nicht in jedem Land verarbeitet und gespeichert werden. 6.

7 datenschutz und compliance Datenschutz und Compliance Einleitung Mangelhafter Datenschutz wird häufig als grundsätzliches Risiko für Cloud-Dienste angeführt. Dabei wird allerdings oftmals sehr unpräzise über die datenschutzrechtlichen Aspekte berichtet. Grundsätzlich ist aus Sicht des Datenschutzes Cloud Computing nur dann relevant, wenn der Cloud-Anbieter in seinen Rechenzentren personenbezogene Daten verarbeitet, das heißt, sich Einzelangaben einer bestimmten oder bestimmbaren Person zuordnen lassen. Derartige Daten können dabei sowohl Kunden- als auch Mitarbeiterdaten sein, die ein Cloud- Nutzer mittels einer Software verarbeitet oder in der Cloud speichert. Personenbezogene Daten sind etwa Angaben zu Wohnort, Geschlecht, Alter, Religion oder Augenfarbe, aber auch Informationen darüber, welches Auto jemand besitzt oder welche Verträge jemand abschließt. Bei den Mitarbeitern kommen beispielsweise noch Informationen zur schulischen Ausbildung, Gehaltsangaben oder auch Leistungsbewertungen hinzu. Solche Angaben unterliegen in Deutschland einem sehr strengen Datenschutzrecht insbesondere dem Bundesdatenschutzgesetz. Für einen Provider wie die Telekom greifen darüber hinaus weitere Gesetze wie das Telekommunikations- (TKG) oder das Telemediengesetz (TMG). Allen Gesetzen gemein ist, dass sie auch für Cloud-Dienste greifen können. Daher ist es zunächst unerheblich, ob ein Unternehmen personenbezogene Daten in eigenen Rechenzentren, als Outsourcing in fremden Rechenzentren oder in Cloud-Rechenzentren verarbeitet und speichert. Eine Besonderheit macht die datenschutzrechtliche Bewertung von Cloud-Angeboten jedoch komplizierter: Clouds können grenzüberschreitend gestaltet sein. Dies gilt besonders für weltweit agierende Cloud-Anbieter, die Rechenzentren auf mehreren Kontinenten und in zahlreichen Ländern betreiben. Bei Massendaten, wie sie in der Regel bei Cloud-Angeboten für Privatkunden anfallen, bleibt oftmals unklar, in welchen Ländern auf welchen Servern personenbezogene Daten gespeichert sind und von welchen Ländern aus darauf zugegriffen werden kann. Anbieter solcher Cloud-Angebote sollten deutlich machen, in welchen Ländern bzw. Rechenzentren sie Daten speichern und verarbeiten. Denn nutzen Unternehmen Cloud Computing, sind sie als Auftraggeber verpflichtet, das Datenschutzrecht des eigenen Landes zu beachten unabhängig vom tatsächlichen Standort des Rechenzentrums. Innerhalb des europäischen Binnenmarktes gibt es mit der Europäischen Datenschutzrichtlinie (EU-DSRL) eine gesetzliche Grundlage für eine grenzüberschreitende Datenverarbeitung. Richtlinien wirken jedoch nicht unmittelbar, sondern müssen erst in nationales Recht umgesetzt werden. Derzeit arbeitet die EU an einer EU- Datenschutz-Grundverordnung, die sofort nach ihrer Verabschiedung in allen EU-Mitgliedstaaten greifen soll. Bis zur Verabschiedung ist für das grenzüberschreitende Cloud Computing daher nur gewährleistet, dass in den betroffenen Staaten Regelungen zum Datenschutz bestehen, die den grundsätzlichen Vorgaben der EU- DSRL entsprechen. Hinsichtlich der konkreten nationalgesetzlichen Ausgestaltung des Datenschutzes besteht für die EU-Mitgliedstaaten jedoch ein gewisser Umsetzungsspielraum. Dies führt dazu, dass die Datenschutzgesetzgebung in einigen EU-Ländern weitaus weniger restriktiv ist als etwa in Deutschland oder Polen. Welcher Datenschutz greift? Charakteristisch für Cloud Computing ist die Weitergabe der Daten vom Cloud-Nutzer an den Cloud-Anbieter. Damit handelt es sich im Sinne des Datenschutzrechts um eine Auftragsdatenverarbeitung also nichts Neues: Die Auftragsdatenverarbeitung ist im Bundesdatenschutzgesetz schon seit Jahren geregelt. Kurz zusammengefasst bedeutet die Auftragsdatenverarbeitung, dass Unternehmen ihre Daten unter bestimmten Bedingungen an Dritte zur Verarbeitung also etwa in ein externes Rechenzentrum geben dürfen. Bei der Auftragsdaten- 7.

8 datenschutz und compliance verarbeitung verbleibt die datenschutzrechtliche Verantwortlichkeit allerdings beim Cloud-Nutzer als Auftraggeber. Er verantwortet als Auftraggeber damit die datenschutzrechtliche Zulässigkeit der Datenverarbeitung. Für die Auftragsdatenverarbeitung sind eine Reihe formaler Anforderungen umzusetzen. Sie setzt eine schriftliche Vereinbarung voraus, die im Bundesdatenschutzgesetz ( 11 Abs. 2) genauer geregelt ist. So darf der Cloud-Computing-Anbieter als Auftragnehmer über die Verarbeitung und Nutzung der Daten nicht eigenverantwortlich entscheiden. Er unterliegt also den Weisungen des Cloud-Nutzers. Der Auftraggeber hat die Pflicht, sich beim Auftragnehmer vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Dies muss nicht zwingend stets durch eine Vor-Ort-Kontrolle geschehen, sondern kann unter bestimmten Voraussetzungen auch durch unabhängige Stellen oder entsprechende Dokumentationen des Cloud-Anbieters testiert werden. Für das Cloud Computing ergibt sich eine zusätzliche, aber lösbare Herausforderung bezüglich des Datenschutzes: Es sollte dem Cloud-Nutzer transparent sein, in welchem Land sich ein Rechenzentrum und damit seine Daten befinden. In einem klassischen IT-Outsourcing-Projekt ist dem einzelnen Kunden immer bekannt, in welchem Rechenzentrum seine Daten gespeichert werden. Eine Auslagerung der Daten in ein anderes Rechenzentrum ist ohne vorherige Kundenzustimmung regelmäßig vertraglich ausgeschlossen oder reglementiert. Meist kann der Kunde das Rechenzentrum betreten und sich persönlich einen Überblick über physikalische Sicherheitsmaßnahmen verschaffen. Beim Cloud Computing ist es Kunden dagegen nur dann möglich zu überprüfen, wo Daten gespeichert oder virtuelle Maschinen betrieben werden, wenn ihm die Standorte der Rechenzentren bekannt sind. Daher sollten Auftraggeber vertraglich genau festlegen, wo welche Daten verarbeitet und gespeichert werden dürfen. In Outsourcing-Projekten großer Unternehmen ist diese Vorgehensweise gang und gäbe. Dazu ein Beispiel: Ein deutsches Unternehmen nutzt in der Cloud eine Software, mit der es Kunden verwaltet, Angebote und Rechnungen erstellt sowie Mahnverfahren steuert. Das Unternehmen muss nun prüfen, ob es hier personenbezogene Daten in die Cloud stellt. Ist dies der Fall, greift unter anderem das Bundesdatenschutzgesetz. Das Unternehmen müsste daher mit dem Software-Anbieter klären, wo dieser seine Software betreibt und wo er die Daten speichert. Weist der Anbieter nach, dass er Rechenzentren ausschließlich in Deutschland oder in einem Staat der EU oder des Europäischen Wirtschaftsraums (EWR) betreibt, ist die Nutzung der Software in der Cloud aus gesetzlicher Sicht grundsätzlich möglich. Betreibt der Anbieter Rechenzentren in sonstigen Staaten, könnte es kritisch sein. Dann könnte der Cloud-Nutzer zum Beispiel vereinbaren, dass seine Daten nur in Staaten mit anerkanntem Datenschutzniveau verarbeitet werden. Dafür sind zusätzliche vertragliche Vorkehrungen zu treffen. Vertragsinhalte Der Auftraggeber ist verantwortlich für die rechtskonforme Verarbeitung seiner Daten; der Auftragnehmer muss die Anforderungen sicherstellen. Während die Kontrolle im klassischen Outsourcing noch überschaubar ist, lässt sich dieser Verantwortung in Cloud-Strukturen schwieriger gerecht werden. Insbesondere dann, wenn die Dienstleister gegenüber dem Cloud-Nutzer keine Auskunft zur Art und zum Ort der Verarbeitung und zu den Sicherungsmaßnahmen geben können. Wenn das der Fall ist, ist die Verarbeitung durch einen solchen Dienstleister gesetzeswidrig. Dem gegenüber ist eine datenschutzgerechte Datenverarbeitung in der Cloud vorstellbar, wenn dem Cloud- Nutzer als verantwortlicher Stelle umfassende Transparenz über diese Rahmenbedingungen und Wahlmöglichkeiten gewährt werden. Die Telekom ermöglicht diese Transparenz für ihr gesamtes Cloud-Angebot, sowohl für KMUs als auch für Großunternehmen und Privatnutzer. 8.

9 datenschutz und compliance Die genauen Modalitäten der Nutzung von Cloud-Services sollten klar geregelt werden. Dazu gehören neben der Beschreibung der gewünschten Leistungen inklusive Dienstgütevereinbarungen unter anderem die Klärung von Punkten wie Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der Sicherheitsvorkehrungen, Umgang mit Kundendaten und Weitergabe von Informationen an Dritte. Anforderungen Der Cloud-Anbieter muss seinen Kunden überzeugend darlegen können, wie und unter welchen Rahmenbedingungen er seine Rechenzentren betreibt und sichert. Nur so kann der Kunde das notwendige Vertrauen aufbauen, um seine Daten dem Provider anzuvertrauen. Insbesondere Anbieter von Public-Cloud-Diensten stehen in der Pflicht, die notwendigen Informationen zu liefern. Dazu gehört es, die Vertrags- und Geschäftsbedingungen verständlich und nachvollziehbar offenzulegen. Beim Public-Cloud-Computing werden standardisierte IT-Ressourcen durch einen externen Dienstleister bereitgestellt. Dabei teilen sich viele Kunden eine virtualisierte Infrastruktur. Die Daten und Anwendungen werden hierbei zwar auf denselben physischen Rechnern gespeichert, aber mittels Virtualisierungstechnologien logisch voneinander getrennt. Public- Cloud-Lösungen eignen sich für Unternehmen jeder Größe. Besonders für Unternehmen ist es bedeutend, dass der Anbieter von Cloud-Diensten bereit ist, Service Level Agreements (SLAs) zu vereinbaren. Hier wird verbindlich festgelegt, in welchem Umfang ein Kunde Dienste nutzen kann, wie verfügbar ein Service sein muss oder wie die Reaktionszeiten sind, falls es zu Ausfällen und Fehlern kommt. Ein Cloud-Anbieter muss auch offenlegen, an welchen Standorten Länder und Regionen er die Daten speichert und verarbeitet. Es sollte auch transparent sein, wie Anbieter ihre Standorte absichern und welche Schutzmaßnahmen sie insgesamt für den sicheren Betrieb ihrer Rechenzentren ergreifen. Es ist auch wichtig zu erfahren, wie sich lokale rechtliche Regelungen auf die Kundendaten auswirken können. Besonders im unternehmerischen Kontext ist es auch bedeutend zu wissen, wie die Rechts- und Besitzverhältnisse des Anbieters aussehen. Einige Anbieter von Software-as-a-Service betreiben ihre Software nicht auf eigenen Plattformen und Infrastrukturen. Dann müssen die Anbieter den Cloud-Nutzern deutlich machen, welche Subunternehmen an welchen Standorten welche Zugriffe auf die Kundendaten haben. Service Level Agreement Ein Service Level Agreement (SLA) hält die Leistungen vertraglich fest, die der Cloud-Anbieter erbringen muss. Dazu gehören funktionale und juristische Vereinbarungen. Teilweise sind in SLAs konkrete Werte für die Leistungserbringung definiert. Diese müssen für den Kunden messbar sein, beziehungsweise muss der Service-Anbieter nachweisen können, dass die Leistungen wie vereinbart erbracht worden sind. Typische Beispiele für solche Vereinbarungen sind die Verfügbarkeit eines Dienstes oder die Wiederherstellungszeit eines Services. Sagt der Anbieter seinem Kunden etwa zu, dass er einen Service zu 9.9.,5. Prozent erbringt, dann darf die Ausfallzeit diesen Wert über einen definierten Zeitraum nicht überschreiten. Auch sicherheitsrelevante Inhalte sollten Bestandteil der SLAs sein. Über diese lassen sich bei Bedarf über das Normalmaß hinausgehende Sicherheitsmaßnahmen definieren. Dies stärkt das Vertrauensverhältnis von Cloud-Nutzer und Cloud-Anbieter. Verlagert der Cloud-Anbieter seinen Standort oder muss schlimmstenfalls Insolvenz anmelden, sollte geregelt sein, wie der Kunde seine Daten bekommt. In Deutschland regelt dies im Grundsatz das Insolvenzrecht. Es empfiehlt sich aus Gründen der Rechtssicherheit insbesondere bei ausländischen Anbietern jedoch, die Verpflichtung und die Art und Weise der Übergabe genau festzuhalten. Dazu gehört es auch, dass der 9.

10 datenschutz und compliance Anbieter nach Übergabe die Daten löscht. Gleiches gilt auch, wenn der Cloud-Nutzer sein Vertragsverhältnis beendet. Dann muss sichergestellt sein, dass er seine Daten erhält und der Anbieter sie anschließend löscht. Compliance Oftmals handelt es sich bei den in einer Cloud-Anwendung gespeicherten Informationen um Daten, die ein Unternehmen aus gesetzlichen Gründen über einen längeren Zeitraum vorhalten muss. Dazu gehören unter anderem steuerrelevante Daten. Wer also IT-Services aus der Wolke bezieht, muss neben der Erfüllung des Datenschutzes auf weitere Compliance-Vorgaben beim Cloud-Anbieter achten. Bei Verwendung der Cloud- Anwendungen müssen Cloud-Nutzer also die geforderten sonstigen rechtlichen Bestimmungen einhalten. Dazu gehören etwa Verordnungen wie Basel II oder EuroSox sowie gesetzliche Dokumentations- und Archivierungspflichten, steuer-, handels- und bilanzrechtliche Anforderungen, spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, Kreditwesengesetz, MaRisk etc., oder das Strafgesetzbuch für Verschwiegenheitspflichten. KMUs fällt es schwer, die Vielzahl der Gesetze, Verordnungen und Regelwerke zu überblicken. Sie können sich in der Regel keinen Compliance-Fachmann leisten. Jedoch enthebt sie dies nicht ihrer Verantwortung. Dagegen verfügt ein Anbieter von Cloud-Services meist über eine höhere Kompetenz in Bezug auf Compliance-Regeln. So kann er beratend unterstützen und, falls notwendig, unter anderem Daten inklusive der Protokolle revisionssicher speichern. Datenschutz und Compliance der Cloud-Angebote der Telekom Die Telekom verarbeitet die eigenen Kundendaten in Deutschland. Dritte greifen allenfalls im Rahmen von Wartungsarbeiten oder 3rd Level Support auf unsere Systeme zu was nicht notwendigerweise den Zugriff auf Kundendaten beinhaltet. Darüber hinausgehende Übermittlungen erfolgen nur mit ausdrücklichem Einverständnis im Einzelfall. Die Deutsche Telekom bietet für Mittelstands- und Privatkunden eine Reihe von Cloud-Lösungen an. Privatpersonen können beispielsweise Bilder, Videos, s, Kontakte, Termine und Dokumente in der Cloud speichern und zu jeder Zeit, an jedem Ort und von jedem Gerät darauf zugreifen. Für den Mittelstand stellt die Telekom auf dem Business Marketplace eine ganze Reihe von eigenen Software- Angeboten sowie von Drittanbietern aus der Cloud bereit. Dazu gehören etwa Office sowie der effektive Schutz vor Viren und Malware mit der Symantec Endpoint Protection. Mit der Produktreihe STRATO HiDrive können Mitarbeiter Dateien nicht nur speichern, sondern auch teilen und gemeinsam bearbeiten. Mit Produkten von Scopevisio können KMUs in der Cloud ihre gesamte Buchhaltung sowie das Kundenmanagement durchführen. Mit SilvERP steht eine auf Branchen fokussierte Geschäftssoftware zur Verfügung, mit der sich die Material- und Warenwirtschaft eines Unternehmens in der Cloud umsetzen lässt. Die meisten Cloud-Services für KMUs und Privatkunden erbringt die Telekom aus eigenen Cloud- Rechenzentren in Deutschland. Alle diese Cloud-Rechenzentren erfüllen höchste Anforderungen an die Sicherheit. Das Hosting und der Betrieb der Applikationen in Deutschland gewährleisten den Nutzern der Cloud-Services, dass ihre Daten der strengen Datenschutzgesetzgebung in Deutschland entsprechen. 10.

11 datenschutz und compliance Einige Cloud-Angebote auf dem Business Marketplace werden von den Anbietern der Software in deren eigenen oder bei Dritten angemieteten sicheren Rechenzentren außerhalb Deutschlands betrieben. Die Angebote der Partner werden durch die Telekom vorab einer strengen Prüfung und danach einer regelmäßigen Kontrolle unterworfen. Damit Geschäftskunden hier volle Transparenz haben, hat jeder Cloud-Service des Business Marketplace eine eindeutige Kennzeichnung in Bezug auf den Sitz des Rechenzentrums, in dem die Applikation betrieben wird, sowie den Sitz des Anbieters. Die Plattform, auf der der Cloud-Marktplatz der Telekom betrieben wird, hat von der TÜV Saarland Gruppe das Siegel Geprüfte Cloud-Sicherheit erhalten. Dazu wurde das Portal unter anderem auf Aspekte wie Datenschutz und Datensicherheit untersucht. Die Managed IT Services der Telekom sind Private-Cloud-Angebote, das bedeutet, dass den Nutzern Serverkapazitäten exklusiv zur Verfügung stehen. Diese Managed Services werden stets in Rechenzentren in Deutschland gehostet und betrieben. Da es sich bei der Nutzung von Software aus der Cloud regelmäßig um Auftragsdatenverarbeitung handelt, bietet die Telekom im Rahmen der Nutzung gemäß 11 Bundesdatenschutzgesetz (BDSG) dem Cloud- Nutzer den Abschluss eines Vertrages über die Verarbeitung der Daten an. Dazu steht ein Vertrag über die Verarbeitung personenbezogener Daten zum Download bereit. Aufgrund der vielfältigen Nutzungsmöglichkeiten der Cloud-Anwendungen obliegt es jedoch dem Cloud-Nutzer zu prüfen, ob er im Rahmen der Nutzung der Cloud-Anwendung personenbezogene Daten erhebt, verarbeitet oder nutzt und es daher im jeweiligen Einzelfall der Abschluss eines solchen Vertrages erforderlich ist. Der Vertrag definiert unter anderem die Schutzpflichten der Telekom. Danach verpflichtet sich die Telekom beispielsweise dazu, Daten für keine anderen Zwecke zu nutzen und sie grundsätzlich nicht an Dritte weiterzugeben. Die Telekom trifft weiterhin die zum Schutz der Daten erforderlichen technischen und organisatorischen Maßnahmen gem. der Anlage zum 9. BDSG. Sie gibt etwa vor, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Damit Cloud-Nutzer die Umsetzung der Vorgaben kontrollieren können, stellt die Telekom entsprechende Testate bereit. Sie werden dem Kunden auf Anfrage zur Verfügung gestellt und in regelmäßigen Abständen, mindestens alle 24 Monate, aktualisiert. Auch Einzelkontrollen durch einen Kunden selbst oder durch einen von ihm beauftragten Dritten sind in den meisten Fällen auf Kosten des Kunden möglich. 11

12 datenschutz und compliance Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien vernichtet die Telekom entsprechend der vertraglichen Vereinbarung datenschutzgerecht. Ausnahme stellen Daten dar, die die Telekom aufgrund gesetzlicher Verpflichtung vorhalten muss. Nach Ablauf der gesetzlichen Aufbewahrungspflichten werden aber auch diese Daten gelöscht. Die Telekom unterstützt den Kunden bei der Wahrnehmung seiner datenschutzrechtlichen Pflichten. Geprüft wird die Einhaltung des Datenschutzes durch den Datenschutzbeauftragten, der die Aufgaben gem. 4g Bundesdatenschutzgesetz (BDSG) wahrnimmt. Die Verträge enthalten zudem genaue Angaben über die Standorte der Datenverarbeitung und ggf. eingesetzte Subunternehmer. Weiterhin definiert der Vertrag die technisch-organisatorischen Maßnahmen, um die IT-Sicherheit zu gewährleisten. Schon im Entwicklungsprozess prüft die Telekom alle sicherheitsrelevanten Aspekte eines Produktes: Spezialisierte Sicherheitsexperten, die die Entwicklung des Produktes nicht begleitet haben, suchen dabei gezielt nach Sicherheitslücken und zwar mit aktuellen Hacker-Methoden. Auch die Produkte von Zulieferern werden auf diese Weise auf Herz und Nieren gerüft. Der gesamte Produktentwicklungsprozess ist außerdem nach ISO zur Informationssicherheit durch die Deutsche Gesellschaft für Qualität (DGQ) zertifiziert. 12

13 gefahren und sicherheitsmassnahmen beim cloud-nutzer gefahren und sicherheitsmassnahmen beim cloud-nutzer Einleitung IT-Sicherheit betrifft nicht allein den Cloud-Anbieter. Häufig treten beim Cloud-Nutzer auch Sicherheitsmängel auf. In der Regel sind diese nicht spezifisch für Cloud Computing. Vielmehr gelten diese Sicherheitsmängel für jede Form der IT-Nutzung. Typische Beispiele dafür sind unzureichend oder gar nicht gesicherte lokale und standortübergreifende Netze, nicht gesicherte Desktops sowie mobile Endgeräte wie Smartphones oder Laptops. Eine Untersuchung des Deutschland sicher im Netz e. V. (DsiN) zur IT-Sicherheitslage von KMUs in Deutschland zeigt, dass mehr als die Hälfte der Unternehmen keinen -Schutz nutzen, ein Drittel keine organisatorischen Maßnahmen für mehr IT-Sicherheit aufsetzen und 29. Prozent keine Benutzer- und Rechteverwaltung verwenden. Dabei stellen Mitarbeiter selbst ein nicht unerhebliches Risiko dar meist durch unbewusst falsches Handeln, aber auch mit kriminellen Motiven. Dazu gehört zum Beispiel, wenn sie aus Unzufriedenheit mit ihrem Arbeitgeber bewusst Daten missbrauchen. Häufig können unberechtigte Mitarbeiter, aber auch externe Dienstleister völlig ungehindert Serverräume betreten oder beliebig auf Software und Daten zugreifen. Auch nicht gesicherte - Kommunikation oder mobile Speichermedien wie USB-Sticks, externe Festplatten oder Smartphones stellen Gefahrenquellen dar, insbesondere dann, wenn mit ihnen unbewusst Viren oder Trojaner in Systeme eingeschleppt werden. Auch wenn viele dieser Gefahren nicht typisch für Cloud Computing sind, spielen Sicherheitsmaßnahmen des Cloud-Nutzers hierfür eine wichtige Rolle, um sich ganzheitlich gegen Gefahren und Risiken abzusichern. Eine repräsentative Umfrage im Auftrag des Hightech-Verbands BITKOM unter Erwerbstätigen ergab 20.12, dass ein Fünftel (21 Prozent) der Beschäftigten von ihrem Arbeitgeber keinerlei Vorgaben zur Verhinderung von Computerkriminalität bekommen. Dazu gehören etwa Regeln für die Benutzung von Passwörtern oder den Umgang mit externen Datenträgern wie USB-Sticks. Laut der Umfrage sagt nur jeder zweite Erwerbstätige, dass es in seinem Betrieb Richtlinien für die Benutzung von Passwörtern gibt. 41 Prozent der Unternehmen verfügen über Vorgaben für den Umgang mit externen Datenträgern. Dabei dienen USB-Sticks häufig als Träger von Viren oder anderen Schadprogrammen. Nur ein Drittel (31 Prozent) der befragten Erwerbstätigen erhält von seinem Arbeitgeber Regeln für den Umgang mit mobilen Endgeräten wie Smartphones, Notebooks oder Tablet-PCs. Netze (LAN/WAN) Cloud-Services, Mobilgeräte, Telemitarbeiter und WLANs weiten Netzwerke immer mehr über ihre traditionellen Unternehmensgrenzen aus. Je komplizierter diese Netzwerke werden, desto mehr müssen IT-Abteilungen sich Gedanken machen, wie sie ihre Daten effektiv schützen können. Sollen schutzbedürftige Daten über nicht vertrauenswürdige Netze, wie beispielsweise das Internet, übertragen werden, sind Sicherheitsmaßnahmen zu realisieren. Zur effektiven und effizienten Verwaltung der Netzwerke sind weitere IT-Sicherheitsmaßnahmen erforderlich. Marktbeobachter gehen davon aus, das sogenannte Advanced Persistent Threats (APTs) bei dem Angreifer gezielt in Netze eindringen auf lange Sicht das größte Risiko für Unternehmen sein werden. Eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus dem Jahr zeigt, dass 26. von 30. befragten mittelständischen Unternehmen bereits Virtual Private Networks (VPN) nutzen, die den Schutz der Daten beim Transport gewährleisten. Etwa acht von zehn Unternehmen nutzen schon ein Netz- und Systemmanagement, womit sie Netzwerkkomponenten und IT-Systeme verwalten und steuern. Diese Systeme zeigen automatisiert an, wenn Netzfehler auftreten oder Angriffe auf das Netz erfolgen. Damit lassen sich dann aktiv Gegenmaßnahmen einleiten. 13

14 gefahren und sicherheitsmassnahmen beim cloud-nutzer Auch die WLAN-Dichte nimmt immer mehr zu. Eine Umfrage von Sophos zur Netzwerksicherheit im Jahr ergab aber, dass nur 21 Prozent aller IT-Entscheidungsträger von der Sicherheit ihrer Unternehmens-WLANs überzeugt sind. Die Studie, für die Sophos IT-Entscheider befragt hat, ergab außerdem, dass 44 Prozent aller Befragten das wachsende Bedürfnis nach cloudbasierten Services als zentrales Anliegen bei der Absicherung von Netzwerken einstufen. Jedes fünfte Unternehmen hatte schon einmal infolge einer Malware-Infektion einen Netzwerkausfall verkraften müssen. Einer der größten Nachteile eines WLANs ist der fehlende physikalische Schutz einer Kabelverbindung. Ein Funknetz strahlt in der Regel deutlich über die Hauswand hinaus. Dies eröffnet potenziellen Angreifern viele Möglichkeiten, in sicherer Entfernung zum Ausgangspunkt des WLANs Funkübertragungen auszuspionieren. WLAN-Verschlüsselung Die Verschlüsselung des WLANs bietet erste Sicherheit gegen Missbrauch. Hierfür sollten Nutzer eine sichere WPA2-Verschlüsselung anwenden, denn sie bietet mehr Schutz. Ein komplexes Passwort unterstützt die Verschlüsselung zusätzlich. Maßnahmen zur WLAN-Sicherheit: Eigenen, frei wählbaren Namen (SSID) für das WLAN vergeben. Bei Auswahl des Namens für die SSID sollte Folgendes beachtet werden: Die SSID sollte keine Rückschluss auf Orts-, Personen- Firmen-, Geräteangaben beinhalten. Eigenes Administrations-Passwort für den Access Point vergeben. Das Startpasswort zur Administration muss vollständig geändert werden und muss sich vom WPA2-Schlüssel unterscheiden. Als Verschlüsslungsminimum sollte WPA2 mit mindestens 14-stelligem Schlüssel eingesetzt werden. Ältere Verschlüsselungen bzw. keine Verschlüsselung muss vermieden werden. Virtuelles Privates Netzwerk (VPN) bei unverschlüsselten Hotspots einsetzen (beim Einsatz der oben genannten Kryptographie überflüssig). WLANs von anderen Netzwerk-Segmenten logisch trennen. WLANs logisch zu trennen ist nicht notwendig, wenn sich Geräte eindeutig über Zertifikate identifizieren können im besten Fall mit Sperrlistenfunktion. Regelmäßige Audits mit aktuellen Hacker-Tools. Datenverschlüsselung Durch Verschlüsselung der übertragenen Datenpakete lassen sich viele Angriffe vermeiden. In Cloud- Computing-Systemen ist eine verschlüsselte Übertragung der Daten vom Konsumenten zum Anbieter weit verbreitet und sollte für alle Daten stets verwendet werden. Der verschlüsselte Kanal sollte dabei jedoch nicht beim Übergang des öffentlichen in das private Netzwerk des Cloud-Anbieters enden. Häufig sind die Daten im privaten Netzwerk des Cloud-Anbieters unverschlüsselt und werden unverschlüsselt abgespeichert. Innerhalb der privaten Netzwerke des Anbieters sind ggf. passive Angriffe möglich, sodass der Anbieter Vorkehrungen, z. B. die Isolierung des Datenverkehrs einzelner Benutzer, treffen sollte. 14

15 gefahren und sicherheitsmassnahmen beim cloud-nutzer Desktops und Software Desktop-Nutzer gehen nach wie vor allzu leichtsinnig mit Hard- und Software um. Auch Cloud-Nutzer sollten aktuelle Viren-Schutzprogramme und ein Anti-Spyware-Programm installieren. Wer eine Personal Firewall einsetzt und sie regelmäßig aktualisiert, schützt sich vor Angriffen aus dem Internet. Es ist wichtig, den Schutz der Software auch dann vorzunehmen, wenn Sicherheitsmaßnahmen bereits im Netzwerk vorhanden sind. Hier gilt das Motto: Doppelt gemoppelt hält besser. Häufig ignorieren PC-Nutzer auch die Hinweise auf Sicherheitsupdates für ihr Betriebssystem und sonstige Software. Diese Sicherheitsupdates sind jedoch wichtig, da sie Schwachstellen in Betriebssystemen, Browsern oder anderen Programmen schließen. Betriebssysteme bieten die Möglichkeit, sich als Nutzer mit eingeschränkten Rechten oder als Administrator anzumelden. Als Administrator sollten sich nur geschulte Mitarbeiter anmelden können. Beim Surfen sollten Anwender immer auf Administratorrechte verzichten. Manche Browser warnen vor bösartigen Webseiten. Daher sollten insbesondere Cloud-Nutzer Browser mit sehr guten Sicherheitseigenschaften wählen. Risiko USB-Sticks Der Flame-Virus hat sich über mobile Speichergeräte wie USB-Sticks verbreitet. War ein PC mit Internetverbindung infiziert, hat sich die Malware auf das Gerät kopiert. Steckte der Nutzer den Stick an einen anderen Rechner, zog sich Flame die Daten und übermittelte sie an seine Entwickler. Dies passiert sogar, wenn ein Rechner keine Internetverbindung hatte. Dann erfolgte die Übermittlung der Daten bei erneuter Verbindung zum Internet. Über solche Viren werden Mitarbeiter ohne ihr Wissen für Datentransporte missbraucht und ermöglichen so den Datendiebstahl aus geschützten und unzugänglichen Umgebungen. Experten raten daher, fremde USB-Sticks nicht am eigenen Rechner zu verwenden, falls doch notwendig, den USB-Stick mit aktueller Anti-Virensoftware prüfen zu lassen. Autorun- und Autoplay-Funktionen zu deaktivieren, ein USB-Stick-Management einzuführen und nur verschlüsselte und dem System bekannte USB-Sticks zu verwenden, eigene USB-Sticks mit sensiblen Daten nicht in fremde PCs zu stecken, da sie ausgespäht werden könnten, USB-Sticks mit einem Schreibschutz vor Schadsoftware zu schützen. Verwaltung von Anmeldedaten (Benutzername/Passwort) Die Identitäts- und Berechtigungsverwaltung ist ein wichtiger Bestandteil der Zugriffskontrolle. Ein Cloud-Anbieter muss den Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern. Der Cloud-Nutzer kann entweder ein eigenes ID- und Rechtemanagement einführen und betreiben. Oder der Cloud-Serviceanbieter stellt dem Kunden ein ID-Management zur Verfügung oder baut eine Schnittstelle zu einem externen Identitätsanbieter auf. Grundsätzlich benötigt ID-Management die Elemente Authentisierung und Autorisierung. Authentisierung Das Identitäts- und Berechtigungs-Management sorgt dafür, dass nur befugte Personen IT-Ressourcen nutzen können, sowohl bestimmte Hardware als auch Software. Der Zugriff wird durch Identifikation und Authentifikation der Benutzer abgesichert. Je sicherheitskritischer eine Anwendung ist, desto stärker sollte das Authentisierungsverfahren sein. Banken zum Beispiel setzen für das Online-Banking auf eine Zwei-Faktor-Authentisierung. Kunden müssen sich zunächst mit einer nur ihnen bekannten PIN in das Online- Banking einloggen. Kunden müssen dann jede Aktion wie etwa eine Überweisung mit einer etan oder mobiletan, die wiederum nur ihnen bekannt ist, bestätigen. Direkte Zugriffe auf Cloud-Angebote über das Internet sollten Unternehmen über eine starke Authentisierung absichern. 15.

16 gefahren und sicherheitsmassnahmen beim cloud-nutzer Autorisierung Ein Rechtemanagement gewährleistet, dass Mitarbeiter nur auf die Daten einer Cloud-Anwendung zugreifen können, die sie zur Erfüllung ihrer Aufgabe tatsächlich benötigen. Dafür definiert der Cloud-Nutzer die unterschiedlichen Rollen und weist ihnen Berechtigungen zu. So kann es sein, dass Mitarbeiter zwar Einsicht in Daten einer Software erhalten, aber diese Daten nicht verändern können. Andere wiederum dürfen bestimmte Anwendungen gar nicht nutzen. Es kann auch verhindert werden, dass Mitarbeiter Daten auf ihrem PC oder auf externen Medien wie USB-Sticks speichern. Wenn Nutzer universelle Rechte erhalten, dann sollten ihre Aktionen nachvollziehbar und nachweisbar dokumentiert sein. Importiert oder exportiert jemand Daten, lässt sich dann genau prüfen, welche Daten zu welchem Zeitpunkt auf welchem Medium gespeichert wurden. Für besonders kritische Aktionen kann es sinnvoll sein, ein Vier-Augen-Prinzip anzuwenden. Dann müssen immer zwei Personen mit ihren Zugangsberechtigungen die Aktion autorisieren. Antiviren-Software und Spamschutz Der Cloud-Anbieter schützt seine Cloud-Dienste sowie seine Rechenzentren unter anderem mit einer Vielzahl von Firewalls oder Antiviren-Software. Die Cloud-Nutzer müssen aber auch ihre Rechner gegen Schadprogramme wie Trojaner, Viren und Würmer schützen. Inzwischen gibt es nahezu kein Unternehmen mehr, das noch keine Antispam-/-Antivirensoftware auf seinen Rechnern installiert hat. Eine Antiviren-Software überprüft Dateien, darunter auch Anhänge von s, auf mögliche Infektionen. Dafür ist es aber unerlässlich, die Abwehrsoftware laufend auf dem neuesten Stand zu halten. Daher sollte die Aktualisierungsfunktion nicht abgeschaltet werden, da ansonsten Rechner schon in kürzester Zeit neuen Gefahren ausgesetzt sind. Experten gehen davon aus, dass täglich Tausende neuer Schadprogramme im Internet auftauchen. Auch eine Personal-Firewall zwischen PC und Internet ist für Unternehmen unerlässlich. Eine Firewall kontrolliert den Datenverkehr und verhindert, dass gefährliche Datenpakete überhaupt ins System gelangen oder jemand von außen unerlaubt auf einen PC zugreift. Einen Überblick über Angriffe aus dem Netz bietet die Internetseite Smartphones/Tablet-PCs/Laptops Mobile Endgeräte übernehmen immer mehr klassische PC-Aufgaben. Dadurch erweitert sich das Bedrohungspotenzial deutlich. Allein schon deshalb, weil die Kommunikation oft ganz ungesichert per WLAN erfolgt. Weiterhin besitzen mobile Betriebssysteme und Applikationen aus technischer Sicht noch keinen hohen Reifegrad. Die größten Sicherheitsbedrohungen für Mobilgeräte liegen neben Würmern und Trojanern im gezielten Diebstahl der Geräte, und damit auch der Daten und Informationen. Dies birgt ein hohes Risiko, denn Mobilgeräte oft gleichzeitig beruflich und privat genutzt enthalten eine Fülle wertvoller und persönlicher Informationen. Angreifer, so der aktuelle Threat-Landscape-Bericht der EU-Agentur für Netz- und Informationssicherheit Enisa, suchen in Zukunft vor allem Sicherheitslecks in mobilen Geräten und damit Zugriff auf eine Server-Wolke. Die Attacken richten sich vorwiegend auf niedrige Ebenen der Cloud-Infrastruktur. Dazu zählen die Programmierschnittstellen, insbesondere dann, wenn sie Sicherheitsaufgaben wie die Datenverschlüsselung übernehmen. 16.

17 gefahren und sicherheitsmassnahmen beim cloud-nutzer Der Schutz von persönlichen Informationen kann also schwierig sein, zumal immer mehr personenbezogene Daten auf Handys und Tablets gespeichert werden. Laut dem Lookout-App-Genome-Report sind 28. Prozent der kostenlosen Apps in Google Play und mehr als ein Drittel der kostenlosen Apps in Apples App Store in der Lage, auf den Standort zuzugreifen. Nicht zuletzt sind mobile Geräte anfällig für Verlust oder Diebstahl. So verlieren Münchner, Hamburger und Berliner alle zwei Jahre ihr Handy, Kölner durchschnittlich jedes Jahr. Manche Apps, die auf Daten zugreifen, um beispielsweise Dienste mit Ortsbezug anbieten zu können, greifen dabei auf mehr Informationen zu, als für den Dienst nötig ist zum Beispiel auf SMS-Nachrichten und Angaben zur persönlichen Identität. Deshalb sollten Smartphone-Nutzer genau prüfen, auf welche Daten eine App tatsächlich zugreift. Es gibt inzwischen Apps, die die Aktivitäten anderer Apps überwachen und ihnen Rechte entziehen. So lässt sich beispielsweise feststellen, welche Apps auf private Daten zugreifen. Wer sich in einem ungeschützten WLAN mit dem Internet verbindet, läuft Gefahr, dass jeder in diesem Netzwerk die Daten lesen kann. Daher sollten offene Netzwerke generell gemieden werden. Erfordert eine Webseite eine Anmeldung, dann sollte die Adresse mit https beginnen. Hier besteht dann eine sichere, verschlüsselte Netzwerkverbindung. Wer ein öffentliches Netzwerk genutzt hat, sollte den Link auf seinem Smartphone aktiv löschen. So lässt sich verhindern, dass sich das Gerät erneut automatisch mit dem Netzwerk verbindet. Eines der größten Risiken ist der Verlust des Gerätes. Die einfachste Möglichkeit des Schutzes besteht dann darin, eine Bildschirmsperre für ein Mobilfunkgerät per PIN, Passwort oder Mustererkennung einzurichten. Ansonsten laufen Besitzer bei Verlust Gefahr, persönliche und vertrauliche Informationen preiszugeben. Es ist auch sinnvoll, eine App zur Geräteortung herunterzuladen. Damit lässt sich ein verlorenes Handy orten und möglicherweise wiederfinden. Zudem lässt sich das Gerät per Fernzugriff sperren und darauf enthaltene Daten löschen. Die Telekom bietet gemeinsam mit Lookout erste Geräte mit vorinstallierter Lookout Mobile Security -App an. Die App schützt Kunden sofort und anwenderfreundlich vor Malware, Phishing und Datenverlust ebenso wie vor Bedrohungen der Privatsphäre bei Verlust oder Diebstahl des Handys. In jedem Fall ist es wichtig, Smartphones vergleichbar einem PC zu schützen. Es empfielt sich auch, hier Anti-Viren-Programme einzusetzen. Mobile Device Management Mithilfe des Mobile Device Management (MDM) der Telekom lassen sich beliebig viele Smartphones und Tablets unabhängig vom Betriebssystem inklusive Anwendungen zentral inventarisieren, administrieren und steuern. Dazu gehören auch Sicherheitstools wie Firewall oder Virenschutz inklusive Updates. Die Unternehmen können ihre individuelle Sicherheits-Policy auf das MDM übertragen sei es nun bezogen auf Passwörter und Anwendungen oder auf die Trennung zwischen privater und geschäftlicher Nutzung. Mithilfe einer Black-White-Liste legen sie im Vorfeld fest, welche Apps und Anwendungen überhaupt auf den Geräten genutzt werden dürfen und welche tabu sind. Einmal installiert, lassen sich Anwendungen künftig auch in einem sogenannten Container abkapseln, damit sie sich nicht mit dem Firmenserver verbinden. Das kann bei Apps sinnvoll sein, die der Mitarbeiter privat nutzen will. Auch bei Verlust oder Diebstahl müssen sich die Unternehmen keine Gedanken machen, dass ihre Daten in falsche Hände geraten: Über die Mobile Device Management Plattform lokalisieren sie alle Geräte und löschen die darauf gespeicherten Daten und Anwendungen aus der Ferne. 17.

18 gefahren und sicherheitsmassnahmen beim cloud-nutzer Obwohl immer häufiger sicherheitsrelevante Informationen wie Protokolle, Verträge und Rechnungen über das Internet ausgetauscht werden, verfügen laut einer Studie des Deutschland sicher im Netz e. V. (DsiN) aus dem Jahr nur 46. Prozent der Unternehmen über einen passenden -Schutz. Einsatz von Verschlüsselung und Signatur bei der -Kommunikation: Werden vertrauliche Informationen und/ oder Daten mit hohem Integritätsanspruch übertragen, so sollten kryptographische Verfahren eingesetzt werden. Schadprogramme werden oft über Dateianhänge in s verbreitet. Im Zweifelsfall fragen Sie vorsichtshalber beim Absender nach, ob der Anhang tatsächlich von ihm stammt. 18.

19 Gefahren und SicherheitsmaSSnahmen beim Cloud-Anbieter Gefahren und Sicherheitsmassnahmen beim Cloud-Anbieter Einleitung Wer sich als Unternehmen für Cloud Computing entscheidet, sollte ein Mindestmaß an Risikoanalyse durchführen. Wichtige Aspekte und Fragen sind unter anderem: In welchem Land stehen die Rechenzentren des Cloud-Anbieters und wo werden meine Daten gespeichert? Wie sind die Rechenzentren gesichert? Welche Maßnahmen zum Schutz der Cloud-Umgebung existieren; also Virenschutz, Intrusion Detection System (IDS), Abwehrmaßnahmen von Denial-of-Service-Angriffen, Firewall-Konfigurationen, Patch- und Änderungsmanagement etc.? Gibt es Informationen über die Historie von Server- und Netzausfällen und damit auch Ausfällen der Cloud- Anwendungen? Welche Software hat der Cloud-Anbieter auf seinen Host-Systemen installiert? Mit welchen Maßnahmen wird die Verfügbarkeit gesichert, maximale Ausfallsicherheit gewährt und wie werden Back-ups der Systeme und Daten erstellt? Welche Mitarbeiter beim Cloud-Anbieter haben wie Zugriff auf Daten, Konfigurationen, Logdateien etc.? Informiert der Anbieter über Sicherheitszwischenfälle und wenn ja, wie? Ist der Anbieter nach einer Sicherheitsnorm (z. B. ISO ) zertifiziert? Sicherheit von Rechenzentren Rechenzentren bilden die Herzstücke des Cloud Computings. Daher muss die Sicherheit der Anlagen nach dem aktuellen Stand der Technik gewährleistet sein. Dazu zählt die Sicherung eines Rechenzentrums nach außen, aber auch die gegen äußere Einflüsse wie Hochwasser oder Feuer. Auch der Standort eines Rechenzentrums selbst muss gut geplant sein. Hochwasser- oder stark erdbebengefährdete Gebiete kommen normalerweise nicht für den Bau eines Rechenzentrums in Frage. Genauso sind Einflugschneisen von Flughäfen für den Standort von Rechenzentren ungeeignet. Die Sicherheitsmaßnahmen beginnen an den Eingangstüren und -toren. Eigenes Personal darf der Zugang nur nach Sicherheitsprüfung und fremden Personen nur in Begleitung gewährt werden. Die Eingangstore müssen dafür permanent überwacht werden. Dies erfolgt mit Videoüberwachungssystemen, Bewegungssensoren, Alarmsystemen, Vereinzelungsanlagen und geschultem Sicherheitspersonal. Da der Betrieb eines Rechenzentrums wesentlich von der Stromversorgung abhängt, muss diese redundant ausgelegt sein. Dafür bieten sich zum Beispiel Generatoren an, die bei Stromausfällen sofort anspringen und Ersatzstrom liefern. Dies sichert auch die Klimatisierung in den Serverräumen. Da Serverfarmen eine enorme Hitze entwickeln, müssen sie permanent gekühlt werden, um nicht zu überhitzen und dann auszufallen. Auch die Netzanbindung lässt sich ohne Strom nicht aufrechterhalten Auch Brandschutzvorkehrungen müssen auf dem neuesten Stand der Technik sein. Dazu gehören etwa Sprinkleranlagen oder Brandschutztüren, die sich automatisch schließen. Wichtig ist es auch, alle Sicherheitsmaßnahmen regelmäßig zu testen. Ein Generator, der monatelang nicht zum Einsatz kommt, springt ansonsten bei Bedarf nicht an. Werden in Rechenzentren geschäftskritische IT-Systeme für Unternehmen betrieben oder Daten gespeichert, müssen die Systeme und Daten in einem zweiten Rechenzentrum gespiegelt werden. Dies sichert die 19.

20 Gefahren und SicherheitsmaSSnahmen beim Cloud-Anbieter Verfügbarkeit in besonders hohem Maße. Solche redundanten Rechenzentren auch Twin Core genannt kompensieren Teil- oder Totalausfälle eines Rechenzentrums in der Regel in so kurzer Zeit, dass Kunden davon nichts merken und keine Daten verloren gehen. Dafür werden alle Systeme und Daten in Echtzeit gespiegelt, und die Rechenzentren sind über Netze verbunden, die extrem hohe Übertragungsraten ermöglichen. Um die Sicherheit weiter zu erhöhen, sind Twin-Core-Rechenzentren darüber hinaus redundant miteinander vernetzt. Sollte also eine Verbindung gekappt werden beispielsweise durch einen Bagger dann steht immer eine Ausweichstrecke zur Verfügung. Zudem sind die beiden Zwillingsrechenzentren geografisch so weit voneinander getrennt zu betreiben, dass Schadensereignisse wie Feuer, Explosion oder Unfälle nicht gleichzeitig beide Rechenzentren treffen können. Die Telekom betreibt weltweit 9.0. Rechenzentren, davon einen Großteil für Cloud Computing. Alle Rechenzentren, in denen geschäftskritische IT-Systeme oder Daten für Kunden verarbeitet und gespeichert werden, verfügen über ein Twin-Core-Rechenzentrum. Die Sicherheitsvorkehrungen entsprechen höchsten Anforderungen, teilweise gehen sie über die vorgeschriebenen Sicherheitsmaßnahmen hinaus. Zertifizierung/Auditierung Um die Sicherheit von Informationen in Rechenzentren nachzuweisen, gibt es eine Vielzahl von Zertifizierungen, die national und international anerkannt sind. Das wichtigste internationale Zertifikat zu einem Informationssicherheits-Managementsystem (ISMS) bescheinigt die Erfüllung von Anforderungen der ISO/IEC Die ISO/IEC definiert unter anderem die Bedingungen für Herstellung, Durchführung, Betrieb, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung eines dokumentierten ISMS. Es zeigt, ob ein Rechenzentrumsbetreiber die Anforderungen dieser Norm umsetzt sowie berücksichtigt und die Risiken innerhalb der gesamten Organisation spezifiziert. Das ISMS bildet damit die Basis für die Auswahl geeigneter und angemessener Sicherheitskontrollen. Es legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt, plant, einsetzt, durchführt, überwacht und verbessert. Seit setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem IT-Grundschutz auf dieser Norm auf und bietet eine Zertifizierung ISO auf Basis von IT-Grundschutz an. Gerade im deutschsprachigen Raum ist es eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Die Zertifizierung gilt als Nachweis für die Einhaltung des durch den BSI definierten IT-Grundschutzes. Die Maßnahmen des IT-Grundschutzes sind hierbei sehr viel detaillierter als die Anforderungen der ISO/IEC festgelegt und bieten damit eine gute Best-Practice-Sammlung zur Umsetzung des internationalen Standards. In seinem Eckpunktepapier empfiehlt das BSI mindestens den internationalen Standard ISO/IEC als Basisanforderung für jeden Cloud-Anbieter. Der Standard ist überall dort von Bedeutung, wo der Schutz vertraulicher Daten gewährleistet sein muss also auch für Cloud Computing. Weitere Zertifikate sind etwa das EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.v. sowie SAS 7.0. des American Institute of Certified Public Accountants (AICPA) oder entsprechende Zertifikate der Cloud Security Alliance. Auch wenn Unternehmen mit diesen Zertifikaten ein hohes Sicherheitsniveau ihrer Rechenzentren nachweisen können, sind diese keine explizit auf Cloud Computing zugeschnittenen Standards und Normen. Sie widmen sich also nicht den besonderen Risiken, die sich durch die Cloud-Architektur ergeben. Damit bleibt festzuhalten, dass bis heute noch kein De-facto-Standard existiert, der die besonderen Anforderungen zu Datensicherheit und Datenschutz in der Cloud nach deutschen Gesetzen erfüllt. 20.

Datenschutz und Datensicherheit beim Cloud Computing

Datenschutz und Datensicherheit beim Cloud Computing white paper Datenschutz und Datensicherheit beim Cloud Computing Inhaltsverzeichnis Einleitung... 4 Wesentliche Risiken des Cloud Computings... 5 Datenschutz und Compliance... 8. Einleitung... 8. Welcher

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

EDV & DATENSCHUTZ "AKTUELL"

EDV & DATENSCHUTZ AKTUELL EDV & DATENSCHUTZ "AKTUELL" 42579 Heiligenhaus Homepage: www.drqm.de Zur Person Seit 1984 im Projektmanagement im Großhandel, Bauindustrie und Maschinenbau Leitung von EDV und Rechenzentrum im Großhandel

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

In die Cloud aber sicher!

In die Cloud aber sicher! In die Cloud aber sicher! Basisschutz leicht gemacht Tipps und Hinweise zu Cloud Computing 1 In die Cloud aber sicher! Eine Cloud ist ein Online-Dienst. Mit dem Dienst speichern Sie Daten im Internet,

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger. Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz von Paul Marx Geschäftsführer ECOS Technology GmbH ECOS Technology Die Spezialisten für einen hochsicheren Datenfernzugriff Seit 1999 am Markt

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Inhaltsverzeichnis. 1. Einleitung. 2. Datenschutz. 2.1. Rechtlicher Rahmen. 3. Informationssicherheit. 3.1. Physikalische Sicherheit

Inhaltsverzeichnis. 1. Einleitung. 2. Datenschutz. 2.1. Rechtlicher Rahmen. 3. Informationssicherheit. 3.1. Physikalische Sicherheit Sicherheit & Datenschutz Inhaltsverzeichnis 1. Einleitung 2. Datenschutz 2.1. Rechtlicher Rahmen 2.2. Umgang mit personenbezogenen Daten auf von edudip betriebenen Internetseiten 3. Informationssicherheit

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9 BDSG Technische

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

XQueue GmbH Datenschutzkonzept XQ:Campaign

XQueue GmbH Datenschutzkonzept XQ:Campaign XQueue GmbH Datenschutzkonzept XQ:Campaign 2002-2014 XQueue GmbH. Alle Rechte vorbehalten. Diese Dokumentation darf ohne vorherige schriftliche Genehmigung durch die XQueue GmbH weder teilweise noch ganz

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. 1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6 Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6 Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731 Datenschutz 1 Die Hintergründe des BDSG 2 Ziel des Datenschutzes: Die Vermeidung von erfahrungsfreiem Wissen (Informationelle Selbstbestimmung) Jeder Mensch sollte wissen, wer was mit seinen Daten macht

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht Tipps zum Umgang mit mobilen Geräten SICHER UNTERWEGS MIT SMARTPHONE, TABLET & CO VORWORT Sicherheit für Smartphone & Co Smartphones

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

IT-Kriminalität in Deutschland

IT-Kriminalität in Deutschland IT-Kriminalität in Deutschland Prof. Dieter Kempf BITKOM-Präsident Vorsitzender Deutschland sicher im Netz e. V. Pressekonferenz 30. Juni 2011 Datenspionage: Angst und Gefahr nehmen zu Wodurch fühlen Sie

Mehr