Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)
|
|
- Horst Fried
- vor 8 Jahren
- Abrufe
Transkript
1 Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)
2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Telefon: Internet: Bundesamt für Sicherheit in der Informationstechnik 2011
3 Inhaltsverzeichnis Inhaltsverzeichnis Vorwort DasBSIimDienstderÖffentlichkeit Einleitung Motivation Zielsetzung Adressatenkreis Anwendungsweise ThematischeAbgrenzungderBSI-Sicherheitsempfehlungen 10 2 CloudComputingGrundlagen WasistCloudComputing? WasunterscheideteinePublicCloudvoneinerPrivateCloud? WelcheverschiedenenServicemodellewerden imcloudcomputingangeboten? WasunterscheidetCloudComputingvon klassischemit-outsourcing? Strategische PlanungderCloudComputing ServicesdurchdenNutzer 3 SicherheitsmanagementbeimAnbieter 21 4 Sicherheitsarchitektur Rechenzentrumssicherheit Server-Sicherheit Netzsicherheit Anwendungs-undPlattformsicherheit Datensicherheit VerschlüsselungundSchlüsselmanagement
4 Inhaltsverzeichnis 5 ID-undRechtemanagement 38 6 KontrollmöglichkeitenfürNutzer 41 7 MonitoringundSecurityIncidentManagement 42 8 Notfallmanagement 45 9 PortabilitätundInteroperabilität Sicherheitsprüfungund-nachweis AnforderungenandasPersonal Vertragsgestaltung Transparenz ServiceLevelAgreement(SLA) DatenschutzundCompliance Datenschutz Compliance Ausblick Glossar 16 Referenzen Dankesworte 75 2
5 Vorwort Vorwort Minimierte Risiken beim Cloud Computing CloudComputinghatdasPotential,dieBereitstellungundNutzungvonInformationstechnologienachhaltigzuverändern.DamitIT-DienstleistungenausderCloudjedochzuverlässiggenutzt werden können, ist die Informationssicherheit einer der Schlüsselfaktoren. Um im Hinblick auf Sicherheit beim Cloud Computing eine tragfähige Basis zu schaffen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September2010einenpraxisnahenAustauschangeregt.SowohlAnbieterentsprechenderLösungenalsauchderenAnwender sowiesicherheitsexpertenwarenaufgerufen,dasvombsiveröffentlichteeckpunktepapiermitmindestanforderungenandieinformationssicherheitbeim CloudComputingzudiskutieren. Nicht nur die klassischen Angriffsszenarien sind für Cloud-Systeme relevant.hinzukommenspeziellecharakteristikawieetwadietatsache,dasssich mehrere Nutzer eine gemeinsame IT-Infrastruktur teilen. Zudem stellt die dynamische Verteilung der IT-Leistung über mehrere Standorte hinweg eine besondereherausforderungdar. Die zahlreichen Rückmeldungen der Branche auf diese BSI-Initiative haben gezeigt, dass sich der Ansatz einer gemeinsamen, praxisorientierten DiskussionvonAnbieternundAnwendernbewährthat:DasEckpunktepapier wurdevondenmarktteilnehmernweitgehendpositivaufgenommen.dasbelegen die zahlreichen Anfragen genauso wie die vielen konstruktiven Kommentare.DieErgebnissedieserDiskussionsindnunindemvorliegendenBand dokumentiert. 3
6 Vorwort ZieldesBSIistes,gemeinsammitdenBeteiligtensinnvolleundangemessene Sicherheitsanforderungen an das Cloud Computing zu entwickeln, die einenschutzvoninformationen,anwendungenundsystemengewährleisten. DiesemZielsindwireingutesStücknähergekommen.DieimFolgendenbeschriebenenMindestanforderungensindskalierbarinRichtungVerfügbarkeit und Vertraulichkeit. Sie bieten eine methodische Grundlage, um einerseits weitereaspekteintegrierenzukönnenundumsiekontinuierlichansichveränderndegegebenheitenanzupassen.andererseitsbildensieeinegutebasis in den Diskussionen auf internationaler Ebene. Internationale Standards bildendiezertifizierungsgrundlagefürdieaspekteinteroperabilitätundinformationssicherheit.erstaufdieserbasiswirdsichfüranwenderdiemöglichkeit eröffnen,sichvondenunterschiedlichencloud-angeboteneinumfassendes, verlässliches Bild zu machen. Als nächsten Schritt planen wir, Cloud ComputingindieIT-Grundschutz-VorgehensweisedesBSIeinzuarbeiten. Denn nur, wenn die entsprechenden Dienstleistungen auf hohem Sicherheitsniveaubereitgestelltwerden,lassensichdiePotentialevonCloud-Lösungen wiehoheflexibilitätundeffizienz,aberauchsinkendekostenbeider BereitstellungundNutzungvonInformationstechnologie wirklichnutzen. IchwünscheIhneneineaufschlussreicheLektüre. MichaelHange PräsidentdesBundesamtesfürSicherheitinderInformationstechnik 4
7 Das BSI im Dienst der Öffentlichkeit DasBSI imdienstderöffentlichkeit Das Bundesamt für Sicherheit in der Informationstechnik wurde am 1. Januar 1991 mit Sitz in Bonn gegründet und gehört zum Geschäftsbereich desbundesministeriumsdesinnern. Mit seinen derzeit rund 500 Mitarbeiterinnen und Mitarbeitern und 62 Mio. Euro Haushaltsvolumen ist das BSI eine unabhängige und neutrale StellefüralleFragenzurIT-SicherheitinderInformationsgesellschaft. Als zentraler IT-Sicherheitsdienstleister des Bundes ist das BSI operativ für denbund,kooperativmitderwirtschaftundinformativfürdenbürgertätig. DurchdieGrundlagenarbeitimBereichderIT-SicherheitübernimmtdasBSI alsnationaleit-sicherheitsbehördeverantwortungfürunseregesellschaftund istdadurcheinetragendesäulederinnerensicherheitindeutschland. 5
8 Das BSI im Dienst der Öffentlichkeit Ziel des BSI ist der sichere Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft. IT-Sicherheit soll als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden. Sicherheits- aspektesollenschonbeiderentwicklungvonit-systemenund-anwendungen berücksichtigtwerden. DasBSIwendetsichmitseinemAngebotandieAnwenderundHersteller von Informationstechnik. Zielgruppe sind die öffentlichen Verwaltungen in Bund,LändernundKommunensowiePrivatanwenderundUnternehmen. DasEckpunktepapierzumCloudComputinggibteinenkompaktenÜberblick über die wichtigsten organisatorischen, personellen, infrastrukturellen und technischen Informationssicherheitsmaßnahmen für Cloud Computing Anbieter. 6
9 Einleitung 1 Einleitung 1.1 Motivation DasThemaCloudComputingistderzeiteinesderammeistendiskutierten ThemeninderInformationstechnik(IT).HinterdemBegriffCloudComputing stehen aber weniger neue Technologien, sondern deren Kombination und konsequenteweiterentwicklungermöglichenneueit-servicesundneuegeschäftsmodelle. Wie bei vielen neuen Techniken und Dienstleistungen werden auch beim CloudComputingdieAspekteInformationssicherheitundDatenschutzintensiv diskutiertunddurchauskritischerbeleuchtetalsbeischonlängervorhandenen Angeboten. Viele Umfragen und Studien zeigen, dass potentielle Kunden BedenkenbezüglichInformationssicherheitundDatenschutzbeimCloudComputinghaben,dieeinemverstärktenEinsatzentgegenstehen.BeidenNutzernvon Cloud-AngebotenmussnochdasnotwendigeVertrauenaufgebautwerden. DasBSIhatdaherEmpfehlungenfürsicheresCloudComputingerstellt,die sichzunächstancloudserviceprovider(csp)richten.cspshabendiemöglichkeitenunddiepflicht,informationssicherheitineinemangemessenenumfang umzusetzen.dasvorliegendeeckpunktepapierkannvoncspsalsrichtschnur fürdieumsetzungvonsicherheitsmaßnahmengenutztwerden.andererseits könnencloud-nutzer,diesichmitdenvorliegendenempfehlungenbeschäfti- gen,diecspsnachderenumsetzungfragen.derersteschrittfüreinencloud- Kundensollteesjedochimmersein,sichüberdieSchutzbedürftigkeitdereigenenDatenundAnwendungenklarzuwerden.DavonhängtimWesentlichen ab,obundunterwelchenrahmenbedingungengeschäftsrelevantedatenund AnwendungenindieCloudverlagertwerdenkönnen. Das Eckpunktepapier stellt einen Überblick über die wesentlichen Felder voncloudcomputingdar,indenensicherheitumgesetztwerdensollte.nicht 7
10 Einleitung für alle Cloud Services sind alle aufgeführten Punkte gleich relevant. Da sich beispielsweisediegefährdungslagefürprivateundpubliccloudsinmanchen Bereichen unterscheidet, müssen zum Teil auch andere Sicherheitsmaßnahmenumgesetztwerden. DasvorliegendeDokumentbetrachtetnichtnurCloud-spezifischeAspekte,sondernrichtetdenBlickauchaufgrundlegendeAnforderungenderInformationssicherheit,dadiesedieBasisbilden,aufderalleCloud-Diensteaufsetzen sollten. Die Empfehlungen wurden weitgehend abstrakt gehalten, ohne detaillierte Anweisungen für deren Umsetzung zu geben. Dies würde zum einen den Umfang des Dokuments sprengen und zum anderen lässt dies die VielfältigkeitderCloud-Angebotenichtzu.DieBewertungderSicherheiteines bestimmtenangebotsmussdaherimmerauchindividuellerfolgen. 1.2 Zielsetzung Obwohl weltweit IT-Dienstleistungen aus der Wolke immer stärker in Anspruch genommen werden, zeigen fast alle Umfragen und Studien, dass esaucheinevielzahlvonbedenkengibt,dieanwendervordernutzungvon Cloud Computing Diensten zurückschrecken lassen. Als eines der größten Hindernisse wird immer wieder mangelndes Vertrauen in die Sicherheit der bereitgestelltenservicesgenannt.alszentralestelledesbundesfürdieinformationssicherheitistesdembsiwichtig,dieaufbauphasevoncloudservices aktivmitzugestalten. PrimäresZieldesvorliegendenEckpunktepapiersistes,eineGrundlagefür diediskussionzwischencspsundcloud-kundenzubieten.alsweitergehendeszielsolldiesespapierdiegrundlagebilden,umdaraufaufbauendkonkreteempfehlungenfürunternehmenundbehördenzurabsicherungvoncloud Serviceszuerarbeiten.DasEckpunktepapieristeinersterSchrittinRichtungzur SchaffungvonStandards,aufderenBasisdieSicherheitvonCloudComputing Plattformenüberprüftwerdenkann.DieimvorliegendenPapierformulierten Anforderungen werden auch künftig weiter diskutiert und, wo erforderlich, 8
11 Einleitung überarbeitet und auch weitergehende Details ausgearbeitet werden. Ziel ist esabernicht,dieeckpunkteweiterzukonkretisieren.diesesollendiejetzige Tiefe beibehalten, weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden allerdings im IT-Grundschutz einfließen, beispielsweise in Form von IT-Grundschutz-Bausteinen oder Kurzstudien. Geplant ist die Entwicklung von IT-Grundschutz-Bausteinen sowohl für diesicherenutzungalsauchfürdiesicherebereitstellungvoncloud-diensten. AußerdemmussderBSI-Standard100-2zurIntegrationvonCloud-Aspektenin die IT-Grundschutz-Vorgehensweise angepasst werden, insbesondere im BereichderModellierungkomplexer,virtualisierterInformationsverbünde. 1.3 Adressatenkreis DasEckpunktepapierwendetsichanIT-affinePersonen,diemitderBereitstellungbzw.NutzungvonCloudServicesbefasstsind.DieThemenderInformationssicherheit werden angerissen und setzen ein Grundverständnis von Informationssicherheitauftechnischer,infrastruktureller,personellerundorganisatorischerEbenevoraus. Die Empfehlungen wenden sich dabei in erster Linie an CSPs, die diese DienstefürUnternehmenundBehördenzurVerfügungstellen,sowieanprofessionelle Anwender. Sie richten sich nicht unmittelbar an Privatanwender, die einzelne Cloud Services nutzen, können aber von diesen als Anregung in Sicherheitsfragenmitgenutztwerden. 1.4 Anwendungsweise Die im Folgenden aufgeführten Punkte zeigen auf einem abstrakten Niveau auf, welche Sicherheitsmaßnahmen von einem CSP umzusetzen sind. EinestrukturierteVorgehensweiseundeineffektivesManagementderInformationssicherheit sind unabdingbare Voraussetzungen, um ein angemessenessicherheitsniveauineinemunternehmenodereinerbehördeerfolgreich zu erzielen und aufrechtzuerhalten. Wie ein funktionierendes Managementsystem für Informationssicherheit aufgebaut werden kann und was dies um- 9
12 Einleitung fassen sollte, ist in einschlägigen Normen wie ISO oder dem BSI-Standard100-2zurIT-Grundschutz-Vorgehensweise beschrieben.zumschutzvon CloudComputingDienstenmüssenaußerdemdiefürCloudComputingspezifischenGefährdungenanalysiertundpassende Sicherheitsmaßnahmenda- gegenidentifiziertundumgesetztwerden. JederCSPmussdaherineinerRisikoanalyseermitteln,welcheGefährdungen für die von ihm betriebenen Dienste aktuell und relevant sind, welche AuswirkungendiesehabenkönnenundwiedieerkanntenRisikenbehandelt werdensollen,beispielsweisedurchspezifischesicherheitsmaßnahmen.inabgespeckterformmüssenauchcloud-nutzerdierisikenbewerten,diefürsie durcheineverlagerungvondatenoderanwendungenindiecloudentstehen CloudComputingzuadressieren. BeiderRisikobetrachtungstehteinCSPvorderHerausforderung,dasserden Wertbzw.denSchutzbedarfderKundendatenmeistimVorfeldnichtkennt.Ein können. Die in diesem Eckpunktepapier vorgelegten SicherheitsempfehlungenbildeneinRahmenwerk,umdieausSichtdesBSIkritischenBereichebeim Auswegwäre,füralleKundenundihreDateneinhohesodersehrhohesSchutz- niveauanzubieten.diesistabererfahrungsgemäßfürdatenmiteinemnorma- lenschutzbedarfzuteuer.cspssolltendasthemainformationssicherheitfrüh- zeitiggegenüberihrenkundenansprechen.informationssicherheitgehörtmit zudenwesentlichenentscheidungsgründenvonkunden,wennesumdieauswahlvoncloudserviceanbieternundkonkretercloud-dienstleistungengeht. DahersolltenCSPsihrenKundendarlegen,wiegutsieinpunctoInformationssicherheitaufgestelltsind.Dazugehört,dasssiedenKundenaufzeigen,welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören undwelcheoptionalerhältlichsind,abersiesolltendiekundenauchdaraufhinweisen,welchesicherheitsmaßnahmendieseselberergreifenmüssen. 1.5 Thematische Abgrenzung der BSI-Sicherheitsempfehlungen IndiesemDokumentliegtderSchwerpunktaufSicherheitsbetrachtungen dercloud-basiertenverarbeitungvoninformationen,dieeinennormalenbis 10
13 Einleitung hohenschutzbedarfhaben,wiez.b.firmenvertraulicheinformationen,schützenswertepersonenbezogenedaten.diefestlegungdesschutzbedarfsvoninformationen,anwendungenundit-systemenorientiertsichandenschutzbedarfskategoriennachit-grundschutz(siehebsi-standard100-2[1]).derschutz voninformationen,diealsstaatlicheverschlusssacheeingestuftwurden,wird indiesemdokumentnichtexplizitbetrachtet. Bei der Erstellung der Eckpunkte standen Vertraulichkeit und Verfügbarkeit als die zu schützenden Grundwerte der Informationssicherheit im Vordergrund.DieSicherheitsempfehlungensinddahernachVertraulichkeitund Verfügbarkeit unterteilt, während eine dezidierte Betrachtung nach dem GrundwertIntegritätnichtvorgenommenwurde. DieaufgeführtenSicherheitsempfehlungensinddreiKategorienzugeordnet: DieKategorie B(=Basisanforderung)umfasstdieBasisanforderungen,die anjedencloudserviceanbietergestelltwerden. DieKategorie C+ (=Vertraulichkeithoch,Confidentiality) umfasstzusätzli- cheanforderungen,wenndatenmiteinemhohenschutzbedarfbezüglich Vertraulichkeitverarbeitetwerdensollen. Die Kategorie A+ (=Verfügbarkeit hoch, Availability) umfasst zusätzliche Anforderungen,wennDienstleistungenmiteinemhohenSchutzbedarfbezüglichVerfügbarkeitsbedarfinAnspruchgenommenwerdensollen. IndenTabellenzurÜbersichtüberdieSicherheitsempfehlungenindeneinzelnenBereichenwirdaußerdemnochmitPfeilenaufgezeigt,wiedasBSIdasGefährdungspotentialindiesemBereichfürPrivatebzw.PublicCloudseinschätzt. EinPfeilnachrechts()symbolisierteindurchschnittlichesGefährdungspotential,einPfeilnachoben()bedeuteterhöhtesGefährdungspotential. AllegenanntenAnforderungengeltenfürIaaS,PaaSundSaaS,soweitnicht andersvermerkt. 11
14 Einleitung Aufgrund der dynamischen Entwicklungen im Bereich Cloud Computing wird es auch weiterhin erforderlich sein, die nachfolgend dargestellten Sicherheitsempfehlungen regelmäßig zu überprüfen und anzupassen sowie unter Umständen auch zusätzliche Anforderungen hinzuzunehmen. Aktualisierte Versionen dieses Eckpunktepapiers werden auf dem BSI-Webserver 12
15 Cloud Computing Grundlagen 2 CloudComputingGrundlagen 2.1 Was ist Cloud Computing? BisherkonntesichfürdenBegriffCloudComputingkeineDefinitionalsallgemeingültigdurchsetzen.InPublikationenoderVorträgenwerdenhäufigDefinitionenverwendet,diesichzwarmeistähneln,aberdiedochimmerwieder variieren.einedefinition,dieinfachkreisenmeistherangezogenwird,istdie DefinitionderUS-amerikanischenStandardisierungsstelleNIST(NationalInstituteofStandardsandTechnology)[2],dieauchvonderENISAgenutztwird[3]: CloudComputingisteinModell,daseserlaubtbeiBedarf,jederzeitundüberallbequemübereinNetzaufeinengeteiltenPoolvonkonfigurierbarenRechnerressourcen(z.B.Netze,Server,Speichersysteme,AnwendungenundDienste)zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-InteraktionzurVerfügunggestelltwerdenkönnen. Folgende fünf Eigenschaften charakterisieren gemäß der NIST-Definition einencloudservice: BroadNetworkAccess: DieServicessindmitStandard-Mechanismenüber dasnetzverfügbarundnichtaneinenbestimmtenclientgebunden. On-demand SelfService:DieProvisionierungderRessourcen(z.B.Rechenleistung,Storage)läuftautomatischohneInteraktionmitdemServiceProviderab. Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, ausdemsichvieleanwenderbedienenkönnen(multi-tenantmodell).dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie könnenabervertraglichdenspeicherort,alsoz.b.region,landoderrechenzentrum,festlegen. RapidElasticity:DieServiceskönnenschnellundelastischzurVerfügung gestelltwerden,inmanchenfällenauchautomatisch.ausanwendersicht scheinendieressourcendaherunendlichzusein. 13
16 Cloud Computing Grundlagen Measured Services: Die Ressourcennutzung kann gemessen und überwacht werden und entsprechend bemessen auch den Cloud-Anwendern zurverfügunggestelltwerden. Service orientierte Architektur (SOA) ist eine der Grundvoraussetzungen In einer Cloud-Umgebung teilen sich viele Anwender gemeinsame Ressourcen,diedeshalbmandantenfähigseinmuss. Es werden nur die Ressourcen bezahlt, die auch tatsächlich in Anspruch genommen wurden (Pay per Use Model), wobei es auch Flatrate-Modelle gebenkann. DieseDefinitiongibtdieVisionvonCloudComputingwieder,wobeidavonabgesehenwerdensollte,dieeinzelnenPunktezudogmatischzusehen.Sowirdz.B. eineubiquitäreverfügbarkeitbeiprivatecloudseventuellgarnichtangestrebt. NachderCloudSecurityAlliance(CSA)hatCloudComputingnebenderoben erwähntenelastizitätunddemselfservicenochfolgendeeigenschaften[4]: fürcloudcomputing.diecloud-dienstewerdeninderregelübereinsogenanntesrest-apiangeboten. Begriffsdefinition UmfürallekünftigenArbeitenrundumCloudComputingeineeinheitlicheGrundlagezuhaben,hatdasBSIfolgendeDefinitionfürdenBegriff Cloud Computing festgelegt: CloudComputingbezeichnetdasdynamischandenBedarfangepassteAnbieten,NutzenundAbrechnenvonIT-DienstleistungenübereinNetz.Angebotund NutzungdieserDienstleistungenerfolgendabeiausschließlichüberdefinierte technischeschnittstellenundprotokolle.diespannbreitederimrahmenvon CloudComputingangebotenenDienstleistungenumfasstdaskompletteSpektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.b.rechenleistung,speicherplatz),plattformenundsoftware. 14
17 Cloud Computing Grundlagen In diesem Dokument wird der Begriff Cloud Computing entsprechend benutzt, wobei die von NIST und CSA aufgestellten Charakteristika stets im Hinterkopf zu halten sind. So ist eine einfache Webanwendung in der Regel kein Cloud Computing, obwohl dies von den Marketingabteilungen der Herstelleroftsobezeichnetwird. 2.2 Was unterscheidet eine Public Cloud von einer Private Cloud? NISTunterscheidetvierBereitstellungsmodelle(DeploymentModels): IneinerPrivate CloudwirddieCloud-InfrastrukturnurfüreineInstitution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiertundgeführtwerdenundkanndabeiimrechenzentrumdereigenen InstitutionodereinerfremdenInstitutionstehen. VoneinerPublic Cloudwirdgesprochen,wenndieServicesvonderAllge- meinheitodereinergroßengruppe,wiebeispielsweiseeinerganzenindus- triebranche,genutztwerdenkönnenunddieservicesvoneinemanbieter zurverfügunggestelltwerden. In einer Community Cloud wird die Infrastruktur von mehreren Institutionengeteilt,dieähnlicheInteressenhaben.EinesolcheCloudkannvon einerdieserinstitutionenodereinemdrittenbetriebenwerden. Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloudgenannt. Die oben genannten Definitionen decken aber nicht alle Varianten von CloudAngebotenab,waszuweiterenDefinitionenwie VirtualPrivateCloud, etc. führt. Während bei einer Private Cloud, bei der im Prinzip Anbieter und Nutzeridentischsind,derNutzerdiekompletteKontrolleüberdiegenutzten Serviceshat,überträgtderNutzerbeieinerPublicClouddieKontrolleanden CloudComputingAnbieter. 15
18 Cloud Computing Grundlagen ImWeiterenwirdindiesemDokumentnurzwischenPrivateCloudundPublicCloudunterschieden,diegemäßderobigenDefinitiondieganzeSpannbreite der Cloud-Bereitstellungsmodellen darstellen. Bei allen Modellen, die zwischen diesen beiden Extremen liegen, muss hinterfragt werden, ob die Gefährdungen z. B. durch gemeinsam genutzte Infrastrukturen eher denen einerprivatecloudodereinerpubliccloudähneln. 2.3 Welche verschiedenen Servicemodelle werden im Cloud Computing angeboten? GrundsätzlichkönnendreiverschiedeneKategorienvonServicemodellen unterschiedenwerden: 1. Infrastructure as a Service (IaaS) Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher odernetzealsdienstangeboten.eincloud-kundekauftdiesevirtualisierten und in hohem Maß standardisierten Services und baut darauf eigene daraufeinbetriebssystemmitanwendungenseinerwahllaufenlassen. 2. Platform as a Service (PaaS) EinPaaS-ProviderstellteinekompletteInfrastrukturbereitundbietetdem ServiceszuminternenoderexternenGebrauchauf.SokanneinCloud-Kundez.B.Rechenleistung,ArbeitsspeicherundDatenspeicheranmietenund KundenaufderPlattformstandardisierteSchnittstellenan,dievonDiensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegendenschichten(betriebssystem,hardware),erkannaberaufder PlattformeigeneAnwendungenlaufenlassen,fürderenEntwicklungder CSPinderRegeleigeneWerkzeugeanbietet. 3. Software as a Service (SaaS) Sämtliche AngebotevonAnwendungen,diedenKriteriendesCloudCom- puting entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum 16
19 Cloud Computing Grundlagen sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungengenannt. DerBegriff asaservice wirdnochfüreinevielzahlweitererangebotebenutzt,wiez.b.fürsecurityasaservice,bpasaservice(businessprocess),storageasaservice,sodasshäufigauchvon XaaS geredetwird,also irgendwas alsdienstleistung.dabeilassensichdiemeistendieserangebotezumindest grobeinerderobigenkategorienzuordnen. DieServicemodelleunterscheidensichauchimEinflussdesKundenaufdie SicherheitderangebotenenDienste.BeiIaaShatderKundedievolleKontrolle überdasit-systemvombetriebssystemaufwärts,daallesinnerhalbseinesverantwortungsbereichsbetriebenwird,beipaashaternurnochkontrolleüber seine Anwendungen, die auf der Plattform laufen, und bei SaaS übergibt er praktischdieganzekontrolleandencsp. 2.4 Was unterscheidet Cloud Computing vom klassischen IT-Outsourcing? Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. DiesisteinetablierterBestandteilheutigerOrganisationsstrategien.DasklassischeIT-Outsourcingistmeistsogestaltet,dassdiekomplettegemieteteInfrastrukturexklusivvoneinemKundengenutztwird(SingleTenantArchitektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. ZudemwerdenOutsourcing-VerträgemeistensüberlängereLaufzeitenabgeschlossen. DieNutzungvonCloudServicesgleichtinvielemdemklassischenOutsourcing,abereskommennocheinigeUnterschiedehinzu,diezuberücksichtigen sind: 17
20 Cloud Computing Grundlagen Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer einegemeinsameinfrastruktur. Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in Cloud Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte AngeboterascherandentatsächlichenBedarfdesKundenangepasstwerden. der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. SokannderNutzerautomatisiertdiegenutztenDiensteaufseineBedürfnissezuschneiden. DurchdiebeimCloudComputinggenutztenTechnikenistesmöglich,die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographischweitverstreutseinkönnen(inlandebensowieausland). Der KundekanndiegenutztenDiensteundseineRessourceneinfachüber Web-OberflächenoderpassendeSchnittstellenadministrieren,wobeiwenigInteraktionmitdemProvidererforderlichist. 2.5 Strategische Planung der Cloud Computing Services durch den Nutzer Bevor geschäftskritische Informationen oder Anwendungen in die Cloud ausgelagert werden, muss vorher eine Cloud-Strategie festgelegt werden, in derdiewesentlichenrahmenbedingungengeklärtwerden.dazumussimmer eine individuelle Sicherheitsanalyse für die auszulagernden Informationen oderanwendungendurchgeführtwerden.indercloud-strategieistunteranderemfestzuhalten,wiedieit-strukturaussieht(z.b.beiiaas),wiebestehende IT-Systeme oder Geschäftsprozesse abgegrenzt und getrennt werden können, wieallebetrieblichenundrechtlichenrahmenbedingungenaussehenundwie derschutzbedarfderauszulagerndeninformationenoderanwendungenist. Typischerweise haben CSPs zwar ihre Angebote auf bestimmte Arten von Informationen oder Anwendungen zugeschnitten. Dabei stehen sie aber vor der Herausforderung, dass sie den spezifischen Schutzbedarf der Kundendaten nicht kennen. Sie könnten für alle Kundendaten ein hohes oder sehr 18
21 Cloud Computing Grundlagen hohesschutzniveauanbieten,aberdasdürftefürdatenmiteinemnormalen Schutzbedarfzuteuersein. UmjedemCloud-KundeneinenServiceanbietenzukönnen,derKunden aus verschiedenen Bereichen sowohl funktional als auch finanziell über- zeugt,solltencspsfrühzeitiginformationssicherheitgegenüberdencloud- Kunden thematisieren. CSPs sollten ihren Kunden darlegen, welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören, welchezusätzlichzugekauftwerdenkönnenundfürwelchesicherheitsmaß- nahmendiekundenselbstverantwortlichsind.dieshilftauch,missverständ- nissen vorzubeugen. So werden hohe Schäden, die von Zwischenfällen wie Datenverlusten verursacht werden, oft dem CSP angelastet, obwohl es der Cloud-Kundewar,dernichtfürausreichendeSicherheitseinerDatengesorgt hatte, weil er ein zu niedriges Schutzniveau gewählt hat bzw. ein zu hohes Risikoeingegangenist. DeshalbistesauchfürdenCSPessentiell,dassderCloud-KundedenSchutzbedarfderausgelagertenInformationenoderAnwendungenkenntbzw.sich im Klaren über das gebotene Schutzniveau ist. So kann der CSP dem Kunden auch mögliche Sicherheitsvorteile deutlich machen, die sich durch die NutzungvonCloud-Dienstenergebenkönnen. Strukturanalyse von IT-Systemen (z. B. bei IaaS) und Anwendungen, um eineabgrenzungzuermöglichenundalleschnittstellenzuidentifizieren SchonimRahmenderstrategischenEntscheidung,obundinwelcherForm eincloudserviceeingesetztwird,müssendaherdiesicherheitsrelevantenrahmenbedingungenvomnutzervorherherausgearbeitetwerden.diesgiltebenso fürpublicwiefürprivateclouds,unddortgenausojeweilsfüriaas,paasundsaas. Hierzugehörenu.a.folgendeSchritte: DurchführungeinerSchutzbedarfsfeststellungfürInformationen,AnwendungenundIT-Systeme 19
22 Cloud Computing Grundlagen Eingliederung der Informationen, Anwendungen, Systeme und Cloud ServicesinSchutzbedarfskategorien KlärungderbetrieblichenundrechtlichenRahmenbedingungen FestlegungderspezifischenSicherheitsanforderungenanCSPs So kann der Cloud-Kunde entscheiden, welches Sicherheitsniveau er bei Cloud-Dienstenbenötigtundeinfordernmuss. 20
23 Sicherheitsmanagement beim Anbieter 3 Sicherheitsmanagement beim Anbieter Abbildung 1 zeigt eine Referenzarchitektur, die grob die Komponenten darstellt, die vielen Cloud Computing Plattformen gemeinsam sind. Diese Referenzarchitektur dient als Diskussionsgrundlage für die nachfolgenden Eckpunkte. Die vorgestellte Referenzarchitektur berücksichtigt die AnregungenähnlicherReferenzarchitekturen,wiesiez.B.vonNIST[5],IBM[6]undder CloudComputingUseCasesGroup[7]verwendetwerden. Cloud Service Provider Management Servicekonsument Datenschutz Informationssicherheit SaaS PaaS laas Abstraktionsschicht Hardware Infrastruktur Reporting SLAs Abrechnung Monitoring Provisionierung Abbildung1:ReferenzarchitekturfürCloudComputingPlattformen Eine genaue Betrachtung der zugrunde gelegten Referenzarchitektur zeigt, dass ein Provider zur Erbringung von Cloud Services eine Vielzahl von Aufgabenerledigenmuss.ZudentypischenAufgabeneinesPublicCSPzählen u.a.: 21
24 Sicherheitsmanagement beim Anbieter diebereitstellungeinesservice-katalogszurbeschreibungderangebotenen Dienste, dieprovisionierungbzw.de-provisionierungvonressourcenwiez.b.virtu- ellenmaschinen,loadbalancern,virtuellendatenspeichern,ip-undmac- Adressenund die für den Kunden nachvollziehbare Abrechnung der in Anspruch genommenen Services. Eine andere wichtige Aufgabe ist die Überwachung der bereitgestellten Dienste, um die garantierte Dienstgüte einhalten zu können. Diese Überwachungläuftpermanent.EtwaigeStörungenoderAusfällevonRessourcenz.B. Virtualisierungsserver,virtuelleMaschine,Load-Balancer,etc.müssenzeitnah erkanntwerden,sodassentsprechendegegenmaßnahmenschnellstmöglich eingeleitet werden können. Weitere Aufgaben neben dem Sicherheitsmanagement,dieüblicherweisezumRepertoireeinesCSPgehören,sind: Patch-undÄnderungsmanagement Konfigurationsmanagement Netzmanagement SystemManagement ApplicationManagement Reporting DieKomplexitätundVielzahlderobenbeschriebenenAufgabenerfordert einestrukturierteherangehensweise.insofernsolltejedercspstandardisierte VorgehensmodellewieITILoderCOBITeinsetzen,diealsOrientierungbeider UmsetzungvonIT-Prozessendienenkönnen. 22
25 Sicherheitsmanagement beim Anbieter VertrauenindenCSPundseineAngebotewirdderzeitalswesentlicheMotivationgenannt,wennnachdenGründengefragtwird,warumsichAnwender für oder gegen Cloud-Angebote entscheiden. Vertrauen basiert auf der Einschätzung, ob ein Anbieter alle Risiken ausreichend, angemessen und nachhaltigabgedeckthat,sowohldiejenigenausdembereichderinformationssicherheitalsauchausbereichenwiedatenschutz,technikundrecht. FüreinzuverlässigesundsicheresCloudComputingistalsGrundlageein effizientes Management der Informationssicherheit (Information Security ManagementSystem,ISMS)aufSeitendesCSPunerlässlich.DasBSIempfiehlt, sichfüraufbauundbetriebeinesismsaniso27001/2oderbevorzugtambsi- Standard100-2zurIT-Grundschutz-Vorgehensweise(derISO27001/2abdeckt) zuorientieren. WesentlicheBestandteileeinesISMSsindeinefunktionierendeSicherheitsorganisationundeinInformationssicherheitskonzeptalsWerkzeugedesManagements zur Umsetzung der Sicherheitsstrategie. Ein CSP sollte die Sicherheitsorganisation nutzen, um hierüber geeignete Ansprechpartner für seine Kundenzubenennen,dieSicherheitsfragenderKundenbeantwortenkönnen. Informationssicherheit ist ein Prozess und sollte daher im Sinne eines PDCA- Zyklus(Plan-Do-Check-Act)fortlaufendweiterentwickeltwerden. Damit CSPs nachweisen können, dass sie auch bei hohem Schutzbedarf bezüglichvertraulichkeitundverfügbarkeitausreichendsicherheitgewährleisten,isteinezertifizierungdesinformationssicherheitsmanagementssinnvoll. Vorzugsweise sollten CSPs nach ISO auf Basis von IT-Grundschutz, ISO27001odereinemanderenetabliertenStandardzertifiziertsein. 23
Cloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrAnforderungen für sicheres Cloud Computing
Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrEckpunktepapier. Sicherheitsempfehlungen für Cloud Computing Anbieter. Mindestanforderungen in der Informationssicherheit
Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Mindestanforderungen in der Informationssicherheit CLOUD COMPUTING INHALT Inhaltsverzeichnis Vorwort Das BSI im Dienst der Öffentlichkeit
MehrCloud-Computing. Selina Oertli KBW 28.10.2014
2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht
MehrBSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter
BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern
MehrDatenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware
Datenübernahme von HKO 5.9 zur Advolux Kanzleisoftware Die Datenübernahme (DÜ) von HKO 5.9 zu Advolux Kanzleisoftware ist aufgrund der von Update zu Update veränderten Datenbank (DB)-Strukturen in HKO
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrIT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrAvira Server Security Produktupdates. Best Practice
Avira Server Security Produktupdates Best Practice Inhaltsverzeichnis 1. Was ist Avira Server Security?... 3 2. Wo kann Avira Server Security sonst gefunden werden?... 3 3. Was ist der Unterschied zwischen
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrDATENSICHERUNG IM UNTERNEHMEN. Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell.
DATENSICHERUNG IM UNTERNEHMEN Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell. DATENVERFÜGBARKEIT IST GESCHÄFTSKRITISCH Wenn Kundendaten oder Rechnungsinformationen auf einmal
Mehrsynergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic
synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrInformationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte
Folie 2 03. Dezember 2014 Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte Folie 3 Guten Tag Ich bin Dr.
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrStammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing
Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrCloud Computing Security
Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14
MehrFebruar Newsletter der all4it AG
Februar Newsletter der all4it AG Geschätzter Kunde, gerne möchte ich Sie über die ersten neuen Produkte welche bei der all4it AG erhältlich sind Informieren. Verschärfte gesetzliche Rahmenbedingungen sowie
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrIT-Dienstleistungszentrum Berlin
IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud
MehrTreuhand Cloud. Die Arbeitsumgebung in der Cloud
Treuhand Cloud Die Arbeitsumgebung in der Cloud Seite 2 Diagramm Treuhand Cloud Server Server Treuhand-Büro Home-Office Treuhand-Kunde Treuhand-Büro Interne IT-Infrastruktur des Treuhänders. Zugriff auf
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrDatenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &
Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick
MehrSpotlight 5 Gründe für die Sicherung auf NAS-Geräten
Spotlight 5 Gründe für die Sicherung auf NAS-Geräten NovaStor Inhaltsverzeichnis Skalierbar. Von klein bis komplex.... 3 Kein jonglieren mehr mit Wechselmedien... 3 Zentralisiertes Backup... 4 Datensicherheit,
MehrWINDOWS 8 WINDOWS SERVER 2012
WINDOWS 8 WINDOWS SERVER 2012 IT Fachforum 2012 :: 24.09.-27.09.2012 Andreas Götzfried IT Fachforum::Agenda Windows 8 Windows Server 2012 Zertifizierung WINDOWS 8 Schöne neue Welt Andreas Götzfried Windows
MehrBSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
MehrVertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011
Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing
MehrSchleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.
Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. www.schleupen.de Schleupen AG 2 Herausforderungen des Betriebs der IT-Systeme IT-Systeme werden aufgrund technischer und gesetzlicher
MehrIT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg
IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrITIL und Entwicklungsmodelle: Die zwei Kulturen
Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen
MehrWas ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt
Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten Inhalt 1. Einführung Geschichte 2. Grundidee der Cloud-Technik (Virtualisierung, Skalierbarkeit,
MehrDer beste Plan für Office 365 Archivierung.
Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:
Mehrebusiness auf Wolke sieben? Internet-Partner der Wirtschaft
Die Cloud Vitamine Unser für Unternehmen Thema für Ihr heute: Business - ebusiness auf Wolke sieben? Internet-Partner der Wirtschaft Der Vorfilm... Es sollte schon passen... Ihr Business Unser Service
MehrSoftware-Validierung im Testsystem
Software-Validierung im Testsystem Version 1.3 Einleitung Produktionsabläufe sind in einem Fertigungsbetrieb ohne IT unvorstellbar geworden. Um eine hundertprozentige Verfügbarkeit des Systems zu gewährleisten
MehrMit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.
1. Schritt: Firewall aktivieren Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. Klicken Sie auf Start > Systemsteuerung > Sicherheit > Windows-Firewall
MehrDie Makler System Club FlowFact Edition
Die Makler System Club FlowFact Edition Erfolgreiche Unternehmen setzen auf stabile Prozesse. Funktionierende Prozesse bringen höhere Erträge, zufriedene Kunden und sorgen dafür, dass Mitarbeiter zuverlässiger
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrZuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.
Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff. Überblick über unser Leistungsspektrum Wir kümmern uns um Ihre EDV-Anlage. Die IT muss laufen, zu jeder Zeit. Das ist die Anforderung
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
Mehr2010 FUJITSU TECHNOLOGY SOLUTIONS
ist eigentlich Infrastructure-as-a-Service? 1 ist eigentlich Infrastructure-as-a- Service? Infrastructure-as-a-Service definiert sich über 5 Parameter: 1. Infrastruktur: Neben anderen Cloudangeboten wie
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
Mehrerfahren unabhängig weitsichtig
erfahren unabhängig weitsichtig Wünschen Sie sich eine Aussicht mit Weitblick? Weitsicht Sie wünschen, dass Ihr Vermögen in kompetenten Händen liegt. Wir nehmen Ihre Anliegen ernst und bieten Ihnen verlässliche
MehrSeite 1 von 14. Cookie-Einstellungen verschiedener Browser
Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht
MehrERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.
ERPaaS TM In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität. Was ist ERPaaS TM? Kurz gesagt: ERPaaS TM ist die moderne Schweizer Business Software europa3000 TM, welche im Rechenzentrum
MehrMigration einer bestehenden Umgebung in eine private Cloud mit OpenStack
Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack CeBIT 2014 14. März 2014 André Nähring Cloud Computing Solution Architect naehring@b1-systems.de - Linux/Open Source Consulting,
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrPrivate oder public welche Cloud ist die richtige für mein Business? 07.03.2013 / Klaus Nowitzky, Thorsten Göbel
Private oder public welche Cloud ist die richtige für mein Business? 07.03.2013 / Klaus Nowitzky, Thorsten Göbel Zur Biografie: Thorsten Göbel... ist Leiter Consulting Services bei PIRONET NDH verfügt
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrImmer noch wolkig - aktuelle Trends bei Cloud Services
Dataport Hausmesse, 28.04.2015 Immer noch wolkig - aktuelle Trends bei Cloud Services Wie sieht Gartner Reifegrad und Annahme von Cloud Szenarien? Dr. Christine Zoppke-Donaldson 3 Dataport 28.04.2015 Cloud
MehrOpen Source als de-facto Standard bei Swisscom Cloud Services
Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrThema: Microsoft Project online Welche Version benötigen Sie?
Seit einiger Zeit gibt es die Produkte Microsoft Project online, Project Pro für Office 365 und Project online mit Project Pro für Office 365. Nach meinem Empfinden sind die Angebote nicht ganz eindeutig
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrSicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrCloud Security geht das?
Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cloud Security geht das? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 Sicherheit in der Cloud geht das? im Prinzip ja aber @-yet GmbH,
MehrCordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw
Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,
MehrCloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH
Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen
MehrSicheres Cloud Computing
Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing
MehrAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was
MehrIntegration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.
Integration mit Die Integration der AristaFlow Business Process Management Suite (BPM) mit dem Enterprise Information Management System FILERO (EIMS) bildet die optimale Basis für flexible Optimierung
MehrEuroCloud Deutschland Confererence
www.pwc.de/cloud EuroCloud Deutschland Confererence Neue Studie: Evolution in der Wolke Agenda 1. Rahmenbedingungen & Teilnehmer 2. Angebot & Nachfrage 3. Erfolgsfaktoren & Herausforderungen 4. Strategie
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: IT-Basisinfrastruktur Funktionalitätsspezifikation Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 1.1 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrIn 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrGIS-Projekte in der Cloud
GIS-Projekte in der Cloud GIS Server ArcGIS PostGIS Geodaten GeoJSON QGIS GIS Stack GRASS GIS Web GIS Shapefile CartoDB Leaflet Geodatenbank Desktop GIS APIs GISday 2014 19.11.2014 Cloud Computing Was
MehrSicherheits-Tipps für Cloud-Worker
Sicherheits-Tipps für Cloud-Worker Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Cloud Computing Einschätzung
MehrBI in der Cloud eine valide Alternative Überblick zum Leistungsspektrum und erste Erfahrungen 11.15 11.45
9.30 10.15 Kaffee & Registrierung 10.15 10.45 Begrüßung & aktuelle Entwicklungen bei QUNIS 10.45 11.15 11.15 11.45 Von Big Data zu Executive Decision BI für den Fachanwender bis hin zu Advanced Analytics
MehrCloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey
Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrHerausforderungen beim Arbeiten in der Wolke
Herausforderungen beim Arbeiten in der Wolke Was Sie auf dem Weg zum Cloud Computing bedenken sollten Natanael Mignon // nm@consulting-lounge.de Agenda» Cloud was ist das?» Welchen Herausforderungen müssen
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrHosting in der Private Cloud
Security Breakfast 26.10.2012 Hosting in der Private Cloud Praxis, Compliance und Nutzen Stephan Sachweh, Technischer Leiter Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de
MehrPrivateCloud. für Ihre acriba-lösung
PrivateCloud für Ihre acriba-lösung Garantierte 99%ige Verfügbarkeit und eine planbare, attraktive monatliche Pauschale. Verlässlicher und kostensparender IT-Betrieb für Ihr Sanitätshaus Wenn Sie über
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
Mehr