CLOUD SECURITY. Vertraulichkeit und Integrität von Daten Whitepaper. Senior Security Consultant. Jörg Poell Senior Security Consultant & IT Auditor

Größe: px
Ab Seite anzeigen:

Download "CLOUD SECURITY. Vertraulichkeit und Integrität von Daten Whitepaper. Senior Security Consultant. Jörg Poell Senior Security Consultant & IT Auditor"

Transkript

1 CLOUD SECURITY Vertraulichkeit und Integrität von Daten Whitepaper Autoren: Marcel Liebi Senior Security Consultant Jörg Poell Senior Security Consultant & IT Auditor Datum: 03. Januar 2013 In&Out AG IT Consulting & Engineering Seestrasse 353, CH-8038 Zürich, Phone Fax

2 1 Einführung Cloud-Computing bezeichnet einen Ansatz, bei dem IT-Ressourcen, wie z.b. Rechnerleistung, RAM, Festplattenspeicher, Software usw. über ein Netzwerk bedarfsorientiert bezogen werden. Im Vergleich zum klassischen Betrieb von IT-Infrastrukturen werden häufig als wichtigste Vorteile geringere Kosten, theoretisch unbegrenzt skalierbare Speicher- und Rechenkapazitäten, die dynamische Skalierbarkeit sowie hohe Verfügbarkeit genannt. Cloud-Computing hat jedoch auch einige Nachteile. Insbesondere können die Daten eines Cloud-Nutzers ohne entsprechende Massnahmen vom Cloud-Anbieter oder seinen Partnern gelesen und manipuliert werden, ohne dass dies dem Cloud-Nutzer bekannt sein muss. In diesem Whitepaper geben wir eine grobe Einführung in die Cloud-Service- und Bereitstellungsmodelle. Im Anschluss beleuchten wir die Datenschutz- Thematik aus rechtlicher und sicherheitstechnischer Sicht und geben einen Ausblick, wie mit den daraus resultierenden Fragestellungen umgegangen werden kann. 1.1 Cloud-Service-Modelle Die Leistungen durch den Cloud-Anbieter werden üblicherweise nach drei verschiedenen Modellen unterschieden: SaaS, PaaS und IaaS. Abbildung 1: Cloud-Service-Modelle Neben Grad und Umfang der bereitgestellten Cloud- Dienstleistungen unterscheiden sich diese drei Modelle deutlich in den Kontrollmöglichkeiten durch den Cloud- Nutzer Software as a Service (SaaS) Der Cloud-Anbieter stellt dem Cloud-Nutzer Applikationen zur Nutzung zur Verfügung. Der Zugriff erfolgt entweder durch eine Thin-Client-Schnittstelle, z.b. einen Webbrowser (z.b. web-basierte wie Gmail ) oder ein Programm-Interface (z.b. Twitter ). Der Cloud-Nutzer hat keinerlei Zugriff auf die zugrundeliegende Cloud-Infrastruktur (Netzwerk, Server, Storage, Betriebssystem, Applikationen), sondern ist allenfalls in der Lage, die applikationsspezifische Konfiguration anzupassen Platform as a Service (PaaS) Der Cloud-Nutzer kann eigene Applikationen auf Basis der vom Cloud-Anbieter zur Verfügung gestellten Infrastruktur und Betriebssysteme bereitstellen. Ähnlich wie SaaS hat der Cloud-Nutzer keinerlei Zugriffsrechte auf die Cloud-Infrastruktur (Netzwerk, Server, Storage, Betriebssystem), verfügt jedoch über die Kontrolle über seine spezifischen Applikationen. Beispiele für PaaS sind Microsofts Azure oder Googles AppEngine Infrastructure as a Service (IaaS) Beim dritten Modell stellt der Cloud-Anbieter lediglich die grundlegenden IT-Ressourcen (Netzwerk, Server, Storage) zur Verfügung und überlässt seinem Kunden die Nutzung beliebiger Betriebssysteme und Anwendungen. Wie bei den beiden vorherigen Modellen hat der Cloud-Nutzer keine Zugriffsrechte auf die zugrundeliegende Infrastruktur, verfügt jedoch über die volle Kontrolle der Betriebssysteme und Anwendungen. Ein Beispiel für IaaS ist Amazons EC2. Jedes Modell hat sehr unterschiedliche Auswirkungen auf die Informationssicherheit, wie sich nachfolgend zeigen wird. 1.2 Cloud-Bereitstellungsmodelle Neben Mischformen wie Community Cloud und Hybrid- Cloud wird im Wesentlichen zwischen der Private Cloud und der Public Cloud unterschieden Private Cloud Die Cloud-Infrastruktur wird exklusiv durch eine Interessensgemeinschaft genutzt. Der Betrieb erfolgt durch die Interessensgemeinschaft selbst in den eigenen Räumlichkeiten, kann jedoch auch durch einen Dritten in den eigenen oder dessen Räumlichkeiten erfolgen. Naturgemäss bietet der interne Betrieb in den eigenen Geschäftsräumen das höchste Mass an Kontrollmöglichkeiten im Vergleich zu allen anderen Cloud-Bereitstellungsmodellen. Nachteile der exklusiven Nutzung sind in der Regel geringere Skalierbarkeit und Verfügbarkeit sowie höhere Kosten Public Cloud Eine Public Cloud ist grundsätzlich für jedermann verfügbar. Der Betrieb erfolgt durch den Cloud- Anbieter und zwar immer in dessen Räumlichkeiten bzw. solchen vertraglich gebundener Drittdienstleister, meist auch geografisch stark verteilt. Eine Public Cloud zeichnet sich in der Regel durch extrem hohe Skalierbarkeit und Verfügbarkeit aus. Vor der Nutzung einer Public Cloud ist jedoch zu klären, welche gesetzlichen Anforderungen erfüllt werden müssen, um Funktionen und Daten in die Public Cloud auslagern zu dürfen. Seite 2 von 9

3 2 Vertraulichkeit und Integrität von Daten in der Cloud Rechtliche Aspekte 2.1 Grundlagen Bei der Nutzung von Cloud-Diensten gelten für den Leistungsbezieher die gleichen gesetzlichen und branchenspezifischen Anforderungen an die Auslagerung von Daten in die Cloud wie bei der internen Speicherung, Verarbeitung und Nutzung der Daten. Zentrale Fragestellungen, die sich in diesem Zusammenhang ergeben, sind u.a.: Welche Daten dürfen überhaupt ausgelagert werden? Dürfen diese Daten in das Ausland ausgelagert werden? Ergeben sich zusätzliche Compliance-Anforderungen und, wenn ja, wie sind diese zu berücksichtigen? Eine Sonderrolle nehmen hierbei sog. Personendaten ein. Personendaten im Sinne des Schweizerischen Datenschutzgesetzes (DSG) sind Angaben über eine natürliche oder juristische Person (betroffene Person), soweit diese bestimmt oder bestimmbar ist. Aus behörden- oder branchenspezifischen Regelungen können sich weitere Anforderungen ergeben, deren Nichteinhaltung zum Teil drastische Sanktionen zur Folge haben können. Beispiele sind Vorschriften zum Bankgeheimnis oder zur Vertraulichkeit von Patientendaten in der Versicherungswirtschaft. Die Verantwortung für die Einhaltung der Datenschutz- Gesetze liegt primär beim Cloud-Nutzer. Der Cloud-Anbieter, der die Daten in der Cloud- Infrastruktur speichert oder in der Cloud verarbeitet, ist hingegen im Kontext der Informationssicherheit primär verantwortlich für die Vertraulichkeit: Schutz gegen die unberechtigte Kenntnisnahme von gespeicherten, verarbeiteten und übertragenen Informationen. Integrität: Sicherstellung der Korrektheit (Unversehrtheit, Richtigkeit und Vollständigkeit) von Informationen (Datenintegrität) bzw. der korrekten Funktionsweise von Systemen (Systemintegrität). Verfügbarkeit: Gewährleistung eines unterbrechungsfreien, kontinuierlichen Betriebs der IT- Infrastruktur. Dieser Aspekt wird in diesem Papier nicht weiter berücksichtigt. Bei der Frage, ob der Cloud-Nutzer seiner Verantwortung für die Einhaltung der Datenschutzregeln in Bezug auf Datenschutz und Datenintegrität nachgekommen ist, sind daher auch die gesetzlichen Regelungen zu berücksichtigen, die für den Cloud-Anbieter gelten. 2.2 Gesetzliche Regelungen für den Cloud-Nutzer mit Sitz in der Schweiz Massgeblich für die Schweiz ist in erster Linie das Schweizerische Datenschutzgesetz (DSG), welches Daten bzw. Personendaten als Angaben definiert, die sich auf eine bestimmte Person beziehen. Im Unterschied zum deutschen Bundesdatenschutzgesetz und zur (gesetzlich nicht verbindlichen) EU-Datenschutzrichtlinie kann dies neben einer natürlichen Person auch eine juristische Person sein. Die Ausfuhr von Daten fällt datenschutzrechtlich unter den Begriff des Bearbeitens. Gemäss Art. 6 Abs. 1 DSG dürfen Personendaten nicht im Ausland bekannt gemacht werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil im Empfänger-Land eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Der Eidgenössische Öffentlichkeitsbeauftragte (EDÖB) hat eine Liste der Staaten veröffentlicht, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet. Hierzu gehören z.b. alle EU-Staaten. Zu beachten ist allerdings, dass sich im Gegensatz zur Schweiz das Datenschutzniveau in Drittstaaten in der Regel nur auf das Bearbeiten von Daten natürlicher Personen bezieht und keine Daten juristischer Personen berücksichtigt. Fehlt eine Gesetzgebung, die einen angemessenen Datenschutz gewährleistet, können gemäss Art. 6 Abs. 2 DSG Daten nur dann ins Ausland bekannt gegeben werden, wenn alternative Voraussetzungen erfüllt sind. Beispiele hierfür sind die Einwilligung der betroffenen Person oder vertragliche Regelungen, die den angemessenen Schutz der Daten im Ausland gewährleisten. Einen Sonderfall stellt das sogenannte US-Swiss Safe Harbor Framework dar, welches für entsprechend zertifizierte Unternehmen ein ausreichendes Datenschutzniveau bescheinigt und den Datentransfer zwischen der Schweiz und US-Unternehmen erleichtern soll. 2.3 Gesetzliche Regelungen für den Cloud-Anbieter mit Sitz im Ausland Massgeblich für das für den Cloud-Anbieter geltende Datenschutzrecht, insbesondere auch im Hinblick auf juristische Zugriffs- und Auswertungsbefugnisse, ist sein Sitz. Aufgrund besonderer nationaler Gesetze können Behörden und staatliche Institutionen Zugriff auf Daten erlangen, obwohl dieser durch die vertraglichen Vereinbarungen zwischen Cloud-Nutzer und Cloud-Anbieter eigentlich ausgeschlossen sein sollte. Ein Beispiel für ein solches nationales Gesetz ist der sogenannte US-amerikanische Patriot Act. Das Gesetz erlaubt staatlichen US-Behörden nicht nur auf Cloud-Daten zuzugreifen, die in den USA gespeichert und/oder verarbeitet werden, sondern auch auf Daten, die ausschliesslich auf europäischen Datenspeichern liegen. Voraussetzung hierfür ist, dass der Cloud- Seite 3 von 9

4 Anbieter seinen Sitz in den USA hat. Dies gilt auch für rechtlich eigenständige Tochterunternehmen, die selbst keine Niederlassung in den USA haben. Eine Verschlüsselung der Daten durch einen Cloud- Anbieter mit Sitz in den USA bietet hier keinen Schutz, da starke Verschlüsselungsmethoden unter das Kriegswaffenkontrollgesetz fallen und die verwendeten Schlüssel auf Anforderung der US-Behörden ausgehändigt werden müssen. Auch in anderen Ländern verfügen Behörden über ähnliche Befugnisse, zum Bespiel in Grossbritannien aufgrund des sog. Regulation of Investigatory Powers Act (RIPA, 2000). Neben den Zugriffen durch staatliche Behörden behalten sich Cloud-Anbieter insbesondere auch in Indien, China und den arabischen Staaten vor, Inhalte zu kontrollieren, Daten zu löschen oder Zugriffe zu sperren, wenn der Eindruck entsteht, dass Inhalte gegen Regelungen oder Moralvorstellungen verstossen. Diese Massnahmen müssen sich jedoch nicht zwangsläufig nur gegen den Cloud-Nutzer richten. Beispielsweise wurden die Inhalte des Anbieters Megaupload vollständig durch die US-Behörden gesperrt, unabhängig, ob die entsprechenden Inhalte und deren Nutzung legal waren oder nicht. 3 Vertraulichkeit und Integrität von Daten in der Cloud Technische Aspekte Neben den beispielhaft genannten regionalen Regularien und Gesetzen in Bezug auf Vertraulichkeit und Integrität von Daten in der Cloud gibt es noch eine Vielzahl von technischen Aspekten, die vor der Nutzung von Cloud-Dienstleistungen abzuwägen sind. Einige wichtige Fragestellungen an den Cloud-Anbieter sind deshalb: Welche Sicherheitsmassnahmen wurden in Bezug auf Datenvertraulichkeit und -integrität ergriffen? Wie werden unautorisierte Zugriffe durch privilegierte Benutzer (Administratoren, Superuser etc.) verhindert? Welche Ereignisse werden überwacht und in welcher Form aufgezeichnet? Wer hat Zugriff auf diese Aufzeichnungen? Besteht die Möglichkeit der Auditierung der Cloud-Infrastruktur zur Klärung z.b. folgender Fragen: Gibt es bekannte Schwachstellen der eingesetzten Plattformen und Applikationen? Gibt es bekannte Schwachstellen der eingesetzten Virtualisierungstechniken? Werden potentiell unsichere Programmierschnittstellen eingesetzt, die geeignet sind, sich unautorisierten Zugriff auf Daten zu verschaffen oder diese zu verändern? Wie wird auf Vorfälle reagiert und wie sind die Haftungsregelungen im Schadensfall? Werden vom Cloud-Anbieter Standard-Dienste oder proprietäre Techniken eingesetzt, die den Wechsel zu einem anderen Cloud-Anbieter erschweren könnten? Und nicht zuletzt: wie ist sichergestellt, dass bei Beendigung der Nutzung von Cloud-Dienstleistungen alle Daten inkl. Backups sicher und ausnahmslos aus der Cloud gelöscht werden? Diese Fragestellungen dienen als Einstieg in die verschiedenen Themenkreise, welche mit dem Cloud- Anbieter zu diskutieren sind. In den nachfolgenden Kapiteln werden diese Themenkreise etwas ausführlicher erläutert. 3.1 Datenvertraulichkeit und integrität Daten in der Cloud sollten aus Sicht des Nutzers vertraulich behandelt und nicht unberechtigt verändert werden können. Aus diesem Anspruch erwachsen einige Anforderungen, deren technische Umsetzung situativ geprüft und/oder verlangt werden muss Datenvertraulichkeit Typischerweise kommen zur Sicherstellung der Vertraulichkeit von schützenswerten Daten kryptographische Verfahren zum Einsatz. Grundsätzlich kann die Verschlüsselung der Daten bereits in der Infrastruktur des Cloud-Nutzers vor dem Transport in die Cloud erfolgen (z.b. mit dem symmetrischen Kryptosystem Advanced Encryption Standard (AES). Oder die Verschlüsselung geschieht erst während der Speicherung beim Cloud-Anbieter. Die Verschlüsselung der Daten beim Cloud-Anbieter kann je nach Cloud- Service-Modell (SaaS -> PaaS -> IaaS, siehe Kapitel 1.1) unterschiedlich schwierig zu bewerkstelligen sein. Ebenfalls kann der Transportkanal selbst von und zum Cloud-Anbieter verschlüsselt werden. Hier ist die Verwendung des Netzwerkprotokolls Transport Layer Security (TLS) ein gängiges Verfahren. Der Cloud-Nutzer muss sich des Weiteren im Klaren darüber sein, wie lange seine Daten wirklich schützenswert sind und vor wem er sie schützen will. Vereinfacht ausgedrückt ergibt sich die Stärke eines kryptografischen Algorithmus u.a. aus der Anzahl von Rechenoperationen, die es braucht, um den verwendeten Schlüssel zu berechnen. Hieraus ergibt sich, dass die Gefährdung durch einen potentiellen Angreifer in direkter Beziehung steht zu der Rechnerleistung, die diesem für diese Berechnung zur Verfügung stehen könnte (Beispiele: Skriptkiddie mit Home-Computer, National Security Agency (NSA) mit hochskalierbarer Rechnerleistung). Abhängig davon ist ein Verschlüsselungsalgorithmus zu wählen, welcher mindestens für den nötigen Zeitraum als sicher betrachtet werden kann. Verschiedene Institutionen wie NIST, die Deutsche Bundesnetzagentur und das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch das European Network of Excellence in Cryptology II (ECRYPT II) geben konkrete Empfehlungen zu geeigneten Algorithmen ab (siehe Kapitel 5). Seite 4 von 9

5 Neben der Auswahl und Anwendung geeigneter Verschlüsselungsverfahren muss das verwendete Schlüsselmaterial sicher verwahrt werden. Einige Cloud- Anbieter erlauben dem Nutzer die Daten direkt in der Cloud über einen ihrer Dienste zu verschlüsseln. Dies führt jedoch direkt zur Frage wie das Schlüsselmaterial selbst beim Cloud-Anbieter geschützt ist und ob das dem Schutzbedarf des Nutzers genügt. Wie in der klassischen Informatik drängt sich auch beim Einsatz von Cloud-Dienstleistungen die Verwendung eines Hardware Security Moduls (HSM) auf, das wegen seiner integrierten und geschützten Funktionen die sichere Aufbewahrung und Verwendung des Schlüsselmaterials ermöglicht. Alternativ kann auch die kombinierte Verwendung verschiedener Clouds und/oder verschiedener Cloud- Anbieter in Betracht gezogen werden. So kann heute die Funktionalität eines HSMs ebenfalls als Cloud- Service bezogen werden, was bedeutet, dass das eingesetzte Schlüsselmaterial ebenfalls in einer Cloud hinterlegt werden kann. Dies kann dann sinnvoll sein, wenn zwischen dem Cloud-Anbieter des HSM- Dienstes und dem mit der Datenspeicherung beauftragten zweiten Cloud-Anbieter keine rechtlichen und operativen Abhängigkeiten bestehen. Eine spezielle Variante für den Einsatz kryptografischer Verfahren ergibt sich, wenn Daten dem Cloud- Anbieter nicht nur zur Speicherung, sondern auch zur Verarbeitung überlassen werden. In den allermeisten Fällen müssen diese Daten vor Verarbeitung aufgrund technischer Notwendigkeiten entschlüsselt und somit dem Cloud-Anbieter im Klartext zugänglich gemacht werden. Abbildung 2: Klassische Verarbeitung im Klartext Abhilfe schaffen könnten hier künftig sogenannte voll homomorphe Verschlüsselungsverfahren. Eine voll homomorphe Verschlüsselung erlaubt Operationen auf verschlüsselten Daten durchzuführen, ohne diese für die Ausführung der Operationen tatsächlich entschlüsseln zu müssen, d.h. ohne auf den Klartext zuzugreifen. Abbildung 3: Voll homomorphe Verschlüsselung Bei diesem von Craig Gentry 2009 vorgestellten Verfahren werden an verschlüsselten Daten mathematische Standard-Operationen wie Addieren und Multiplizieren vorgenommen, die sich dann im entschlüsselten Ergebnis widerspiegeln, als ob die Operationen an den Originaldaten vorgenommen worden wären. Mit der Etablierung dieser Mechanismen könnte sich dann das volle Potenzial des Cloud-Computing entfalten. Da dieses Verfahren jedoch enorm rechenintensiv ist und die Entwickler im Bereich von einfachen binären Operationen mit massiven Performanceproblemen zu kämpfen haben, ist das Verfahren aus kommerzieller Sicht heute noch nicht marktreif Datenintegrität Der Nutzer einer Cloud-Dienstleistung will nicht nur sicher sein, dass die Vertraulichkeit seiner Daten gewährleistet ist, die Daten sollten auch nicht unbemerkt manipuliert werden können. Um Integritätsverletzungen insbesondere von Daten, die nicht verschlüsselt werden oder nicht verschlüsselt werden können, feststellen zu können, werden in der Regel kryptografische Prüfsummen (Hashes) der Daten berechnet. Eine nachträgliche Veränderung eines Datenfragmentes führt zu einem veränderten Hash-Wert, wodurch im Vergleich zum ursprünglichen Hash-Wert die Manipulation festgestellt werden kann. Somit sind es plötzlich nicht mehr nur die Daten selbst, die vor Manipulation geschützt werden müssen, sondern auch die Prüfsummen dieser Daten. Analog zum Schlüsselmaterial sollten auch die Prüfsummen aus diesem Grund bei einem vertrauenswürdigen Dritten bzw. bevorzugt in der eigenen Infrastruktur hinterlegt werden. Vor jedem Zugriff auf Daten in der Cloud findet dann eine Prüfung der neu berechneten Hash-Werte der Daten gegen die an anderer Stelle archivierten Vergleichswerte statt. Nicht unerwähnt bleiben sollte an dieser Stelle, dass der Abgleich der Prüfsummen zu einem spürbaren Performance-Verlust beim Datenzugriff führen kann. Wird die Datenintegrität verletzt, müssen die Daten nach Behebung des Problems wiederhergestellt wer- Seite 5 von 9

6 den. Die Wiederherstellung dieser Daten muss ebenfalls aus einer vertrauenswürdigen Quelle erfolgen. Aus diesem Grund ist es zu empfehlen, Datensicherungen stets bei einem Dritten oder in den eigenen Infrastrukturen zu halten. 3.2 Privilegierte Zugriffe Auf Daten in der Cloud sollen ausschliesslich Zugriffe durch ausreichend authentifizierte und autorisierte Personen erfolgen können. Für diesen Benutzerkreis lässt sich das Problem auf Seiten des Cloud-Nutzers über die Anwendung standardisierter Verfahren für die Authentifizierung und die Vergabe von Berechtigungen lösen. Eine Herausforderung sind jedoch stets die privilegierten Benutzer des Cloud-Anbieters, z.b. Administratoren und Datensicherungsverantwortliche. Erstere verfügen in der Regel über weitreichende Rechte, die es theoretisch ermöglichen, das vorgesehene formelle Verfahren zu unterlaufen und sich unbemerkt ein Datenzugriffsrecht selbst zuzuweisen. Das für das Backup verantwortliche Personal wiederum besitzt naturgemäss die Möglichkeit, mittels technischer Konten Vollzugriff auf Daten zu erhalten, um diese vollständig sichern zu können. Auch in einer selbstadministrierten Cloud sollte der Anbieter deshalb detailliert ausweisen können, wie die eigenen Administratoren von unbefugtem Datenzugriff abgehalten werden und wie die Nachvollziehbarkeit sichergestellt wird. Beispiel hierfür ist die Protokollierung - dabei zu beachten ist, dass die Protokolle ebenfalls durch geeignete Massnahmen vor Manipulation geschützt werden müssen. 3.3 Logging Die sichere Erstellung und Aufbewahrung von Loginformationen gilt nicht nur für privilegierte Zugriffe, sondern ist je nach Gesetzgebung, welcher der Cloud- Nutzer unterliegt, auch für ordentliche Geschäftstransaktionen notwendig. Die Technologien dafür sind grundsätzlich vorhanden (automatisches Wegschreiben der Loginformationen, nummerierte und signierte Logeinträge, usw.), doch kann der Cloud-Anbieter diese Anforderungen auch unterstützen? Wie werden die Aktionen von hoch privilegierten Benutzern aufgezeichnet, im Speziellen, wenn sie Mandantenübergreifenden Zugriff haben? Wie kann der Cloud- Nutzer auf diese Informationen zur Überprüfung zugreifen? Und wer ist eigentlich der rechtliche Eigentümer der Loginformationen: der Cloud-Nutzer oder der Cloud-Anbieter (vgl. Kapitel 2)? Logfiles enthalten meist auch Informationen, die Rückschlüsse auf die Daten des Cloud-Nutzers zulassen. Je nach Granularität der Loginformationen lassen sich explizite Nutzerprofile erstellen und gar Verhaltensanalysen betreiben, woraus Vertraulichkeitsanforderungen an die Logfiles selbst entstehen können. Die Anforderungen im Bereich Logging variieren genauso stark wie die Unterstützungsangebote der Cloud-Anbieter, was jede Servicenutzung zu einem Individualfall macht, der spezifisch betrachtet werden muss. 3.4 Cloud-Infrastruktur Die Cloud-Infrastruktur hat auf Grund ihrer virtualisierten und stark verteilten Architektur einige Besonderheiten, die in Bezug auf Vertraulichkeit und Integrität zu betrachten sind Virtualisierungstechnik / Hypervisor Der Hypervisor ist das Kernstück der Cloud- Infrastruktur, virtualisiert er doch die verschiedenen durch den Cloud-Anbieter angebotenen Komponenten wie Storage, Netzwerk und Betriebssysteme. Der Hypervisor stellt auch die Mandanten-Trennung sicher und ist daher in Bezug auf die Sicherheit eine zentrale Komponente. Bringt ein Cloud-Nutzer den Hypervisor unter seine Kontrolle, kann er problemlos auf die Daten anderer Mandanten zugreifen. Auch können Softwarefehler innerhalb der Virtualisierungstechnik die Datenvertraulichkeit und/oder integrität verletzen. Der Cloud-Nutzer ist also daran interessiert, dass sein Cloud-Anbieter ein Patch- und Release-Management vorweisen kann, welches zeigt, dass auch die Hypervisor-Komponente stets auf dem vom Hersteller empfohlenen Stand gehalten wird. Je nach eingesetzter Technologie sind zudem weitere Schutzmechanismen wie die periodische Integritätsprüfung des Hypervisors empfehlenswert Applikationen in virtualisierten Umgebungen (Cloud-Service-Modell SaaS ) Neben Softwarefehlern in der Virtualisierungstechnik sind auch Applikationen, die in einer virtualisierten Umgebung betrieben werden, eine potentielle Risikoquelle. Cloud-Anbieter und Cloud-Nutzer wollen sicher sein, dass die eingesetzte Software sowohl für die Cloud-Systeme, als auch für die darauf betriebenen Applikationen integer ist. Daher ist sicherzustellen, dass es sich bei der einzusetzenden Software tatsächlich um die vom Hersteller vertriebene Version handelt und dass keine Schadsoftware eingeschleust wurde. Auch hier kommen Signaturen und teilweise PKI Verfahren zum Einsatz, z.b. bei mit digitalen Zertifikaten signiertem Programmcode Verwaltungsschnittstellen Ebenso kritisch sind die Schnittstellen für die Verwaltung der Cloud-Komponenten. Über diese werden u.a. die Cloud-Dienste verwaltet und gesteuert, Infrastrukturressourcen alloziert und freigegeben. Unterschiedliche Arten und Nutzung der Schnittstellen können differenzierte Schutzmassnahmen erforderlich machen. Die Schnittstellen müssen aber mindestens sicherstellen, dass die auszuführenden Befehle nur von vertrauenswürdigen Instanzen kommend erteilt werden und bis bzw. während der Ausführung nicht verändert wurden. Kryptografische Mechanismen übernehmen diese Funktion durch Verwendung standardisierter Protokolle wie das bereits genannte TLS. Seite 6 von 9

7 3.4.4 Konfigurations- und Change Management des Cloud-Anbieters Wie in allen IT Umgebungen sind auch in Cloud- Infrastrukturen Konfigurationen von essenzieller Bedeutung. Diese heiklen Komponenten müssen ebenfalls vor unautorisierten Manipulationen geschützt werden. Hier ist der Cloud-Anbieter aufgerufen dafür zu sorgen, dass nur die notwendigen Änderungen durch autorisiertes Personal vorgenommen werden und diese notfalls vor Produktivsetzung mittels Vieraugenprinzip überprüft werden. Für den Cloud-Nutzer empfiehlt sich eine genaue Prüfung der Konfigurationsund Change Management-Dokumentation des Cloud- Anbieters, um betriebliche Risiken vor dem Einstieg in das Cloud-Computing abschätzen zu können. 3.5 Datenlöschung Einleitend ein kleiner Exkurs, um die Problematik der Datenlöschung in der Welt des Cloud Computings zu beleuchten: In der heutigen Zeit nicht mehr wegzudenken ist der Upload von Fotos über Smartphones zum Beispiel auf eine Social Media-Plattform wie Facebook, Google+ oder in die Apple icloud. Dies geschieht in der Regel in dem Glauben, dass der Cloud-Nutzer die Eigentumsrechte an den Fotos auch nach dem Hochladen in die Cloud behält und diese jederzeit löschen kann, wenn er das möchte, bzw. diese vollständig gelöscht werden, sobald das Vertragsverhältnis mit dem Cloud-Anbieter beendet wird. Bei Facebook im Speziellen gehen die Rechte an einem Foto aufgrund der Nutzungsbestimmungen mit dem Upload in die Cloud auf Facebook über, in der Regel ohne dass dies dem Cloud-Nutzer bewusst ist. Abgesehen davon, dass sich Facebook schlicht weigert oder es unerwähnt unterlässt, Daten vollständig zu löschen, stellt sich die Frage, ob es technisch überhaupt möglich ist - und wie es der Cloud-Nutzer kontrollieren könnte. Um Hochverfügbarkeit sicherzustellen, werden Daten und Datenfragmente in Clouds meist mehrmals kopiert und auf verschiedenen (virtuellen) Systemen abgelegt und müssen vom Cloud-Anbieter synchron gehalten werden. Dass diese virtuellen Systeme bei Bedarf durch die Cloud dynamisch erzeugt, genutzt und zur Lastoptimierung auch automatisch verschoben werden, verkompliziert die Sache weiter. Eine nachweislich korrekte und vollständige Löschung der Daten eines Cloud-Nutzers kann deshalb meist nicht vorgenommen werden. Auch wird eine solche Kontrolle durch die meisten Cloud-Anbieter nicht unterstützt. Dem Cloud-Nutzer bleibt schlussendlich nichts anderes übrig, als dem Anbieter zu vertrauen, dass seine Daten und alle davon erstellten Kopien vollumfänglich gelöscht wurden. Oder zu akzeptieren, dass Kopien beim Cloud-Anbieter verbleiben. 4 Fazit Dynamische Skalierbarkeit, hohe Verfügbarkeit und geringere Kosten gegenüber dem klassischen IT- Betrieb sind die Treiber des Cloud-Computing- Ansatzes. Gegenüber dem exklusiven Betrieb in einer Private Cloud bietet die Inanspruchnahme von allgemein beziehbaren Public Cloud-Bereitstellungsmodellen in der Regel das höhere Potenzial. Jedoch ist insbesondere bei der Nutzung von Public Cloud-Bereitstellungsmodellen in einem ersten Schritt zu prüfen, welche gesetzlichen und branchenspezifischen Anforderungen für die Auslagerung von Daten in die Cloud für den Cloud-Nutzer gelten und wie diese erfüllt werden können. Werden darüber hinaus Personendaten aus der Schweiz in einen Drittstaat ausgeführt, ist vom Cloud- Nutzer sicherzustellen, dass ein angemessenes Datenschutzniveau im Drittstaat sichergestellt ist. Nachfolgende Grafik zeigt exemplarisch, wie unterschiedlich dieses Datenschutzniveau definiert sein kann. Abbildung 4: Datenschutz in Drittländern Wenn diese Voraussetzungen erfüllt sind, gilt es in einem zweiten Schritt die Sicherheitsanforderungen des Cloud-Nutzers zu bestimmen und diese mit konventionellen, situativ zu implementierenden Massnahmen abzudecken. Die in diesem Whitepaper hauptsächlich angesprochenen Massnahmen sind: Die Verwendung kryptografischer Verfahren zur Sicherstellung der Vertraulichkeit von schützenswerten Daten. Potential für die Zukunft bietet die voll homomorphe Verschlüsselung. Die Verwendung kryptografischer Prüfsummen zur Sicherstellung der Datenintegrität. Benutzerzugriffe und hier insbesondere Zugriffe privilegierter Benutzer müssen ausreichend authentifiziert und autorisiert sein. Benutzerzugriffe müssen protokolliert und die Logfiles sicher aufbewahrt und vor Manipulation geschützt werden. Seite 7 von 9

8 Der Schutz der Cloud-Infrastruktur: Hypervisor, Applikationen, Verwaltungsschnittstellen. Formalisierte Verfahren für das Konfigurationsund Change-Management. Wichtig ist ebenfalls, die Entwicklung am Markt zu beobachten. Es werden laufend neue Standards, Frameworks etc. entwickelt, welche die Sicherheitsbedürfnisse von Cloud-Nutzern adressieren. Auch wenn zurzeit beispielsweise Risk Assessments im Cloud- Bereich noch nicht standardisiert sind, existieren bereits erste Entwürfe für solche Standards, welche es künftigen Cloud-Nutzern einfacher machen, Risiken abzuschätzen und Cloud-Anbieter gegeneinander zu vergleichen. Zusammenfassend sind eine Vielzahl von Themen und Aspekten zu berücksichtigen. Die betriebswirtschaftliche Würdigung der Kosten-Nutzen-Relation wurde eingangs erwähnt. Diese sollte ergänzt werden durch ein strukturiertes Risikomanagementverfahren (Identifikation, Analyse und Bewertung von Risiken), das den Umständen und Bedürfnissen Ihrer individuellen Organisation Rechnung trägt. Gerne unterstützen wir auch Sie auf Ihrem erfolgreichen Weg in die Cloud. Und bei Bedarf auch wieder hinaus! Die In&Out AG unterstützt ihre Kunden seit Jahren bei der Umsetzung komplexer Fragestellungen in den Bereichen IT Risk & Security Management sowie Security Architektur & Design. Hochwertige, dienstleisterunabhängige und neutrale Security Assessments gehören zu unseren Kernkompetenzen. 5 Weiterführende Quellen 1. EuroCloud Swiss: Leitfaden Cloud- Computing (2012) 2. BSI Eckpunktepapier: Sicherheitsempfehlungen für Cloud-Computing-Anbieter (2012) 3. Hansen, Marit: Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud- Zeitalter (2012) 4. NIST The Definition of Cloud Computing, Pub (2011) 5. Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing (2011) 6. Trusted Computing Group Cloud Computing and Security A Natural Match (2010) 7. Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet: 827/index.html 8. Deutsche Bundesnetzagentur: Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen), Seite 10ff. (2011) 9. European Network of Excellence in Cryptology II (ECRYPT II): Seite 8 von 9

9 Die In&Out AG Die In&Out AG erbringt Consulting- und Engineering- Dienstleistungen im Bereich von Enterprise IT Plattformen. Seit ihrer Gründung 1993 ist die In&Out AG wirtschaftlich unabhängig von Produkte- und Lösungsanbietern. Unser Angebot umfasst die Entwicklung von Strategien sowie die Evaluation und Konzeption von IT Lösungen. Zusätzlich unterstützen wir unsere Kunden bei der Implementierung, dem Test und Betrieb von leistungsfähigen und sicheren IT Lösungen. Die Autoren Marcel Liebi Senior Security Consultant Jörg Poell Senior Security Consultant & IT Auditor Security Management Im heutigen Geschäftsumfeld ist die Einhaltung der Vorgaben aus Governance, Risk und Compliance ein entscheidender Vorteil. Sie bildet die Grundlage für eine leistungsfähige Sicherheitsarchitektur und ein effektives Information Security Management. Unsere Spezialisten unterstützen Sie dabei, diese essentiellen Sicherheitsthemen zu meistern. Security Services Neue Technologien und Konzepte bedeuten zunehmende Komplexität und stellen hohe Ansprüche an die Administration elektronischer Identitäten. Unser Knowhow im Identity & Access Management setzen wir bei der Konzeption und Umsetzung von sicheren Lösungen für die Verwaltung und Verteilung Ihrer Benutzeridentitäten ein. Zusätzlich gehören die Kommunikationssicherheit, Kryptographie, Dokumenten- und die Plattformsicherheit zu unseren Kernkompetenzen. $ Seite 9 von 9

«EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

«EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... «EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... 19.09.2013 In&Out AG IT Consulting & Engineering info@inout.ch www.inout.ch CLOUD SECURITY VERTRAULICHKEIT UND INTEGRITÄT VON DATEN Jörg Poell, Senior IT Security

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Sophie Friedrich, Nicholas Höllermeier, Martin Schwaighofer 11. Juni 2012 Inhaltsverzeichnis Einleitung Motivation Mathematische Definitionen Wiederholung Gruppe Ring Gruppenhomomorphisums

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz

11. Kommunales IuK-Forum Niedersachsen. 25./26. August 2011 in Stade. Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz 11. Kommunales IuK-Forum Niedersachsen 25./26. August 2011 in Stade Cloud Computing im Spannungsfeld von IT Sicherheit und Datenschutz Bernd Landgraf ITEBO GmbH Tel.: 05 41 / 96 31 1 00 E-Mail: landgraf@itebo.de

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Interview zum Thema Datenschutz & Datensicherheit in der Cloud

Interview zum Thema Datenschutz & Datensicherheit in der Cloud Interview zum Thema Datenschutz & Datensicherheit in der Cloud Matthias Bongarth Götz Piwinger Zehn Fragen an Matthias Bongarth, Geschäftsführer des Landesbetriebs Daten und Information, Rheinland Pfalz

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

(Oracle) BPM in der Cloud

(Oracle) BPM in der Cloud ti&m seminare (Oracle) BPM in der Cloud Integration, Chancen und Risiken Alexander Knauer Architect ti&m AG Version 1.0 28. Januar 2013 ti&m AG Buckhauserstrasse 24 CH-8048 Zürich Belpstrasse 39 CH-3007

Mehr

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo IT-Grundschutz-Baustein Cloud Management Erwan Smits & Dominic Mylo Projekt-Beteiligte Kooperation BSI und Atos Erwan Smits Atos Dominic Mylo Atos Dr. Clemens Doubrava BSI Alex Didier Essoh BSI Dr. Patrick

Mehr

Themenschwerpunkt Cloud-Computing

Themenschwerpunkt Cloud-Computing Themenschwerpunkt Cloud-Computing Ihr Ansprechpartner heute Claranet GmbH Hanauer Landstraße 196 60314 Frankfurt Senior Partner Account & Alliance Manager Tel: +49 (69) 40 80 18-433 Mobil: +49 (151) 16

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Überblick zu bewährten Cloud ServiceVarianten. Dipl.-Ing. Udo Böhm, Senior Consultant

Überblick zu bewährten Cloud ServiceVarianten. Dipl.-Ing. Udo Böhm, Senior Consultant Überblick zu bewährten Cloud ServiceVarianten Dipl.-Ing. Udo Böhm, Senior Consultant Welche IT-Services gibt es am deutschen Markt? Projektbasierte IT-Services (ca. 30%, Tendenz konstant) IT Consulting

Mehr

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht Wichtige Vertragspunkte Outsourcing der

Mehr

- Sicherheit in der Cloud -

- Sicherheit in der Cloud - - Blockseminar Siegmundsburg - - Sicherheit in der Cloud - Christoph Koch Christoph Koch 1 Friedrich-Schiller-Universität Jena Agenda 1) Motivation 2) Datensicherheit / Datenschutz 3) Herausforderungen

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

> Cloud-Richtline. Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud-Dienste. IV-Sicherheitsteam Juni 2013

> Cloud-Richtline. Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud-Dienste. IV-Sicherheitsteam Juni 2013 > Cloud-Richtline Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud-Dienste IV-Sicherheitsteam Juni 2013 Einleitung 1 > Inhalt 1 Einleitung... 2 2 Geltungsbereich... 3 3 Abgrenzung

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wie sicher sind meine Daten in der Cloud? Datenschutz und Cloud Computing Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Agenda Einführung Beispiele von Cloud-Angriffen

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln. Dr. Andreas Gabriel Ethon GmbH 29.04.2015

Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln. Dr. Andreas Gabriel Ethon GmbH 29.04.2015 Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln Dr. Andreas Gabriel Ethon GmbH 29.04.2015 Konsortium: KURZE VORSTELLUNG 29.04.2015 Sicherheit im Internet 2 1 Über die Ethon

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Datenschutzrechtliche Aspekte des Cloud Computing Gustav-Stresemann-Ring 1 65189 Wiesbaden Telefon 0611 / 1408-0 http://www.datenschutz.hessen.de E-Mail: poststelle@datenschutz.hessen.de Definitionen Cloud-Anwender

Mehr

Cloud Speicher. Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012

Cloud Speicher. Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012 Cloud Speicher Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012 Ablauf Cloud-Speicher allgemein Was ist die Cloud? Möglichkeiten Vorteile Nutzer u. Anbieter 3 Beispiele Dropbox Ubuntu One TeamDrive

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten Tobias Hahn Fraunhofer Institut für sichere Informationstechnologie (SIT) Vorstellung Tobias Hahn Wissenschaftlicher

Mehr

Cloud Computing Chancen für KMU

Cloud Computing Chancen für KMU Cloud Computing Chancen für KMU Sascha A. Peters Cluster Manager IT FOR WORK 31. Oktober 2012 Cloud Computing Worüber reden alle? Fragen zum Thema Cloud Was ist Cloud Computing und wofür wird es genutzt?

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen

Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Swiss Government Cloud Wieviel «open» können Behördenangebote sein? 11. April 2013 2. Open Cloud Day Jens Piesbergen Agenda Cloud: Services, Daten Paradigma-Wechsel Umfeld und Markt-Beobachtungen Verantwortung

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Governance- und Compliance-Aspekte im Cloud-Umfeld Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Der Referent Martin Schweinoch Rechtsanwalt und Partner bei SKW Schwarz, München

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Die wichtigsten rechtlichen

Mehr

Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud- Dienste

Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud- Dienste Cloud-Richtlinie Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud- Dienste IV-Sicherheitsteam, Juni 2013 78 1 Einleitung Diese Richtlinie beinhaltet grundsätzliche Regelungen für alle

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr