Geschäftsprozesse in die Cloud - aber sicher! (... und compliant)
|
|
- Nicolas Krämer
- vor 8 Jahren
- Abrufe
Transkript
1 Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund 1
2 Herausforderung: Sicherheit und Compliance in der Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 2
3 Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 3
4 Herausforderung Compliance Steigende Anzahl von Regulierungen z.b. Finanzen: Solvency II, Basel III; Gesundheit: Medizinproduktegesetz (MPG); Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG) Steigende Komplexität des Compliance-Nachweises: Viele Facetten: Anforderungen an Geschäftsprozesse (Design + Ausführung), IT-Infrastruktur (+ deren Prozesse), deren Abhängigkeiten Wechselseitige Abhängigkeiten von Vorgaben Aggregation von Vorgaben bei komplexen IT-Systemen Cloud-Computing besondere Anforderungen Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 4
5 Sicherheit vs. Compliance: Regularien und Standards Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 5
6 Herausforderung: Komplexität Beispiel: MaRisk (VA) (Mindestanforderungen an das Risikomanagement im Versicherungswesen) Querverweise ausgehend von 10 (Ausschnitt) Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 6
7 Compliance-Szenarien in der Cloud Kunde -> Cloud: Sicherheits-Compliance: Sicherheitsprozesse der Cloud auf Compliance mit SLA Legale Compliance: Compliance vs. Auslagerung der Geschäftsprozesse Cloud -> Kunde: Sicherheits-Compliance: Überprüfung der Kundenprozesse auf Verstoß gegen Verhaltensbestimmungen Wichtig: Compliance bleibt in Verantwortung des Kunden! Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 7
8 Notwendig: Werkzeuge für Compliance-Management Manueller Nachweis aufwendig und kostenintensiv. Erforderliche Daten schwer manuell erfassbar. Prüfung einzelner Eigenschaften bereits komplex und umfangreich. Großer Bedarf an Compliance-Werkzeugen (1,3 Mrd.$ [Forrester 2011]) Werkzeuge: bislang i.w. Unterstützung der manuellen Dokumentation. Schwachpunkte: Automatisierte Erfassung / Analyse von Complianceanforderungen. Überwachung der Compliancevorgaben. Derzeitige Risiko-Bewertungsmethoden generell nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011 Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 8
9 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 9
10 Lösung: Werkzeuggestützte Compliance-Analysen Ziele: Bewältigung der Komplexität und Kostenersparnis durch werkzeuggestützte Compliance-Analysen. Bessere Überprüfbarkeit der Ergebnisse. Idee: Entwicklung Werkzeuge für: Management und Analyse von Compliance-Anforderungen mit vorhandenen Artefakten: Textdokumente, Software- / Geschäftsprozessmodelle, Logdaten Compliance- Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Expertensystem für Compliance Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 10
11 Projekt SecureClouds Werkzeugunterstützung für: Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit und Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheits- und Compliance-Garantien Unter Verwendung u.a.: Business process mining Untersuchung von Log-Daten Business process analysis Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 11
12 Integrierte Compliance Management Plattform: Workflow Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 12
13 Sicherheitsbedarfsanalyse: Unterstützte Regelwerke Import-Werkzeug: Regelwerke in Ontologie. Mögliche Eingaben z.b.: Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Kataloge Standards 100-1, 100-2, 100-3, Bundesgesetze ( z.b. Bundesdatenschutzgesetz Mindestanforderungen an das Risikomanagement MARisk VA (Versicherungen) ISO/IEC 2700x-Reihe ÄApprO BÄO ISO 9001 HKG KHBV BDSG GOÄ MPBetreibV HWG IfSG ISO Richtlinien- Pool Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 13
14 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Architekturebene Geschäftsprozesse Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 15
15 Analysewerkzeug CARiSMA Sicherheitsanalysen auf GP-/Softwaremodellen Eclipse Plugin-Architektur Integriert etablierte Modellierungswerkzeuge, z.b. Topcased Open Source Plattformunabhängig Erweiterbarkeit Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 16
16 Compliance-Analyse-Werkzeug CARiSMA: Architektur Wenzel, Humberg, Wessel, Poggenpohl, Ruhroth, Jürjens. 3rd Int. Conf. Cloud Computing and Services Science, 2013 CARiSMA Unterneh- mens- Daten Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 17
17 Architekturebene: Cloud- / Sicherheits-Modellierung mit UMLsec [N. Astahov 2014] Jan Jürjens: Automatische Validierung: Architekturebene 18
18 Architekturebene: Exploit-Checking für Cloud-Umgebungen Mittels Exploit-Datenbanken (Common Vulnerabilities and Exposures (CVE), Common Platform Enumeration (CPE), Common Vulnerability Scoring System (CVSS v2)) [M. Nimbs 2014] Jan Jürjens: Automatische Validierung: Architekturebene 19
19 Architekturebene: Architektur-basierte Risikoanalyse [F. Coerschulte 2014] Jan Jürjens: Automatische Validierung: Architekturebene 20
20 Analyse der Geschäftsprozesse Jan Jürjens: Automatische Validierung: Geschäftsprozesse 21
21 GP-Ebene: Textbasierte Risiko-Identifikation Jürjens et al., Journal of Software and Systems Modeling, 2011 Kunde stellt Anfrage zu Cloud-Service Dienstleister erhält Serviceanfrage Eingabe personenbezogener Daten Verschlüsselung und Authentifikation Prüfung der Daten Gefundene Pattern Aktivität [Kunde stellt Anfrage zu Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Identifizierte Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen (200.0) Ausdrücke 22 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 22
22 Compare GP-Ebene: Umsetzung Textbasierte Risiko-Identifikation Schlagwörtern wird Schutzbedarf zugeordnet. Bsp. Sozialversicherungsnummer personenbezogene Daten hoher Schutzbedarf gemäß 3 Abs. 8 BDSG darf nur innerhalb der EU verarbeitet werden Linguistic database Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Extension ~~~~, ~~~, ~~~~, ~~~, ~~,~~~~~~, ~~, ~~~,~~~~~, ~~, ~~~~,~~, ~~, ~~~,~~ Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Jan Jürjens: Automatische Validierung: Geschäftsprozesse 23
23 Text-basierte Risikoidentifikation: Textprozessor Jan Jürjens: Automatische Validierung: Geschäftsprozesse 24
24 GP-Ebene: Strukturbasierte Complianceanalyse J. Jürjens et al.. J. Inform. Management & Computer Security, 2013 Jürjens et al., Int. Journal on Intelligent Systems 25(8): (2010) 25 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 25
25 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 26
26 Compliance vs. Laufzeit-Daten Jürjens et al., Journal on Computers & Security 29(3): (2010) Business Process Mining: Prozesse aus Logdaten rekonstruieren A X C B Alternativ: Compliance- Monitoring auf Logdaten. Beispiel: 4-Augen-Prinzip Ereignisdaten ERP SCM WfMS CRM... Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 27
27 Roadmap Herausforderungen Lösungen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 28
28 Leistungen / Angebote des Fraunhofer ISST Machbarkeits- und Anforderungsanalysen für technologische, organisatorische und rechtliche Vorgaben zu Compliance, Risikomanagement, IT-Sicherheit. Ökonomische Bewertung von IT-Sicherheitsmaßnahmen hinsichtlich ihres Einsatzes in konkreten IT-Systemen. Beratung zu Compliance- und Sicherheitsaspekten während Entwicklung, Pflege und Einsatz von IT-Systemen. Durchführung von Risikoanalysen und Unterstützung beim Risikomanagement. Entwicklung von Analyse- und Monitoringwerkzeugen zur Überwachung von Geschäftsprozessen und IT-Systemen auf Compliance- und Sicherheitsanforderungen (z.b. Datenschutz und Datensicherheit). Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 29
29 Einige Referenz-Projekte Elektronische Gesundheitskarte Sicherheitsrichtlinien für mobile Endgeräte Digitale Dokumentenverwaltung Digitale Geldbörse CEPS Sicherheitsanalyse Dokumentenmanagement Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Einführung IT-Sicherheitsrisikobewertung Update-Plattform für Smartcard-Software Cloud-spezifisch: Zertifizierungen für Cloud-Sicherheit Sicherheitsuntersuchungen zur Cloud-Nutzung Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 30
30 Zusammenfassung Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. Lösungen (und Tools) zur Bewältigung der Herausforderungen: Analyse der Geschäftsprozesse zur Auslagerung in Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: Jan Jürjens: Geschäftsprozesse in die Cloud 31
31 32
32 Backup-Folien 33 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
33 Integrierte Compliance Management Plattform: Nutzersicht 34 Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 34
34 Transparente Richtlinien in zentralem Pool ÄApprO BÄO ISO 9001 HKG KHBV BDSG GOÄ MPBetreibV HWG IfSG ISO Richtlinien- Pool
35 Individuelle Anpassbarkeit je Organisationseinheit a b
36 Zielgruppenorientierte & Kontextbasierte Informationen Druckbares Handbuch (z.b. PDF) Individuelle Sichten Richtlinien-Pool Generator QR-Code-Scan für kontextbasierte Infos
37 Integration in bestehende Portale + Vorhandenes CMS (z.b. MS Sharepoint) Richtlinien-Pool
38 Aktive Adressierung betroffener Personenkreise + Richtlinien-Pool Benachrichtigungssystem
39 Computergestütztes Self-Audit in den Fachabteilungen
40 Dynamische Delegation von Fragen an die richtigen Ansprechpartner
41 Sicherheitsbedarfsanalyse: Ontologie-Struktur für Regeln Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 43
42 Re-Zertifizierung nach Systemänderungen Analyse nur auf Basis der Systemänderungen Effizienzgewinn. Jürjens, Wenzel et al. ServiceWave 2011 Jürjens et al., The Computer Journal, 2011 Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 44
43
44
45 Sicherheitsziele beim Cloud Computing Vertraulichkeit Verfügbarkeit Integrität Verarbeitete Daten in Clouds sind unverschlüsselt Verschlüsselte Speicherung in Cloud: Shared DB Verschlüsselter Datenaustausch mit Cloud: Secure Internet Link Neben klassischen IT-Problemen : Cloud nur über Internetverbindung Protection of the virtual space of the clouds from e.g. overwrites Redundanz von Rechen- und Speicherresourcen, geographisch verteilt Unerwünschte und unerkannte Veränderung von Daten in Cloud verhindern Authentizität von Cloud-Systemen gegenüber User und umgekehrt Nicht-Abstreitbarkeit Transaktionen in Clouds erfordern Signaturen Unabhängiger Check der Signaturen Datenschutz Einhaltung gesetzlicher Regelungen (Standort beachten) Erstellung von Benutzerprofilen verhindern Konflikt mit Nicht-Abstreitbarkeit
46 GRC in Clouds Governance Risk Compliance Erstellung von Verfahren/Richtlinien Klassifikationsschema für Daten und Prozesse Vertrauenskette (?) in Cloud Risiko-Strategie Business Impact Analyse Analyse von Bedrohungen und Schwachstellen Risk Analysis Remediation Umsetzung von Verfahren/Richtlinien Legale Compliance (SOX, SOLVENCY II) Implementierung von Kontrollen Die Cloud stellt dynamisch Ressourcen bereit Dieselbe Dynamik wird für GRC in Clouds benötigt
47 Voraussetzungen Systematisches Vorgehen nur bei klaren Gegebenheiten Eine Möglichkeit: Anerkannte Standards für IT-Sicherheit ISO 2700x-Normen BSI Grundschutz-Standards und Kataloge Seit 2011: BSI Eckpunktepapier Cloud Computing
48 BSI Eckpunktepapier Cloud Computing Erweitert bestehende Standards um Cloud-spezifische Aspekte Hauptsächlich aus Sicht der Anbieter Schafft systematische Grundlage zur Untersuchung von Cloud-Angeboten
49 BSI Eckpunktepapier Cloud Computing (Forts.) Betrachtet elf Eckpunkte der Cloud Computing Sicherheit Vorgestellt werden vor allem Ziele, weniger konkrete Lösungen Für (potentielle) Anwender vor allem interessant: Vertragliche Gestaltung von Cloud-Angeboten Kontrollmöglichkeiten für Nutzer Portabilität und Interoperabilität Sicherheitsprüfung und nachweis (Zertifizierung)
50 Vertragliche Gestaltung: Service Level Agreements (SLA) Transparenz schafft Vertrauen beim Kunden Genaue Beschreibung der angebotenen Leistung und deren Beschränkungen! Vergleich verschiedener SLAs mit Anforderungen. Bietet der Provider überhaupt ein SLA an? Was bedeuten die Werte? Z.B. 99.8% jährliche Verfügbarkeit: Die Cloud ist ~17,5 Stunden pro Jahr offline! Ist die Cloud in verschiedene Sicherheitszonen unterteilt? Muss ich meine Daten vor der Übertragung in die Cloud aufteilen? Sollte ich die Übertragung vertraulicher Daten in die Cloud vermeiden?
51 Vertragliche Gestaltung: Kontrollmöglichkeiten Auch hier: Transparenz schafft Vertrauen Welche Möglichkeiten sind vorgesehen? Was sind die Strafen für Verletzungen der SLA? Kann der Kunde die Leistung der Cloud überwachen? Existiert ein Frühwarnsystem?
52 Portabilität und Interoperabilität Ein Vorteil der Cloud: Flexibilität Daher: Festlegung auf bestimmten Anbieter vermeiden ( Vendor Lock- In ) Vorhandene Daten müssen übernommen werden Etablierte Austauschformate helfen Auch ein Ende der Cloud-Nutzung sollte ohne großen Aufwand möglich sein!
53 Sicherheitsprüfung und -nachweis Welche Sicherheitseigenschaften kann der Kunde selber prüfen? Welche nicht? Allgemein: Zertifikate! ISO Auch auf Basis der BSI-Standards möglich TRUSTe SAS 70 Type II
54 Einige Beispiele: Sicherheits-Zertifikate Vendor X X (Quelle: Fraunhofer SIT, Cloud Computing Sicherheit, 2009)
55 Eine einfache Checkliste für eine Cloud Ist die Sicherheit des Anbieters dokumentiert? Wie werden Sicherheitslevel eingehalten? Ist eine einfache Beendigung der Cloudnutzung möglich? Welche Garantien und Service Level Agreements (SLA) existieren? Können diese an die Bedürfnisse des Kunden angepasst werden? Welche Vertragsstrafen sind in den Standard-SLAs vorgesehen? Wie kann der Anbieter die Einhaltung der SLA überwachen und durchsetzen? Wo ist der Standort der Cloud, welche Gesetze gelten dort? Kann die Anwendung von deutschem Recht erzwungen werden ( Rechtswahl )? Insbesondere Datenschutzbestimmungen!
56 Einige Beispiele Physikalische Sicherheit des Rechenzentrums: Googles Security Operations Center Amazon: Zwei-Faktor Authentifizierung Angriffe auf Netzwerkebene, z.b. Denial-of-Service: Amazon nutzt Denial-of-Service Prevention, genaue Methode ist geheim Microsoft nutzt Load-Balancer und Intrusion Prevention Systems Backup-Lösungen: Google, Amazon sichern Daten an unterschiedlichen Standorten FlexiScale legt Backups an, aber Nutzer kann die Daten nicht (selbst) wiederherstellen Amazon speichert Daten dauerhaft nach 5 Minuten sind diese in der Cloud
57 Verwandte Standards Process Maturity Holistic Control Systems Sicherheits-Standards Transparenz Safe Harbor
58 Analytische Werkzeugumgebung Vier-Augen-Prinzip OCL: selectedtasks->forall(x,y x <> y implies x.performer->forall(z y.performer->excludes(z)))
59 Analytische Werkzeugumgebung Vier-Augen-Prinzip Beispiel f. eine Verletzung:
60 Analytische Werkzeugumgebung Realisierte Analysen Für Geschäftsprozesse Separation of Duty Binding of Duty Role Level Authorization 7 Analysen für Anforderungen der MaRisk VA Darüber hinaus stehen für UML-Modelle diverse Sicherheitsanalysen zur Verfügung
61 Geschäftsprozesse Identifikation von Anforderungen Textuelle Beschreibungen der Aktivitäten/Tasks werden aus Modellen extrahiert Identifikation von Schlagwörtern Schlagwörtern ist der Schutzbedarf zugeordnet Bsp. Sozialversicherungsnummer personenbezogene Daten hoher Schutzbedarf gemäß 3 Abs. 8 BDSG darf nur innerhalb der EU verarbeitet werden Analyse-Werkzeug RiskFinder In CARiSMA integriert
62 Artefakte der Geschäftsprozesse Informelle Beschreibung von Geschäftsprozessen Prozesse liegen oftmals informell vor Artefakte wie z.b. Word-Dokumente, Excel-Tabellen, Visio-Charts Bei technischen Systemen sind manchmal auch Log-Files vorhanden Zur detaillierten Analyse ist Überführung in formalere Modelle notwendig z.b. UML, BPMN
63 ClouDAT allgemein Zertifizierung von Cloud-Umgebungen Vorgehen orientiert an ISMS der ISO27001
64 Requirements-Pattern Instanziierung abhängig von untersuchten Systemen Abbildung der Requirements auf Maßnahmen
65 Cloud-Pattern Darstellung von cloud-spezifischen Merkmalen durch Cloud-Pattern
66 Geschäftsprozesse Risikoanalyse: Ergebnisse Für jede Aktivität werden relevante Muster erkannt Die Relevanz wird grob bewertet Aktivitätsbezeichner [Kunde benötigt Cloud-Service] Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0)] Relevante Pattern: BSIGrundschutz_B_5.10 : Internet Information Server (200.0) BSIGrundschutz_G_4.32 : Nichtzustellung einer Nachricht (200.0) BSIGrundschutz_G_5.27 : Nichtanerkennung einer Nachricht (200.0) BSIGrundschutz_M_2.158 : Meldung von Schadprogramm-Infektionen (200.0) Übereinstimmung [Dienstleister erhält Serviceanfrage] Relevante Worte: [Dienstleister(500.0)] Relevante Pattern: Identifizierte BSIGrundschutz_G_2.84 : Unzulängliche vertragliche Regelungen mit einem externen Dienstleister (500.0) BSIGrundschutz_M_2.436 : Vernichtung von Datenträgern durch externe Dienstleister (500.0) Muster (bewertet) [Eingabe personenbezogener Daten] Relevante Worte: [Daten(500.0), personenbezogener(500.0), Dateien(200.0), Unterlagen(200.0)] Relevante Pattern: BSIGrundschutz_G_2.61 : Unberechtigte Sammlung personenbezogener Daten (1000.0) BSIGrundschutz_G_2.61 : Unberechtigte Sammlung personenbezogener Daten (1000.0) BSIGrundschutz_G_2.116 : Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003 (500.0)
67 Geschäftsprozesse Risikoanalyse: Verfahren Eingabe 1. Prozessbeschreibungen in verschiedenen Formaten Umgewandelt in eine vereinfachte Darstellung 2. Sicherheits- und Compliance-Muster Risikoanalyse sucht nach Relationen Ausgabe Matching zwischen Komponenten und relevanten Mustern 1. Allgemeine Darstellung 2. Analyse Muster
68 Textbasiertes Compliance-Mining: Experimentelle Resultate Jürjens et al. Requirements Engineering Journal (REJ), 2010 Anforderungsdokumente Common Electronic Purse Specifications (epurse) Customer Premises Network specification (CPN) Global Platform Specification (GPS) Metriken für Information Retrieval: Recall: Trefferquote Precision: Genauigkeit F-Measure: Kombination P&R Baseline: Alle Anforderungen als security relevant klassifiziert 70 Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
69 Leistungen / Angebote des Fraunhofer ISST Erstellung von Compliance-Berichten mit Werkzeugunterstützung Data Mining auf Log-Dateien Compliance-Analysis der Prozessausführung Automatische Generierung von Prozessmodellen Sicherheits- und Compliance-Analysen von Geschäftsprozessen auf Basis der Prozessdokumentation Vorbereitung und Durchführung von Compliance-Checks Außerdem: Möglichkeit der Mitwirkung als Pilotkunden in öffentlich geförderten Forschungs- und Entwicklungsprojekten. Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen
70 Fazit Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. So vielfältig wie Clouds selbst Gibt Lösungen (und Tools) zur Bewältigung der Herausforderungen. Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: Informationen: Jan Jürjens: Geschäftsprozesse in die Cloud
71 Veröffentlichungen Impakt:»10 years most influential paper«für UML 02-Veröffentlichung Mehr als 3000 Zitierungen, h-index 29 Einige aktuelle Veröffentlichungen (ab 2011): Vorträge zu Sicherheit und Compliance (z.b. in Clouds) auf: iqnite 2012, Anw. Informationstechnik und Telekommunikation (AKIT) 2012, CloudConf 2011, CloudDays 2011, Object-Oriented Programming (OOP 2011), iqnite 2011 Compliance-Management: S. Islam, H. Mouratidis, J. Jürjens. A Framework to Support Alignment of Secure Software Engineering with Legal Regulations. Journal of Software and Systems Modeling (SoSyM) 2011 Sichere Software Migration in die Cloud: S. Wenzel, T. Humberg, C. Wessel, D. Poggenpohl, T. Ruhroth, J. Jürjens. Ontology- Based Analysis of Compliance and Regulatory Requirements of Business Processes. In: 3rd Int. Conference on Cloud Computing and Services Science (Closer 2013) S. Wenzel, C. Wessel, T. Humberg, J. Jürjens. Securing Processes for Outsourcing into the Cloud. In 2nd Int. Conf. on Cloud Computing and Services Science Text-basiertes Risk-Mining: K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens. Enhancing Security Requirements Engineering by Organisational Learning. Requirements Engineering Journal (REJ), ModellbasiertesSicherheits-Testen: E. Fourneret, M. Ochoa, F. Bouquet, J. Botella, J. Jürjens, P. Yousefi. Model-Based Security Verification and Testing for Smart-cards. In ARES 2011 Werkzeugunterstützung: M. Ochoa, J. Jürjens, J. Cuellar. Non-interference on UML State-charts. In 50th Int. Conference on Objects, Models, Components, Patterns (TOOLS Europe 2012) M. Ochoa, J. Jürjens, D. Warzecha. A Sound Decision Procedure for the Compositionality of Secrecy. In 4th Int. Symp. on Engin. Secure Software and Systems 2012 Rezertifizierung bei Softwareevolution: A. Bauer, J. Jürjens, Yijun Yu. Runtime Security Traceability for Evolving Systems. The Computer Journal, Oxford Univ. Press, vol. 54, no. 1, 2011, pp J. Jürjens, K. Schneider. On modelling non-functional requirements evolution with UML (invited contribution). In Festschrift for Martin Glinz 2012 T. Ruhroth, J. Jürjens. Supporting Security Assurance in the Context of Evolution: Modular Modeling and Analysis with UMLsec. In 16th IEEE Intern. Symp. on High Assurance Systems Engineering (HASE 2012), IEEE, 2012 F. Massacci, F. Bouquet, E. Fourneret, J. Jürjens, M.S. Lund, S. Madelenat, J.T. Mühlberg, F. Paci, S. Paul, B. Solhaug, S. Wenzel, F. Piessens. Orchestrating Security and System Engineering for Evolving Systems (Invited paper). In 4th European Conf. ServiceWave 2011, LNCS 6994, Springer 2011, pp Studien zu IT-Sicherheits-Risikobewertung in der Praxis: S. Taubenberger, J. Jürjens, Y. Yu, B. Nuseibeh. Resolving Vulnerability Identification Errors using Security Requirements on Business Process Models. J. Inform. Management & Computer Security, 2013 S. Taubenberger, J. Jürjens. Studie zu IT-Risikobewertungen in der Praxis. In D-A-CH Security S. Taubenberger, J. Jürjens, B. Nuseibeh, Yijun Yu. Problem Analysis of Traditional IT-Security Risk Assessment Methods An Experience Report from the Insurance and Auditing Domain. In 26th IFIP International Information Security Conference (IFIP SEC 2011), Lucerne, 7-9 June 2011 J. Jürjens, K. Schneider: The SecReq approach: From Security Requirements to Secure Design, Software Engineering Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
72 Compliance-Methodik: Überblick Abstrakte Gesetze und Regularien Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch Apex Werkzeuge Risk Finder Compliance pattern analyzer 74 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
73 Automatische Compliance-Analyse auf Geschäftsprozessen Strukturanalyse von Geschäftsprozess auf Compliance-Muster Beispiel: 4-Augen-Prinzip bei Vertragsabschluss (Formalisierung in temporaler Logik). formula four\_eyes\_principle ( a1:activity, a2:activity ) := forall [ p:person (!(execute(p, a1)) \/!(execute(p, a2)) ) ]; 75 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
74 Automatische Risiko-Annotation 76 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
75 Von IT-Daten zu Geschäftsprozessen: Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe 1 A John :15.01 Ereignis-Daten 2 A Mike : B Mike : C Carol :18.25 ERP SCM WfMS... CRM 77 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
76 Log-Daten-basierte Compliance-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand Log-Daten Jürjens et al., Journal on Computers & Security 29(3): (2010) 78 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
77 Evolution auf Design-Ebene: Differenz-basierte Verifikation Differenz-basierte Verifikation Idee: Erstmalige Verifikation: Registrieren, welche Modellelemente bei Verifikation gegebener Eigenschaft referenziert. Im verifizierten Modell gespeichert, inkl. Teil-Resultate (»proof-carrying models«). Mit Heuristiken Bedingungen an Änderungen definiert, die Verifikationsergebnis bewahren. Evolutions-Differenz zwischen altem und neuem Modell berechnen (z.b. mit SiDiff [Kelter]). Nur die Modell-Teile re-verifizieren, die 1) sich geändert haben und 2) in der Verifikation referenziert wurden und 3) deren Änderung die Bedingungen nicht erfüllt. Erheblicher Performanzgewinn gegenüber einfacher Re-Verifikation Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
78 Einige technologische Assets Werkzeug CARiSMA: Sicherheits-, Risiko- / Complianceanalysen auf Geschäftsprozess-/Software-Modellen: BPMN-/UML-Modellanalyse Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheit nach Modelländerungen Ontologie zur systematischen Herleitung, Formalisierung, Verwaltung von Sicherheits/Compliance-Anforderungen CARiSMA Taxonomie für Sicherheitsstandards (z.b. BSI Grundschutz) Modell für Cloud-Umgebungen über Extraktion sicherheitsrelevanter Daten über Cloud-Interfaces. Werkzeugunterstützung zur Erfassung von Quelltexten (z.b. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen.»RiskFinder«: Findet Sicherheits-/Compliance-Risiken in Prozessbeschreibungen. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen. Analysewerkzeug für Rentabilität von Sicherheitsmaßnahmen (in Entwicklung). Analysewerkzeug für Clouds auf Sicherheitsanforderungen (in Entwicklung). 80 Unterneh- mens- Daten Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
79 Wissenschaftliche Grundlage: Modellbasiertes Compliancemanagement Anforderungen Einfügen Analysieren Evolution Code- / Testgen. Modelle Reverse Engin. Implementierung Generieren Verifizieren Ausführen Konfiguration Konfigurieren Laufzeitsystem 81 [Jan Jürjens: Secure systems development with UML. Springer Chines. Übers. 2009] Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
80 Wissenschaftliche Herausforderung: Automatische Analyse der Compliance Jürjens et al., TOOLS Europe 2012 Beispiel»sicherer Informationsfluss«: Kein Informationsfluss von vertraulichem zu öffentlichem Wert. Analyse: Wenn zwei Systemzustände state current, state current sich nur in den Werten der vertraulichen Attribute unterscheiden, darf ihr öffentlich beobachtbares Verhalten sich nicht unterscheiden: state current pub state current state current.t(m) pub state current.t(m) (wobei state current pub state current falls state current und state current sich in ihrem öffentlich beobachtbaren Verhalten nicht unterscheiden). Beispiel: Unsicher, weil vertrauliches Attribut money den Rückgabe-Wert der öffentlichen Methode rx() beeinflusst. ExtraService pub NoExtraService aber nicht: ExtraService.rx() pub NoExtraService.rx() 82 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
81 Von Compliance zu Geschäftsprozessen MaRisk VA: J. Jürjens et al.. J. Inform. Management & Computer Security, 2013 Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Rechtsgültiger Vertrag liegt vor Aushändigung des Vertrags Logik-basierte Formalisierung: formula four\_eyes\_principle ( a1:activity, a2:activity ) := forall [ p:person (!(execute(p, a1)) \/!(execute(p, a2)) ) ]; 83 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
82 Spin-Off-Projekte SecureClouds (BMBF): Compliance-Analyse bei Auslagerung in Cloud. [Kooperationsmöglichkeiten: vgl. Vortrag Oliver Strauß] SECONOMICS (EU): Werkzeuge für ökonomische Bewertung von Sicherheitsmaßnahmen (insb. cyber-physikalische Systeme). [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Riedel, Dr. Kohlhammer] Fhg-ZV-Studie: Anwendbarkeit eines Informationssicherheits- Risikomanagements nach ISO 2700x in FhG WBMP: Industrieauftrag Text-Processing-Werkzeug ClouDAT (IKT.NRW, via TUDo): Sicherheitszertifizierung von Clouds. Secure Change (EU, via TUDo): Rezertifizierung von Compliance nach Änderungen der Software, insbes. Sicherheitstesten [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Schieferdecker] SecVolution (DFG, via TUDo): Rezertifizierung von Compliance nach Änderungen der Systemumgebung 84 Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
83 Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund
Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse
Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de
MehrGeschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens
Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen
MehrIT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag)
IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag) Fraunhofer-Symposium "Netzwert" 2013 J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde
MehrSicherheit und Compliance in der Cloud
Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung
MehrZertifizierung für sichere Cyber-Physikalische Systeme
Zertifizierung für sichere Cyber-Physikalische Systeme Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de Steigende
MehrBig Data mit Compliance: Konzepte für den Umgang mit Compliance beim Einsatz von Big Data in der Finanzbranche
Big Data mit Compliance: Konzepte für den Umgang mit Compliance beim Einsatz von Big Data in der Finanzbranche Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.filit.fraunhofer.de/de/
MehrSicherheit und Compliance in Clouds: Herausforderungen und Lösungen
Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen
MehrInformationssicherheit im Cloud Computing
Informationssicherheit im Cloud Computing Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://jan.jurjens.de Übersicht Was sind die Herausforderungen? Was sind
MehrModellbasiertes Sicherheits- und Compliance-Management
Modellbasiertes Sicherheits- und Compliance-Management Prof. Dr. Jan Jürjens Fraunhofer-Attract-Gruppe Apex Fraunhofer-Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de/de/geschaeftsfelder/it-compliance-fuer-die-industrie.html
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrWerkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen
Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen Marc Peschke (Softlution) Martin Hirsch (FH Dortmund) Jan Jürjens (Fraunhofer ISST und TU Dortmund) Stephan Braun
MehrEvolution vs. semantische Konsistenz
Evolution vs. semantische Konsistenz Workshop des GI-AK Traceability, Dortmund J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrSicherheit und Compliance für IT-gestützte Prozesse
Sicherheit und Compliance für IT-gestützte Prozesse Jan Jürjens, TU Dortmund und Fraunhofer ISST TU Dortmund, Fak. Informatik: Round-Table, 14. Dezember 2010 Sicherheit und Compliance für IT-gestützte
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrAber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg
Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
Mehrchancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing
chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing 1 rechtliche herausforderungen Cloudcomputing Vertrags- und Haftungsrecht Absicherung, dass Cloudanbieter entsprechende wirksame
MehrDie neue Datenträgervernichter DIN 66399
AUSGABE 07 Die neue Datenträgervernichter DIN 66399 Núria i JC; www.piqs.de Nicht alles Gute kommt von oben. Das mussten auch einige New Yorker feststellen, als es auf der jährlichen Thanksgiving-Parade
MehrDie neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor
Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
MehrDen Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens
Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens TU Dortmund und Fraunhofer ISST Herausforderung: Compliance Steigende Anforderungen für Unternehmen,
MehrSicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten
Sicherheitsprofile Software as a Service Sichere Nutzung von Cloud-Diensten Referat B22 Informationssicherheit und Digitalisierung it-sa 2014, Nürnberg Was ist ein Sicherheitsprofil Das Sicherheitsprofil
MehrPressekonferenz Cloud Monitor 2015
Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen
MehrRechtssicher in die Cloud
Rechtssicher in die Cloud Aktuelle Lösungsansätze für rechtskonforme Cloud Services Fachanwalt für Informationstechnologierecht Cloud Conf 2011, München den 21. November 2011 Ist Cloud Computing nicht...
MehrAktuelle Herausforderungen im Datenschutz
Aktuelle Herausforderungen im Datenschutz Johannes Landvogt c/o Bundesbeauftragter für den Datenschutz und Informationsfreiheit BSI & SIZ Grundschutz Tag Bonn, 09. Februar 2012 1 1 Inhalt Cloud Computing
Mehrccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft
ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.
MehrKonzeption und Entwicklung eines sicheren Cloudbasierten Internetbanking-Systems mit
Konzeption und Entwicklung eines sicheren Cloudbasierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis von Business Process Mining im SoSe 2011 & Prof. Jan Jürjens, Dr. Holger
MehrCeBIT 17.03.2015. CARMAO GmbH 2014 1
CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH
MehrG+H SoftwareSolutions Oktober 2012. Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung
Oktober 2012 Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung Welchen Herausforderungen steht ein Unternehmen häufig gegenüber? Wie kann daccord Ihnen dabei eine Lösung bieten?
MehrSichere Löschung von Datenträgern Prozesse und Technologien it-sa, Nürnberg 12.10.2011
Prozesse und Technologien it-sa, Nürnberg 12.10.2011 GTR² GmbH / Dieselstr.1 / 84056 Rottenburg 08781 202480 / info@gtr-gmbh.de / www.gtr-gmbh.de Klassische Datenentsorgung Formatieren und Mitarbeiterverkauf?
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrDokumentation, Analyse, Optimierung,
Dokumentation, Analyse, Optimierung, Automatisierung als gemeinsame Sprache für Business, Architektur und Entwicklung DOAG SIG BPM, Folie 1 Vortragende Software Engineer Dr. Projektleiter Folie 2 Zühlke:
MehrDatenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick
Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrCloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz
Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrSicherheits-Tipps für Cloud-Worker
Sicherheits-Tipps für Cloud-Worker Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Cloud Computing Einschätzung
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrDatenverarbeitung im Auftrag
Die Kehrseite der Einschaltung von Dienstleistern: Datenverarbeitung im Auftrag ZENDAS Breitscheidstr. 2 70174 Stuttgart Datum: 10.05.11 1 Datenverarbeitung im Auftrag Daten ZENDAS Breitscheidstr. 2 70174
MehrZertifizierung für sichere Cyber-Physikalische Systeme
Zertifizierung für sichere Cyber-Physikalische Systeme Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de Steigende
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrSPI-Seminar : Interview mit einem Softwaremanager
Erstellung eines Fragenkatalogs der die Beurteilung der Level 2 Key Process Areas in einem ca. einstündigen Interview mit einem Software Manager ermöglicht Vortrag von Matthias Weng 1 Aufbau Geschichte
MehrCloud Computing - und Datenschutz
- und Datenschutz Leiterin Referat L1 Rechtliche Grundsatzfragen, Öffentlichkeitsarbeit, Internationaler Datenverkehr, betrieblicher und behördlicher Datenschutz, Melderegister, Sonderaufgaben beim Landesbeauftragten
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrTeleTrusT-Informationstag "Cyber Crime"
TeleTrusT-Informationstag "Cyber Crime" Berlin, 20.05.2011 Udo Adlmanninger Secaron AG ILP Information ist mehr als nur Software Agenda Was ist Information Leakage Prevention Motivation aktuelle Datenpannen
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrCloud Computing Security
Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14
MehrDatenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrDatenschutz der große Bruder der IT-Sicherheit
Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte
MehrVereinbarung über den elektronischen Datenaustausch (EDI)
Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Mengen Mittlere
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrInformation Governance Ergebnisse einer Marktbefragung zum Status Quo und Trends. Dr. Wolfgang Martin Analyst
Information Governance Ergebnisse einer Marktbefragung zum Status Quo und Trends Dr. Wolfgang Martin Analyst Governance Begriffsbestimmung Governance bezeichnet die verantwortungsvolle, nachhaltige und
MehrSCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.
SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV. DER DATENSCHUTZMANAGER IST DIE ALL-IN-ONE-LÖSUNG FÜR EINE EFFEKTIVE DATENSCHUTZ ORGANISATION. IN EINER ZENTRALEN PLATTFORM HABEN WIR ALLE FUNKTIONEN
MehrG DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B
G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrThorsten Sett-Weigel Berlin, den 28. März 2012 Finowstraße 30 10247 Berlin
Thorsten Sett-Weigel Berlin, den 28. März 2012 Finowstraße 30 10247 Berlin in Ausführung meiner gewählten Position als stellv. Vorsitzender des Bezirkselternausschusses Schule in Friedrichshain-Kreuzberg
Mehr08.02.2016 VIELE SAGEN... hohe Qualität große Erfahrung besondere Spezialisierung. nur für Sie!
IT - EVOLUTION _ Wir kennen die Entwicklung der IT. _gestalten. Das zahlt sich jetzt für Sie aus. 1 VIELE SAGEN... hohe Qualität große Erfahrung besondere Spezialisierung nur für Sie! 4 2 EINIGE KÖNNEN
MehrPraxen bei der Implementierung von IT achten?
Auf welche Anforderungen müssen kleinere Kliniken und Praxen bei der Implementierung von IT achten? Dennis Feiler DFC SYSTEMS GmbH, München/Mannheim IT - Situation gestern, oder doch noch heute? Ursachen:
Mehr» IT-Sicherheit nach Maß «
» IT-Sicherheit nach Maß « » Am Anfang steht der neutrale, unabhängige Blick auf die IT, am Ende das beruhigende Gefühl der Sicherheit. « IT-SICHERHEIT Die Lebensadern des Unternehmens schützen Die IT-Landschaften
MehrWozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.
Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys
MehrCloud-Computing. Selina Oertli KBW 28.10.2014
2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht
MehrInformationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte
Folie 2 03. Dezember 2014 Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte Folie 3 Guten Tag Ich bin Dr.
MehrFormale und gesetzliche Anforderungen an die Software-Entwicklung für deutsche Banken. Markus Sprunck
Formale und gesetzliche Anforderungen an die Software-Entwicklung für deutsche Banken Markus Sprunck REConf 2009, München, März 2009 Agenda Einführung Motivation Grundlagen Vorgehensweise Arbeitsschritte
MehrTeil 2 Management virtueller Kooperation
Anwendungsbedingungen und Gestaltungsfelder 45 Teil 2 Management virtueller Kooperation Der strategischen Entscheidung über die Einführung telekooperativer Zusammenarbeit und die rüfung der Anwendungsbedingungen
MehrMehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft
Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Prof. Dr. (TU NN) Norbert Pohlmann Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v. Professor
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrSemantic Web Technologies I! Lehrveranstaltung im WS10/11! Dr. Andreas Harth! Dr. Sebastian Rudolph!
Semantic Web Technologies I! Lehrveranstaltung im WS10/11! Dr. Andreas Harth! Dr. Sebastian Rudolph! www.semantic-web-grundlagen.de Ontology Engineering! Dr. Sebastian Rudolph! Semantic Web Architecture
MehrEidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung
Information Assurance innerhalb und mit der Bundesverwaltung Lars Minth/ 20.09.2013 Agenda Wir haben doch schon soviel Auftrag im Namen des Volkes Logisches Schubladendenken Information Assurance und Informationssicherheit
MehrGeschäftsprozessimplementierung mit BPMN, ADF und WebCenter
Geschäftsprozessimplementierung mit BPMN, ADF und WebCenter Johannes Michler PROMATIS software GmbH Ettlingen Schlüsselworte Geschäftsprozess, Horus, SOA, BPMN, ADF, WebCenter Einleitung Die Umsetzung
MehrSicherheit in der Cloud aus Sicht eines Hosting-Providers
Sicherheit in der Cloud aus Sicht eines Hosting-Providers Veranstaltung Wirtschaftsspione haben auch Ihre Firmendaten im Visier der Nürnberger Initiative für die Kommunikationswirtschaft NIK e.v. vom 07.04.2014
MehrAnleitung zum Prüfen von WebDAV
Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis
MehrISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.
ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,
MehrBrands Consulting D A T E N S C H U T Z & B E R A T U N G
Datenschutzauditor (Datenschutzaudit) Autor & Herausgeber: Brands Consulting Bernhard Brands Brückenstr. 3 D- 56412 Niedererbach Telefon: + (0) 6485-6 92 90 70 Telefax: +49 (0) 6485-6 92 91 12 E- Mail:
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrDie sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012
Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud
MehrPressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung
Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung CORISECIO präsentiert auf der it-sa 2013 eine Antwort auf PRISM und Co. Dateien werden mit starken Algorithmen hybrid verschlüsselt
MehrERFOLGSREZEPTE FÜR IHR UNTERNEHMEN. Neue Struktur im Service Center. Marc Hennek TDS HR Services & Solutions GmbH
ERFOLGSREZEPTE FÜR IHR UNTERNEHMEN IT OUTSOURCING SAP SERVICES HR SERVICES & SOLUTIONS Neue Struktur im Service Center Marc Hennek TDS HR Services & Solutions GmbH Ausgangssituation im Service Center Unterschiedliche
MehrUmfrage: Ihre Erwartungen, Ihr Bedarf und der aktuelle Einsatz von Informationstechnologie (IT) in Ihrem Unternehmen
Umfrage: Ihre Erwartungen, Ihr Bedarf und der aktuelle Einsatz von Informationstechnologie (IT) in Ihrem Unternehmen A.1 Welche Funktion bekleiden Sie in Ihrem Unternehmen? A.2 Sind Sie entscheidungsbefugt
MehrPRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag
1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten
MehrGemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz
Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz
MehrVoraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)
Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting) Firma: Seite 1 von 6 1 Ansprechpartner 1.1 Ansprechpartner EDV: Name: Name: Tel: Tel: E-Mail: E-Mail: 1.2 Ansprechpartner fachlich
Mehr