Zertifizierung von Cloud Information Security?

Transkript

1 Uwe Rühl Zertifizierung von Cloud Information Security? ISO/IEC und ISO/IEC was geht und was geht nicht. CEBIT 2017 RUCON Gruppe

2 Die RUCON Gruppe Unsere Schwerpunkte: Informationssicherheitsmanagement (ISMS) Business Continuity Management (BCMS) Risikomanagement Krisenmanagement Integrierte Managementsysteme Wir sind auch als berufene Auditoren unterwegs. RUCON Service GmbH (Services) RUCON Management GmbH (Projekte) RUCON System GmbH (Systeme) RUCON Gruppe 2

3 Agenda Ab in die Cloud Was ist die Cloud? Wolkige Mythen Was sagt die ISO/IEC Reihe dazu? Was sind die Herausforderungen? Der wolkige Ausblick RUCON Gruppe 3

4 Ab in die Cloud Was ist die Cloud?

5 Definition: Cloud Computing Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne aufgerufen wird. Vgl.: RUCON Gruppe 5

6 Definition durch NIST - Servicemodelle IaaS Infrastructure as a Service PaaS Platform as a Service SaaS Software as a Service NIST National Institute of Standards and Technology RUCON Gruppe 6

7 Definition durch NIST - Liefermodelle Public Cloud Private Cloud in einer Organisation Hybrid Cloud Mischung a) und b) Community Cloud geschlossener Nutzerkreis Virtual Private Cloud öffentliche Infrastruktur, aber geeignete Abschottung NIST National Institute of Standards and Technology RUCON Gruppe 7

8 Charakteristika nach NIST Selbstzuweisung von Leistungen (self-service provisioning) Skalierbarkeit (scalability) Zuverlässigkeit und Ausfalltoleranz (reliability und fault-tolerance) Optimierung und Konsolidierung Qualitätssicherung (QoS) NIST National Institute of Standards and Technology RUCON Gruppe 8

9 Definition in ISO/IEC RUCON Gruppe 9

10 Definition in ISO/IEC Public Cloud Service Provider Party which makes cloud service available according to the public cloud model. RUCON Gruppe 10

11 Wolkige Mythen

12 Lassen Sie uns zwei Extreme anschauen Die Anbieter wissen schon, was Sie tun. Außerdem müssen sie sich ja an das geltende Recht halten und das Recht schützt uns RUCON Gruppe 12

13 Quelle: Abruf: RUCON Gruppe 13

14 Wie sicher sind diese Dienste? Technisch sind alle Cloud-Dienste sicher. Das heißt: Die Datenkommunikation zwischen lokalem Rechner und dem Internet-Dienst geschieht verschlüsselt, sodass Unbefugte den Verkehr nicht einfach mitschneiden können. Zudem ist der Zugriff auf einen Cloud-Dienst passwortgeschützt. Weil Hacker- Angriffe dennoch nie auszuschließen sind, sollten Anwender bei der Nutzung von Cloud-Diensten ähnlich verfahren wie bei sozialen Netzwerken, etwa bei Facebook: Ausschließlich in die Cloud sollten grundsätzlich nur Dateien und Informationen, deren Verlust schlimmstenfalls verschmerzbar ist. Quelle: Michael Kroker, Cloud. Was Sie über die Wolke wissen müssen (in Wirtschaftswoche online), Abruf RUCON Gruppe 14

15 Und jetzt das andere Extrem Alles wird mitgelesen. Die Geheimdienste, die Dienstanbieter Die einen wollen nur Kohle machen, die anderen uns gnadenlos überwachen RUCON Gruppe 15

16 Quelle: Der Geheimdienst liest mit (in Badische Zeitung online html, Abruf RUCON Gruppe 16

17 Und die Wahrheit? Die liegt wahrscheinlich irgendwo dazwischen RUCON Gruppe 17

18 Meine Meinung ist: Niemand ist eine abgeschottete Insel. Unternehmen müssen kommunizieren, müssen Informationen austauschen und Informationen bereitstellen. Eine Abschottungsstrategie wird uns nicht helfen. Ein blindes Vertrauen aber auch nicht. RUCON Gruppe 18

19 Was sagt die ISO/IEC Reihe dazu?

20 ISO/IEC & Cloud Computing Noch einmal: In der ISO/IEC gibt es keine Definition, was Cloud Computing bedeutet. Also: Halten wir uns am besten an NIST oder vergleichbare Definitionen! RUCON Gruppe 20

21 ISO/IEC Die ISO/IEC folgt dem Konzept der Organisation. Darum lassen Sie uns eine Organisation anschauen: RUCON Gruppe 21

22 Quelle: Hartmann Schedel, Weltchronik 1493, Blatt C RUCON Gruppe 22

23 ISO/IEC Empfehlungen auf 3 Ebenen Ebene Aspekte Abgrenzung (Beispiele) Organizational Scope ICT Scope Physischer Scope Geschäftsprozesse Unterstützungsprozesse Aktivitäten Informationsverarbeitende Einrichtungen IT Systeme Räume Racks Verträge Aufbau- und Ablauforganisation OLA`s Netzzonen ISO-OSI-Modell Zutrittskontrollierbare Bereiche RUCON Gruppe 23

24 Primary Assets (ISO 27005) Informationen Business Processes Information Processing Facilities (ISO/IEC 27000) (alternativ: Information Systems oder Business Services) Technical Services (Hilfsebene) Supporting Assets (ISO/IEC 27005) Hardware, Netzwerk, Software RUCON Gruppe 24

25 Ausgelagerte Prozesse Muss direkt gesteuert werden 8.1 A A A A Muss den Auftrag gebenden Unternehmen durch Auftragnehmer nachgewiesen werden A RUCON Gruppe 29

26 Was heißt das nochmal konkret? 1. Kenne Deinen Anwendungsbereich, vor allem seine Grenzen! 2. Kenne die Abhängigkeiten zu externen Dienstleistungserbringern! 3. Erkenne Deine Geschäftsinformationen und bewerte deren Wertigkeit ( Klassifizierung )! 4. Analysiere und behandle Risiken! 5. Behandle Beziehungen zu Dienstleistungserbringern abhängig der Risiken! RUCON Gruppe 30

27 Was sind die Herausforderungen?

28 Die Herausforderung Steigendes Interesse an sektorspezifischen Zertifizierungen ABER: ISO/IEC ist eine generelle Basis für ISMSe Zertifizierungsstellen können z.b. Cloud Service ISMS Zertifizierungen auf Basis ISO/IEC und ISO/IEC 27017/27018 anbieten Momentan sehen wir vor allem non-accredited Zertifizierungen wie CSA (Cloud Security Assessment)! RUCON Gruppe 36

29 ISO/IEC Implementation Guidance Additional guidance Reference ISO/IEC Cloud Service Provider ISO/IEC Cloud Service PII Implementation guidance ISO/IEC Sector specific ISMS ISO/IEC Requirements for Information Secuity Management Systems Certification Standard RUCON Gruppe 37

30 Fazit Es werden spezifische Zertifizierungen möglich, aber immer auf Basis eines ISMS nach ISO/IEC Sektorspezifische Normen konkretisieren, interpretieren, ergänzen ISO/IEC 27001, insbesondere Anhang A RUCON Gruppe 38

31 Kernthemen ISO/IEC und ISO/IEC Information Security Policy Roles and Responsibilities Access Control Cryptographic Controls Equipment and Assets Operations Security Information Transfer Information Security Incident Management Information Security Reviews Personally Identifiable Information (PII) Protection RUCON Gruppe 39

32 Unternehmensbefragung Im Rahmen der Masterarbeit Informationssicherheit in Lieferantenbeziehungen Supplier Management aus Sicht der ISO/IEC 27001:2013 Einfache Zufallsstichproben von Unternehmen D-A-CH Schriftliche Befragung über Online-Fragebogen 167 Rückläufer 82 % der Rückmeldungen aus Deutschland Jeweils 9 % aus Österreich und der Schweiz RUCON Gruppe 50

33 Hypothesen Informationsklassifizierung wird nur vereinzelt angewendet Unzureichende Kenntnis über rechtliche, behördliche und vertragliche Informationssicherheit vorhanden Konkrete Maßnahmen werden in der Minderheit vereinbart Überwachung erfolgt meist reaktiv Ein Kriterienkatalog für Maßnahmen wird für sinnvoll gehalten Eine Zertifizierung von Dienstleistern wird als hilfreich empfunden RUCON Gruppe 51

34 Der wolkige Ausblick

35 Alles kann, nichts muss Information Security sollte weder Enabler noch Bremser sein, sondern Prozessbegleiter. Wir kommen faktisch um Cloud Services nicht mehr herum. Informationsklassifizierung spielt eine wesentliche Rolle als Basis für risikoorientierte Maßnahmen. Zertifizierung von Cloud Services ist möglich und kann ein Element in der Dienstleistersteuerung sein. Herausforderung: legale, aber doch unerwünschte, Zugriffe auf Informationen und deren Auswertung RUCON Gruppe 53

36 Vielen Dank! Welche Fragen haben Sie noch?