CLOUD SECURITY. Vertraulichkeit und Integrität von Daten Whitepaper. Senior Security Consultant. Jörg Poell Senior Security Consultant & IT Auditor

Größe: px
Ab Seite anzeigen:

Download "CLOUD SECURITY. Vertraulichkeit und Integrität von Daten Whitepaper. Senior Security Consultant. Jörg Poell Senior Security Consultant & IT Auditor"

Transkript

1 CLOUD SECURITY Vertraulichkeit und Integrität von Daten Whitepaper Autoren: Marcel Liebi Senior Security Consultant Jörg Poell Senior Security Consultant & IT Auditor Datum: 03. Januar 2013 In&Out AG IT Consulting & Engineering Seestrasse 353, CH-8038 Zürich, Phone Fax

2 1 Einführung Cloud-Computing bezeichnet einen Ansatz, bei dem IT-Ressourcen, wie z.b. Rechnerleistung, RAM, Festplattenspeicher, Software usw. über ein Netzwerk bedarfsorientiert bezogen werden. Im Vergleich zum klassischen Betrieb von IT-Infrastrukturen werden häufig als wichtigste Vorteile geringere Kosten, theoretisch unbegrenzt skalierbare Speicher- und Rechenkapazitäten, die dynamische Skalierbarkeit sowie hohe Verfügbarkeit genannt. Cloud-Computing hat jedoch auch einige Nachteile. Insbesondere können die Daten eines Cloud-Nutzers ohne entsprechende Massnahmen vom Cloud-Anbieter oder seinen Partnern gelesen und manipuliert werden, ohne dass dies dem Cloud-Nutzer bekannt sein muss. In diesem Whitepaper geben wir eine grobe Einführung in die Cloud-Service- und Bereitstellungsmodelle. Im Anschluss beleuchten wir die Datenschutz- Thematik aus rechtlicher und sicherheitstechnischer Sicht und geben einen Ausblick, wie mit den daraus resultierenden Fragestellungen umgegangen werden kann. 1.1 Cloud-Service-Modelle Die Leistungen durch den Cloud-Anbieter werden üblicherweise nach drei verschiedenen Modellen unterschieden: SaaS, PaaS und IaaS. Abbildung 1: Cloud-Service-Modelle Neben Grad und Umfang der bereitgestellten Cloud- Dienstleistungen unterscheiden sich diese drei Modelle deutlich in den Kontrollmöglichkeiten durch den Cloud- Nutzer Software as a Service (SaaS) Der Cloud-Anbieter stellt dem Cloud-Nutzer Applikationen zur Nutzung zur Verfügung. Der Zugriff erfolgt entweder durch eine Thin-Client-Schnittstelle, z.b. einen Webbrowser (z.b. web-basierte wie Gmail ) oder ein Programm-Interface (z.b. Twitter ). Der Cloud-Nutzer hat keinerlei Zugriff auf die zugrundeliegende Cloud-Infrastruktur (Netzwerk, Server, Storage, Betriebssystem, Applikationen), sondern ist allenfalls in der Lage, die applikationsspezifische Konfiguration anzupassen Platform as a Service (PaaS) Der Cloud-Nutzer kann eigene Applikationen auf Basis der vom Cloud-Anbieter zur Verfügung gestellten Infrastruktur und Betriebssysteme bereitstellen. Ähnlich wie SaaS hat der Cloud-Nutzer keinerlei Zugriffsrechte auf die Cloud-Infrastruktur (Netzwerk, Server, Storage, Betriebssystem), verfügt jedoch über die Kontrolle über seine spezifischen Applikationen. Beispiele für PaaS sind Microsofts Azure oder Googles AppEngine Infrastructure as a Service (IaaS) Beim dritten Modell stellt der Cloud-Anbieter lediglich die grundlegenden IT-Ressourcen (Netzwerk, Server, Storage) zur Verfügung und überlässt seinem Kunden die Nutzung beliebiger Betriebssysteme und Anwendungen. Wie bei den beiden vorherigen Modellen hat der Cloud-Nutzer keine Zugriffsrechte auf die zugrundeliegende Infrastruktur, verfügt jedoch über die volle Kontrolle der Betriebssysteme und Anwendungen. Ein Beispiel für IaaS ist Amazons EC2. Jedes Modell hat sehr unterschiedliche Auswirkungen auf die Informationssicherheit, wie sich nachfolgend zeigen wird. 1.2 Cloud-Bereitstellungsmodelle Neben Mischformen wie Community Cloud und Hybrid- Cloud wird im Wesentlichen zwischen der Private Cloud und der Public Cloud unterschieden Private Cloud Die Cloud-Infrastruktur wird exklusiv durch eine Interessensgemeinschaft genutzt. Der Betrieb erfolgt durch die Interessensgemeinschaft selbst in den eigenen Räumlichkeiten, kann jedoch auch durch einen Dritten in den eigenen oder dessen Räumlichkeiten erfolgen. Naturgemäss bietet der interne Betrieb in den eigenen Geschäftsräumen das höchste Mass an Kontrollmöglichkeiten im Vergleich zu allen anderen Cloud-Bereitstellungsmodellen. Nachteile der exklusiven Nutzung sind in der Regel geringere Skalierbarkeit und Verfügbarkeit sowie höhere Kosten Public Cloud Eine Public Cloud ist grundsätzlich für jedermann verfügbar. Der Betrieb erfolgt durch den Cloud- Anbieter und zwar immer in dessen Räumlichkeiten bzw. solchen vertraglich gebundener Drittdienstleister, meist auch geografisch stark verteilt. Eine Public Cloud zeichnet sich in der Regel durch extrem hohe Skalierbarkeit und Verfügbarkeit aus. Vor der Nutzung einer Public Cloud ist jedoch zu klären, welche gesetzlichen Anforderungen erfüllt werden müssen, um Funktionen und Daten in die Public Cloud auslagern zu dürfen. Seite 2 von 9

3 2 Vertraulichkeit und Integrität von Daten in der Cloud Rechtliche Aspekte 2.1 Grundlagen Bei der Nutzung von Cloud-Diensten gelten für den Leistungsbezieher die gleichen gesetzlichen und branchenspezifischen Anforderungen an die Auslagerung von Daten in die Cloud wie bei der internen Speicherung, Verarbeitung und Nutzung der Daten. Zentrale Fragestellungen, die sich in diesem Zusammenhang ergeben, sind u.a.: Welche Daten dürfen überhaupt ausgelagert werden? Dürfen diese Daten in das Ausland ausgelagert werden? Ergeben sich zusätzliche Compliance-Anforderungen und, wenn ja, wie sind diese zu berücksichtigen? Eine Sonderrolle nehmen hierbei sog. Personendaten ein. Personendaten im Sinne des Schweizerischen Datenschutzgesetzes (DSG) sind Angaben über eine natürliche oder juristische Person (betroffene Person), soweit diese bestimmt oder bestimmbar ist. Aus behörden- oder branchenspezifischen Regelungen können sich weitere Anforderungen ergeben, deren Nichteinhaltung zum Teil drastische Sanktionen zur Folge haben können. Beispiele sind Vorschriften zum Bankgeheimnis oder zur Vertraulichkeit von Patientendaten in der Versicherungswirtschaft. Die Verantwortung für die Einhaltung der Datenschutz- Gesetze liegt primär beim Cloud-Nutzer. Der Cloud-Anbieter, der die Daten in der Cloud- Infrastruktur speichert oder in der Cloud verarbeitet, ist hingegen im Kontext der Informationssicherheit primär verantwortlich für die Vertraulichkeit: Schutz gegen die unberechtigte Kenntnisnahme von gespeicherten, verarbeiteten und übertragenen Informationen. Integrität: Sicherstellung der Korrektheit (Unversehrtheit, Richtigkeit und Vollständigkeit) von Informationen (Datenintegrität) bzw. der korrekten Funktionsweise von Systemen (Systemintegrität). Verfügbarkeit: Gewährleistung eines unterbrechungsfreien, kontinuierlichen Betriebs der IT- Infrastruktur. Dieser Aspekt wird in diesem Papier nicht weiter berücksichtigt. Bei der Frage, ob der Cloud-Nutzer seiner Verantwortung für die Einhaltung der Datenschutzregeln in Bezug auf Datenschutz und Datenintegrität nachgekommen ist, sind daher auch die gesetzlichen Regelungen zu berücksichtigen, die für den Cloud-Anbieter gelten. 2.2 Gesetzliche Regelungen für den Cloud-Nutzer mit Sitz in der Schweiz Massgeblich für die Schweiz ist in erster Linie das Schweizerische Datenschutzgesetz (DSG), welches Daten bzw. Personendaten als Angaben definiert, die sich auf eine bestimmte Person beziehen. Im Unterschied zum deutschen Bundesdatenschutzgesetz und zur (gesetzlich nicht verbindlichen) EU-Datenschutzrichtlinie kann dies neben einer natürlichen Person auch eine juristische Person sein. Die Ausfuhr von Daten fällt datenschutzrechtlich unter den Begriff des Bearbeitens. Gemäss Art. 6 Abs. 1 DSG dürfen Personendaten nicht im Ausland bekannt gemacht werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil im Empfänger-Land eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Der Eidgenössische Öffentlichkeitsbeauftragte (EDÖB) hat eine Liste der Staaten veröffentlicht, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet. Hierzu gehören z.b. alle EU-Staaten. Zu beachten ist allerdings, dass sich im Gegensatz zur Schweiz das Datenschutzniveau in Drittstaaten in der Regel nur auf das Bearbeiten von Daten natürlicher Personen bezieht und keine Daten juristischer Personen berücksichtigt. Fehlt eine Gesetzgebung, die einen angemessenen Datenschutz gewährleistet, können gemäss Art. 6 Abs. 2 DSG Daten nur dann ins Ausland bekannt gegeben werden, wenn alternative Voraussetzungen erfüllt sind. Beispiele hierfür sind die Einwilligung der betroffenen Person oder vertragliche Regelungen, die den angemessenen Schutz der Daten im Ausland gewährleisten. Einen Sonderfall stellt das sogenannte US-Swiss Safe Harbor Framework dar, welches für entsprechend zertifizierte Unternehmen ein ausreichendes Datenschutzniveau bescheinigt und den Datentransfer zwischen der Schweiz und US-Unternehmen erleichtern soll. 2.3 Gesetzliche Regelungen für den Cloud-Anbieter mit Sitz im Ausland Massgeblich für das für den Cloud-Anbieter geltende Datenschutzrecht, insbesondere auch im Hinblick auf juristische Zugriffs- und Auswertungsbefugnisse, ist sein Sitz. Aufgrund besonderer nationaler Gesetze können Behörden und staatliche Institutionen Zugriff auf Daten erlangen, obwohl dieser durch die vertraglichen Vereinbarungen zwischen Cloud-Nutzer und Cloud-Anbieter eigentlich ausgeschlossen sein sollte. Ein Beispiel für ein solches nationales Gesetz ist der sogenannte US-amerikanische Patriot Act. Das Gesetz erlaubt staatlichen US-Behörden nicht nur auf Cloud-Daten zuzugreifen, die in den USA gespeichert und/oder verarbeitet werden, sondern auch auf Daten, die ausschliesslich auf europäischen Datenspeichern liegen. Voraussetzung hierfür ist, dass der Cloud- Seite 3 von 9

4 Anbieter seinen Sitz in den USA hat. Dies gilt auch für rechtlich eigenständige Tochterunternehmen, die selbst keine Niederlassung in den USA haben. Eine Verschlüsselung der Daten durch einen Cloud- Anbieter mit Sitz in den USA bietet hier keinen Schutz, da starke Verschlüsselungsmethoden unter das Kriegswaffenkontrollgesetz fallen und die verwendeten Schlüssel auf Anforderung der US-Behörden ausgehändigt werden müssen. Auch in anderen Ländern verfügen Behörden über ähnliche Befugnisse, zum Bespiel in Grossbritannien aufgrund des sog. Regulation of Investigatory Powers Act (RIPA, 2000). Neben den Zugriffen durch staatliche Behörden behalten sich Cloud-Anbieter insbesondere auch in Indien, China und den arabischen Staaten vor, Inhalte zu kontrollieren, Daten zu löschen oder Zugriffe zu sperren, wenn der Eindruck entsteht, dass Inhalte gegen Regelungen oder Moralvorstellungen verstossen. Diese Massnahmen müssen sich jedoch nicht zwangsläufig nur gegen den Cloud-Nutzer richten. Beispielsweise wurden die Inhalte des Anbieters Megaupload vollständig durch die US-Behörden gesperrt, unabhängig, ob die entsprechenden Inhalte und deren Nutzung legal waren oder nicht. 3 Vertraulichkeit und Integrität von Daten in der Cloud Technische Aspekte Neben den beispielhaft genannten regionalen Regularien und Gesetzen in Bezug auf Vertraulichkeit und Integrität von Daten in der Cloud gibt es noch eine Vielzahl von technischen Aspekten, die vor der Nutzung von Cloud-Dienstleistungen abzuwägen sind. Einige wichtige Fragestellungen an den Cloud-Anbieter sind deshalb: Welche Sicherheitsmassnahmen wurden in Bezug auf Datenvertraulichkeit und -integrität ergriffen? Wie werden unautorisierte Zugriffe durch privilegierte Benutzer (Administratoren, Superuser etc.) verhindert? Welche Ereignisse werden überwacht und in welcher Form aufgezeichnet? Wer hat Zugriff auf diese Aufzeichnungen? Besteht die Möglichkeit der Auditierung der Cloud-Infrastruktur zur Klärung z.b. folgender Fragen: Gibt es bekannte Schwachstellen der eingesetzten Plattformen und Applikationen? Gibt es bekannte Schwachstellen der eingesetzten Virtualisierungstechniken? Werden potentiell unsichere Programmierschnittstellen eingesetzt, die geeignet sind, sich unautorisierten Zugriff auf Daten zu verschaffen oder diese zu verändern? Wie wird auf Vorfälle reagiert und wie sind die Haftungsregelungen im Schadensfall? Werden vom Cloud-Anbieter Standard-Dienste oder proprietäre Techniken eingesetzt, die den Wechsel zu einem anderen Cloud-Anbieter erschweren könnten? Und nicht zuletzt: wie ist sichergestellt, dass bei Beendigung der Nutzung von Cloud-Dienstleistungen alle Daten inkl. Backups sicher und ausnahmslos aus der Cloud gelöscht werden? Diese Fragestellungen dienen als Einstieg in die verschiedenen Themenkreise, welche mit dem Cloud- Anbieter zu diskutieren sind. In den nachfolgenden Kapiteln werden diese Themenkreise etwas ausführlicher erläutert. 3.1 Datenvertraulichkeit und integrität Daten in der Cloud sollten aus Sicht des Nutzers vertraulich behandelt und nicht unberechtigt verändert werden können. Aus diesem Anspruch erwachsen einige Anforderungen, deren technische Umsetzung situativ geprüft und/oder verlangt werden muss Datenvertraulichkeit Typischerweise kommen zur Sicherstellung der Vertraulichkeit von schützenswerten Daten kryptographische Verfahren zum Einsatz. Grundsätzlich kann die Verschlüsselung der Daten bereits in der Infrastruktur des Cloud-Nutzers vor dem Transport in die Cloud erfolgen (z.b. mit dem symmetrischen Kryptosystem Advanced Encryption Standard (AES). Oder die Verschlüsselung geschieht erst während der Speicherung beim Cloud-Anbieter. Die Verschlüsselung der Daten beim Cloud-Anbieter kann je nach Cloud- Service-Modell (SaaS -> PaaS -> IaaS, siehe Kapitel 1.1) unterschiedlich schwierig zu bewerkstelligen sein. Ebenfalls kann der Transportkanal selbst von und zum Cloud-Anbieter verschlüsselt werden. Hier ist die Verwendung des Netzwerkprotokolls Transport Layer Security (TLS) ein gängiges Verfahren. Der Cloud-Nutzer muss sich des Weiteren im Klaren darüber sein, wie lange seine Daten wirklich schützenswert sind und vor wem er sie schützen will. Vereinfacht ausgedrückt ergibt sich die Stärke eines kryptografischen Algorithmus u.a. aus der Anzahl von Rechenoperationen, die es braucht, um den verwendeten Schlüssel zu berechnen. Hieraus ergibt sich, dass die Gefährdung durch einen potentiellen Angreifer in direkter Beziehung steht zu der Rechnerleistung, die diesem für diese Berechnung zur Verfügung stehen könnte (Beispiele: Skriptkiddie mit Home-Computer, National Security Agency (NSA) mit hochskalierbarer Rechnerleistung). Abhängig davon ist ein Verschlüsselungsalgorithmus zu wählen, welcher mindestens für den nötigen Zeitraum als sicher betrachtet werden kann. Verschiedene Institutionen wie NIST, die Deutsche Bundesnetzagentur und das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch das European Network of Excellence in Cryptology II (ECRYPT II) geben konkrete Empfehlungen zu geeigneten Algorithmen ab (siehe Kapitel 5). Seite 4 von 9

5 Neben der Auswahl und Anwendung geeigneter Verschlüsselungsverfahren muss das verwendete Schlüsselmaterial sicher verwahrt werden. Einige Cloud- Anbieter erlauben dem Nutzer die Daten direkt in der Cloud über einen ihrer Dienste zu verschlüsseln. Dies führt jedoch direkt zur Frage wie das Schlüsselmaterial selbst beim Cloud-Anbieter geschützt ist und ob das dem Schutzbedarf des Nutzers genügt. Wie in der klassischen Informatik drängt sich auch beim Einsatz von Cloud-Dienstleistungen die Verwendung eines Hardware Security Moduls (HSM) auf, das wegen seiner integrierten und geschützten Funktionen die sichere Aufbewahrung und Verwendung des Schlüsselmaterials ermöglicht. Alternativ kann auch die kombinierte Verwendung verschiedener Clouds und/oder verschiedener Cloud- Anbieter in Betracht gezogen werden. So kann heute die Funktionalität eines HSMs ebenfalls als Cloud- Service bezogen werden, was bedeutet, dass das eingesetzte Schlüsselmaterial ebenfalls in einer Cloud hinterlegt werden kann. Dies kann dann sinnvoll sein, wenn zwischen dem Cloud-Anbieter des HSM- Dienstes und dem mit der Datenspeicherung beauftragten zweiten Cloud-Anbieter keine rechtlichen und operativen Abhängigkeiten bestehen. Eine spezielle Variante für den Einsatz kryptografischer Verfahren ergibt sich, wenn Daten dem Cloud- Anbieter nicht nur zur Speicherung, sondern auch zur Verarbeitung überlassen werden. In den allermeisten Fällen müssen diese Daten vor Verarbeitung aufgrund technischer Notwendigkeiten entschlüsselt und somit dem Cloud-Anbieter im Klartext zugänglich gemacht werden. Abbildung 2: Klassische Verarbeitung im Klartext Abhilfe schaffen könnten hier künftig sogenannte voll homomorphe Verschlüsselungsverfahren. Eine voll homomorphe Verschlüsselung erlaubt Operationen auf verschlüsselten Daten durchzuführen, ohne diese für die Ausführung der Operationen tatsächlich entschlüsseln zu müssen, d.h. ohne auf den Klartext zuzugreifen. Abbildung 3: Voll homomorphe Verschlüsselung Bei diesem von Craig Gentry 2009 vorgestellten Verfahren werden an verschlüsselten Daten mathematische Standard-Operationen wie Addieren und Multiplizieren vorgenommen, die sich dann im entschlüsselten Ergebnis widerspiegeln, als ob die Operationen an den Originaldaten vorgenommen worden wären. Mit der Etablierung dieser Mechanismen könnte sich dann das volle Potenzial des Cloud-Computing entfalten. Da dieses Verfahren jedoch enorm rechenintensiv ist und die Entwickler im Bereich von einfachen binären Operationen mit massiven Performanceproblemen zu kämpfen haben, ist das Verfahren aus kommerzieller Sicht heute noch nicht marktreif Datenintegrität Der Nutzer einer Cloud-Dienstleistung will nicht nur sicher sein, dass die Vertraulichkeit seiner Daten gewährleistet ist, die Daten sollten auch nicht unbemerkt manipuliert werden können. Um Integritätsverletzungen insbesondere von Daten, die nicht verschlüsselt werden oder nicht verschlüsselt werden können, feststellen zu können, werden in der Regel kryptografische Prüfsummen (Hashes) der Daten berechnet. Eine nachträgliche Veränderung eines Datenfragmentes führt zu einem veränderten Hash-Wert, wodurch im Vergleich zum ursprünglichen Hash-Wert die Manipulation festgestellt werden kann. Somit sind es plötzlich nicht mehr nur die Daten selbst, die vor Manipulation geschützt werden müssen, sondern auch die Prüfsummen dieser Daten. Analog zum Schlüsselmaterial sollten auch die Prüfsummen aus diesem Grund bei einem vertrauenswürdigen Dritten bzw. bevorzugt in der eigenen Infrastruktur hinterlegt werden. Vor jedem Zugriff auf Daten in der Cloud findet dann eine Prüfung der neu berechneten Hash-Werte der Daten gegen die an anderer Stelle archivierten Vergleichswerte statt. Nicht unerwähnt bleiben sollte an dieser Stelle, dass der Abgleich der Prüfsummen zu einem spürbaren Performance-Verlust beim Datenzugriff führen kann. Wird die Datenintegrität verletzt, müssen die Daten nach Behebung des Problems wiederhergestellt wer- Seite 5 von 9

6 den. Die Wiederherstellung dieser Daten muss ebenfalls aus einer vertrauenswürdigen Quelle erfolgen. Aus diesem Grund ist es zu empfehlen, Datensicherungen stets bei einem Dritten oder in den eigenen Infrastrukturen zu halten. 3.2 Privilegierte Zugriffe Auf Daten in der Cloud sollen ausschliesslich Zugriffe durch ausreichend authentifizierte und autorisierte Personen erfolgen können. Für diesen Benutzerkreis lässt sich das Problem auf Seiten des Cloud-Nutzers über die Anwendung standardisierter Verfahren für die Authentifizierung und die Vergabe von Berechtigungen lösen. Eine Herausforderung sind jedoch stets die privilegierten Benutzer des Cloud-Anbieters, z.b. Administratoren und Datensicherungsverantwortliche. Erstere verfügen in der Regel über weitreichende Rechte, die es theoretisch ermöglichen, das vorgesehene formelle Verfahren zu unterlaufen und sich unbemerkt ein Datenzugriffsrecht selbst zuzuweisen. Das für das Backup verantwortliche Personal wiederum besitzt naturgemäss die Möglichkeit, mittels technischer Konten Vollzugriff auf Daten zu erhalten, um diese vollständig sichern zu können. Auch in einer selbstadministrierten Cloud sollte der Anbieter deshalb detailliert ausweisen können, wie die eigenen Administratoren von unbefugtem Datenzugriff abgehalten werden und wie die Nachvollziehbarkeit sichergestellt wird. Beispiel hierfür ist die Protokollierung - dabei zu beachten ist, dass die Protokolle ebenfalls durch geeignete Massnahmen vor Manipulation geschützt werden müssen. 3.3 Logging Die sichere Erstellung und Aufbewahrung von Loginformationen gilt nicht nur für privilegierte Zugriffe, sondern ist je nach Gesetzgebung, welcher der Cloud- Nutzer unterliegt, auch für ordentliche Geschäftstransaktionen notwendig. Die Technologien dafür sind grundsätzlich vorhanden (automatisches Wegschreiben der Loginformationen, nummerierte und signierte Logeinträge, usw.), doch kann der Cloud-Anbieter diese Anforderungen auch unterstützen? Wie werden die Aktionen von hoch privilegierten Benutzern aufgezeichnet, im Speziellen, wenn sie Mandantenübergreifenden Zugriff haben? Wie kann der Cloud- Nutzer auf diese Informationen zur Überprüfung zugreifen? Und wer ist eigentlich der rechtliche Eigentümer der Loginformationen: der Cloud-Nutzer oder der Cloud-Anbieter (vgl. Kapitel 2)? Logfiles enthalten meist auch Informationen, die Rückschlüsse auf die Daten des Cloud-Nutzers zulassen. Je nach Granularität der Loginformationen lassen sich explizite Nutzerprofile erstellen und gar Verhaltensanalysen betreiben, woraus Vertraulichkeitsanforderungen an die Logfiles selbst entstehen können. Die Anforderungen im Bereich Logging variieren genauso stark wie die Unterstützungsangebote der Cloud-Anbieter, was jede Servicenutzung zu einem Individualfall macht, der spezifisch betrachtet werden muss. 3.4 Cloud-Infrastruktur Die Cloud-Infrastruktur hat auf Grund ihrer virtualisierten und stark verteilten Architektur einige Besonderheiten, die in Bezug auf Vertraulichkeit und Integrität zu betrachten sind Virtualisierungstechnik / Hypervisor Der Hypervisor ist das Kernstück der Cloud- Infrastruktur, virtualisiert er doch die verschiedenen durch den Cloud-Anbieter angebotenen Komponenten wie Storage, Netzwerk und Betriebssysteme. Der Hypervisor stellt auch die Mandanten-Trennung sicher und ist daher in Bezug auf die Sicherheit eine zentrale Komponente. Bringt ein Cloud-Nutzer den Hypervisor unter seine Kontrolle, kann er problemlos auf die Daten anderer Mandanten zugreifen. Auch können Softwarefehler innerhalb der Virtualisierungstechnik die Datenvertraulichkeit und/oder integrität verletzen. Der Cloud-Nutzer ist also daran interessiert, dass sein Cloud-Anbieter ein Patch- und Release-Management vorweisen kann, welches zeigt, dass auch die Hypervisor-Komponente stets auf dem vom Hersteller empfohlenen Stand gehalten wird. Je nach eingesetzter Technologie sind zudem weitere Schutzmechanismen wie die periodische Integritätsprüfung des Hypervisors empfehlenswert Applikationen in virtualisierten Umgebungen (Cloud-Service-Modell SaaS ) Neben Softwarefehlern in der Virtualisierungstechnik sind auch Applikationen, die in einer virtualisierten Umgebung betrieben werden, eine potentielle Risikoquelle. Cloud-Anbieter und Cloud-Nutzer wollen sicher sein, dass die eingesetzte Software sowohl für die Cloud-Systeme, als auch für die darauf betriebenen Applikationen integer ist. Daher ist sicherzustellen, dass es sich bei der einzusetzenden Software tatsächlich um die vom Hersteller vertriebene Version handelt und dass keine Schadsoftware eingeschleust wurde. Auch hier kommen Signaturen und teilweise PKI Verfahren zum Einsatz, z.b. bei mit digitalen Zertifikaten signiertem Programmcode Verwaltungsschnittstellen Ebenso kritisch sind die Schnittstellen für die Verwaltung der Cloud-Komponenten. Über diese werden u.a. die Cloud-Dienste verwaltet und gesteuert, Infrastrukturressourcen alloziert und freigegeben. Unterschiedliche Arten und Nutzung der Schnittstellen können differenzierte Schutzmassnahmen erforderlich machen. Die Schnittstellen müssen aber mindestens sicherstellen, dass die auszuführenden Befehle nur von vertrauenswürdigen Instanzen kommend erteilt werden und bis bzw. während der Ausführung nicht verändert wurden. Kryptografische Mechanismen übernehmen diese Funktion durch Verwendung standardisierter Protokolle wie das bereits genannte TLS. Seite 6 von 9

7 3.4.4 Konfigurations- und Change Management des Cloud-Anbieters Wie in allen IT Umgebungen sind auch in Cloud- Infrastrukturen Konfigurationen von essenzieller Bedeutung. Diese heiklen Komponenten müssen ebenfalls vor unautorisierten Manipulationen geschützt werden. Hier ist der Cloud-Anbieter aufgerufen dafür zu sorgen, dass nur die notwendigen Änderungen durch autorisiertes Personal vorgenommen werden und diese notfalls vor Produktivsetzung mittels Vieraugenprinzip überprüft werden. Für den Cloud-Nutzer empfiehlt sich eine genaue Prüfung der Konfigurationsund Change Management-Dokumentation des Cloud- Anbieters, um betriebliche Risiken vor dem Einstieg in das Cloud-Computing abschätzen zu können. 3.5 Datenlöschung Einleitend ein kleiner Exkurs, um die Problematik der Datenlöschung in der Welt des Cloud Computings zu beleuchten: In der heutigen Zeit nicht mehr wegzudenken ist der Upload von Fotos über Smartphones zum Beispiel auf eine Social Media-Plattform wie Facebook, Google+ oder in die Apple icloud. Dies geschieht in der Regel in dem Glauben, dass der Cloud-Nutzer die Eigentumsrechte an den Fotos auch nach dem Hochladen in die Cloud behält und diese jederzeit löschen kann, wenn er das möchte, bzw. diese vollständig gelöscht werden, sobald das Vertragsverhältnis mit dem Cloud-Anbieter beendet wird. Bei Facebook im Speziellen gehen die Rechte an einem Foto aufgrund der Nutzungsbestimmungen mit dem Upload in die Cloud auf Facebook über, in der Regel ohne dass dies dem Cloud-Nutzer bewusst ist. Abgesehen davon, dass sich Facebook schlicht weigert oder es unerwähnt unterlässt, Daten vollständig zu löschen, stellt sich die Frage, ob es technisch überhaupt möglich ist - und wie es der Cloud-Nutzer kontrollieren könnte. Um Hochverfügbarkeit sicherzustellen, werden Daten und Datenfragmente in Clouds meist mehrmals kopiert und auf verschiedenen (virtuellen) Systemen abgelegt und müssen vom Cloud-Anbieter synchron gehalten werden. Dass diese virtuellen Systeme bei Bedarf durch die Cloud dynamisch erzeugt, genutzt und zur Lastoptimierung auch automatisch verschoben werden, verkompliziert die Sache weiter. Eine nachweislich korrekte und vollständige Löschung der Daten eines Cloud-Nutzers kann deshalb meist nicht vorgenommen werden. Auch wird eine solche Kontrolle durch die meisten Cloud-Anbieter nicht unterstützt. Dem Cloud-Nutzer bleibt schlussendlich nichts anderes übrig, als dem Anbieter zu vertrauen, dass seine Daten und alle davon erstellten Kopien vollumfänglich gelöscht wurden. Oder zu akzeptieren, dass Kopien beim Cloud-Anbieter verbleiben. 4 Fazit Dynamische Skalierbarkeit, hohe Verfügbarkeit und geringere Kosten gegenüber dem klassischen IT- Betrieb sind die Treiber des Cloud-Computing- Ansatzes. Gegenüber dem exklusiven Betrieb in einer Private Cloud bietet die Inanspruchnahme von allgemein beziehbaren Public Cloud-Bereitstellungsmodellen in der Regel das höhere Potenzial. Jedoch ist insbesondere bei der Nutzung von Public Cloud-Bereitstellungsmodellen in einem ersten Schritt zu prüfen, welche gesetzlichen und branchenspezifischen Anforderungen für die Auslagerung von Daten in die Cloud für den Cloud-Nutzer gelten und wie diese erfüllt werden können. Werden darüber hinaus Personendaten aus der Schweiz in einen Drittstaat ausgeführt, ist vom Cloud- Nutzer sicherzustellen, dass ein angemessenes Datenschutzniveau im Drittstaat sichergestellt ist. Nachfolgende Grafik zeigt exemplarisch, wie unterschiedlich dieses Datenschutzniveau definiert sein kann. Abbildung 4: Datenschutz in Drittländern Wenn diese Voraussetzungen erfüllt sind, gilt es in einem zweiten Schritt die Sicherheitsanforderungen des Cloud-Nutzers zu bestimmen und diese mit konventionellen, situativ zu implementierenden Massnahmen abzudecken. Die in diesem Whitepaper hauptsächlich angesprochenen Massnahmen sind: Die Verwendung kryptografischer Verfahren zur Sicherstellung der Vertraulichkeit von schützenswerten Daten. Potential für die Zukunft bietet die voll homomorphe Verschlüsselung. Die Verwendung kryptografischer Prüfsummen zur Sicherstellung der Datenintegrität. Benutzerzugriffe und hier insbesondere Zugriffe privilegierter Benutzer müssen ausreichend authentifiziert und autorisiert sein. Benutzerzugriffe müssen protokolliert und die Logfiles sicher aufbewahrt und vor Manipulation geschützt werden. Seite 7 von 9

8 Der Schutz der Cloud-Infrastruktur: Hypervisor, Applikationen, Verwaltungsschnittstellen. Formalisierte Verfahren für das Konfigurationsund Change-Management. Wichtig ist ebenfalls, die Entwicklung am Markt zu beobachten. Es werden laufend neue Standards, Frameworks etc. entwickelt, welche die Sicherheitsbedürfnisse von Cloud-Nutzern adressieren. Auch wenn zurzeit beispielsweise Risk Assessments im Cloud- Bereich noch nicht standardisiert sind, existieren bereits erste Entwürfe für solche Standards, welche es künftigen Cloud-Nutzern einfacher machen, Risiken abzuschätzen und Cloud-Anbieter gegeneinander zu vergleichen. Zusammenfassend sind eine Vielzahl von Themen und Aspekten zu berücksichtigen. Die betriebswirtschaftliche Würdigung der Kosten-Nutzen-Relation wurde eingangs erwähnt. Diese sollte ergänzt werden durch ein strukturiertes Risikomanagementverfahren (Identifikation, Analyse und Bewertung von Risiken), das den Umständen und Bedürfnissen Ihrer individuellen Organisation Rechnung trägt. Gerne unterstützen wir auch Sie auf Ihrem erfolgreichen Weg in die Cloud. Und bei Bedarf auch wieder hinaus! Die In&Out AG unterstützt ihre Kunden seit Jahren bei der Umsetzung komplexer Fragestellungen in den Bereichen IT Risk & Security Management sowie Security Architektur & Design. Hochwertige, dienstleisterunabhängige und neutrale Security Assessments gehören zu unseren Kernkompetenzen. 5 Weiterführende Quellen 1. EuroCloud Swiss: Leitfaden Cloud- Computing (2012) 2. BSI Eckpunktepapier: Sicherheitsempfehlungen für Cloud-Computing-Anbieter (2012) 3. Hansen, Marit: Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud- Zeitalter (2012) 4. NIST The Definition of Cloud Computing, Pub (2011) 5. Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing (2011) 6. Trusted Computing Group Cloud Computing and Security A Natural Match (2010) 7. Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet: 827/index.html 8. Deutsche Bundesnetzagentur: Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen), Seite 10ff. (2011) 9. European Network of Excellence in Cryptology II (ECRYPT II): Seite 8 von 9

9 Die In&Out AG Die In&Out AG erbringt Consulting- und Engineering- Dienstleistungen im Bereich von Enterprise IT Plattformen. Seit ihrer Gründung 1993 ist die In&Out AG wirtschaftlich unabhängig von Produkte- und Lösungsanbietern. Unser Angebot umfasst die Entwicklung von Strategien sowie die Evaluation und Konzeption von IT Lösungen. Zusätzlich unterstützen wir unsere Kunden bei der Implementierung, dem Test und Betrieb von leistungsfähigen und sicheren IT Lösungen. Die Autoren Marcel Liebi Senior Security Consultant Jörg Poell Senior Security Consultant & IT Auditor Security Management Im heutigen Geschäftsumfeld ist die Einhaltung der Vorgaben aus Governance, Risk und Compliance ein entscheidender Vorteil. Sie bildet die Grundlage für eine leistungsfähige Sicherheitsarchitektur und ein effektives Information Security Management. Unsere Spezialisten unterstützen Sie dabei, diese essentiellen Sicherheitsthemen zu meistern. Security Services Neue Technologien und Konzepte bedeuten zunehmende Komplexität und stellen hohe Ansprüche an die Administration elektronischer Identitäten. Unser Knowhow im Identity & Access Management setzen wir bei der Konzeption und Umsetzung von sicheren Lösungen für die Verwaltung und Verteilung Ihrer Benutzeridentitäten ein. Zusätzlich gehören die Kommunikationssicherheit, Kryptographie, Dokumenten- und die Plattformsicherheit zu unseren Kernkompetenzen. $ Seite 9 von 9

«EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

«EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... «EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... 19.09.2013 In&Out AG IT Consulting & Engineering info@inout.ch www.inout.ch CLOUD SECURITY VERTRAULICHKEIT UND INTEGRITÄT VON DATEN Jörg Poell, Senior IT Security

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Die wichtigsten rechtlichen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Prof. Dr. Britta Böckmann Ausgangssituation Telemedizin noch kein Bestandteil

Mehr

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

DFN-AAI Sicherheitsaspekte und rechtliche Fragen DFN-AAI Sicherheitsaspekte und rechtliche Fragen Ulrich Kähler, DFN-Verein kaehler@dfn.de Seite 1 Gliederung Sicherheitsaspekte Rechtliche Fragen Seite 2 Sicherheit Die Sicherheit in der DFN-AAI ist eine

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

smis_secure mail in der srg / pflichtenheft /

smis_secure mail in der srg / pflichtenheft / smis_secure mail in der srg / pflichtenheft / Dok.-Nr: Version: 1.1 PH.002 Status: Klassifizierung: Autor: Verteiler: Draft Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep Pflichtenheft, Seite 2 / 2 Änderungskontrolle

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Trusted Network Connect

Trusted Network Connect Trusted Network Connect Workshoptag 22.11.2007 Steffen Bartsch Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

Projektvorstellung "Cloud"

Projektvorstellung Cloud IT-Sicherheit (Aufbaukurs) WS11/12 Katja Ziesch, Franziska Rumpelt, Erik Pätz 10MIM HTWK Leipzig - Hochschule für Technik, Wirtschaft und Kultur Leipzig, 1. Februar 2012 Inhalt 1 Servicemodelle 2 Virtualisierung

Mehr

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH

Cloud Computing. ITA Tech Talk, Oberursel, 28.09.2010. Nicholas Dille IT-Architekt, sepago GmbH Cloud Computing ITA Tech Talk, Oberursel, 28.09.2010 Nicholas Dille IT-Architekt, sepago GmbH Wer ist Nicholas Dille? IT-Architekt bei der sepago Strategieberatung Technische Konzeption Kernkompetenzen

Mehr

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten Inhalt 1. Einführung Geschichte 2. Grundidee der Cloud-Technik (Virtualisierung, Skalierbarkeit,

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Rechtliche Anforderungen bei Cloud Computing

Rechtliche Anforderungen bei Cloud Computing Rechtliche Anforderungen bei Cloud Computing Risk in der Cloud Was steckt wirklich hinter diesem Begriff? SGRP-Frühlingsevent vom 05. Mai 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

Das Recht auf Privatsphäre im Digitalen Zeitalter, 24. November 2015

Das Recht auf Privatsphäre im Digitalen Zeitalter, 24. November 2015 Big Data und Cloud Services Das Recht auf Privatsphäre im Digitalen Zeitalter, 24. November 2015 Aus der Sicht Informationssicherheit 24.11.2015 Max Haefeli, Leiter SIK Arbeitsgruppe Informatiksicherheit

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

(Oracle) BPM in der Cloud

(Oracle) BPM in der Cloud ti&m seminare (Oracle) BPM in der Cloud Integration, Chancen und Risiken Alexander Knauer Architect ti&m AG Version 1.0 28. Januar 2013 ti&m AG Buckhauserstrasse 24 CH-8048 Zürich Belpstrasse 39 CH-3007

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Datenschutzerklärung und Informationen zum Datenschutz

Datenschutzerklärung und Informationen zum Datenschutz Datenschutzerklärung und Informationen zum Datenschutz Informationen zum Datenschutz in den Produkten TAPUCATE WLAN Erweiterung Stand: 04.06.2015 Inhaltsverzeichnis 1) Vorwort 2) Grundlegende Fragen zum

Mehr

MimoSecco. Computing. Cloud. CeBIT, Hannover 01. 05.03.2011

MimoSecco. Computing. Cloud. CeBIT, Hannover 01. 05.03.2011 MimoSecco Middleware for Mobile and Secure Cloud Computing CeBIT, Hannover 01. 05.03.2011 Cloud Computing verspricht... eine gute Auslastung von Servern, immer aktuelle Software, überall konsistente Daten,

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

Malte Hesse Hesse@internet-sicherheit.de

Malte Hesse Hesse@internet-sicherheit.de Sichere Integration mobiler Nutzer in bestehende Unternehmensnetzwerke DACH Mobility 2006 Malte Hesse Hesse@internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule

Mehr

Virtualisierung im Rechenzentrum

Virtualisierung im Rechenzentrum in wenigen Minuten geht es los Virtualisierung im Rechenzentrum Der erste Schritt auf dem Weg in die Cloud KEIN VOIP, nur Tel: 030 / 7261 76245 Sitzungsnr.: *6385* Virtualisierung im Rechenzentrum Der

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Sophie Friedrich, Nicholas Höllermeier, Martin Schwaighofer 11. Juni 2012 Inhaltsverzeichnis Einleitung Motivation Mathematische Definitionen Wiederholung Gruppe Ring Gruppenhomomorphisums

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Einfach und sicher als Managed Service Vorteile für Ihr Unternehmen Rechtliche Sicherheit Geltende rechtliche Anforderungen zwingen jedes Unternehmen, E-Mails über viele

Mehr

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung

Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Düsseldorf, 26. Juni 2014 Möglichkeiten der Nutzung von Cloud Services in der öffentlichen Verwaltung Dr. Martin Meints, IT-Sicherheitsbeauftragter 3 ist der Full Service Provider für Informationstechnik

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Cloud 2012 Schluss mit den rechtlichen Bedenken! Cloud 2012 Schluss mit den rechtlichen Bedenken! RA Jan Schneider Fachanwalt für Informationstechnologierecht Roadshow Informationssicherheit in der Praxis Bochum, 11. September 2012 Ist die (Public-)Cloud

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011 Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Sicherheit die Herausforderungen beim Outsourcing

Sicherheit die Herausforderungen beim Outsourcing Sicherheit die Herausforderungen beim Outsourcing Rolf Oppliger / 29. August 2012 Übersicht #1: Kontrolle und Verfügbarkeit #2: Vertraulichkeit Schlussfolgerungen und Ausblick 2 1 Outsourcing Auslagerung

Mehr

OmniCloud. Sichere Nutzung von Cloud-Speicherdiensten. Ruben Wolf (Fraunhofer SIT)

OmniCloud. Sichere Nutzung von Cloud-Speicherdiensten. Ruben Wolf (Fraunhofer SIT) OmniCloud Sichere Nutzung von Cloud-Speicherdiensten Ruben Wolf (Fraunhofer SIT) Sicus e.v. AK Datenschutz & Security AK Identity & Access Management 25.04.2013 ThyssenKrupp, Essen Inhalt 1. Sicherheit

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Erfinderland Deutschland Baukasten Forschung Themenbereich: Informatik Niveau B1 CLIL-Unterrichtsmaterialien Vor dem Ausstellungsbesuch

Erfinderland Deutschland Baukasten Forschung Themenbereich: Informatik Niveau B1 CLIL-Unterrichtsmaterialien Vor dem Ausstellungsbesuch Seite 1 von 5 Erfinderland Deutschland Baukasten Forschung Themenbereich: Informatik CLIL-Unterrichtsmaterialien Vor dem Ausstellungsbesuch Aufgabe 1: Daten in der Wolke a. Seht das Bild an und tauscht

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr