> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

Transkript

1 > Typische Fallstricke beim Cloud Computing Ulf Leichsenring

2 > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte > Sonstige Sicherheitsaspekte Folie 2

3 > Sicherheitsaspekte beim Cloud Computing Ebenen des Cloud Computing Anwendung: Software-as-a-Service (SaaS) Bsp.: Google Docs, Microsoft Sharepoint Online Plattform: Platform-as-a-Service (PaaS) Bsp.: Windows Azure, Google App Engine Infrastruktur: Infrastructure-as-a-Service (IaaS) Bsp.: Amazon EC2, Amazon S3 Anwendung Plattform Infrastruktur Unterschiedliche Sicherheitsansätze seitens des Nutzers Folie 3

4 > Sicherheitsaspekte beim Cloud Computing Einflussmöglichkeiten des Nutzers auf die Sicherheit der Gesamtlösung Abdeckungsgrad des Cloud- Computing Anbieters an der Gesamtlösung SaaS PaaS IaaS Folie 4

5 > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte > Sonstige Sicherheitsaspekte Folie 5

6 > Checkliste der Hauptsicherheitsaspekte (1/4) Hauptsicherheitsaspekte des Cloud Computing Sicherheitsmanagement beim Anbieter z.b. implementiertes ISM, IT-Sicherheitskonzept, ISO27000 Sicherheitsarchitektur z.b. Zugangskontrollen zum RZ Sicherheitsmaßnahmen gegen Angriffe Update-/Patchmanagement Datenvernichtung/-löschung Verschlüsselung und Schlüsselmanagement Sichere Isolierung von Kundendaten ID- und Rechtemanagement z.b. Authentifizierungsverfahren für Nutzer und Mitarbeiter Rollenkonzepte Vier-Augen-Prinzip Folie 6

7 > Checkliste der Hauptsicherheitsaspekte (2/4) Hauptsicherheitsaspekte des Cloud Computing Monitoring und Security-Incident Management z.b. CERT Notfallmanagement Datensicherung Notfalltrainings Sicherheitsprüfungen und -nachweis z.b. regelmäßige Penetrationstests und Audits (auch bei Subunternehmen) Anforderungen an das Personal z.b. Ausbildung und Sensibilisierung des Personals Datenschutzverpflichtung Folie 7

8 > Checkliste der Hauptsicherheitsaspekte (3/4) Hauptsicherheitsaspekte des Cloud Computing Vertragsgestaltung Transparenz z.b. Offenlegung der Standorte der Cloud Komponenten und involvierte Subunternehmer Organisatorische Anforderungen z.b. SLAs Sicherstellung des Betriebs im Falle einer Insolvenz oder Übernahme Kontrollmöglichkeiten für Nutzer z.b. Durchführung von Penetrationstests und Audits durch Kunden beim Cloud-Anbieter Notfalltrainings Signifikante Unterschiede zwischen Private und Public Cloud Folie 8

9 > Checkliste der Hauptsicherheitsaspekte (4/4) Hauptsicherheitsaspekte des Cloud Computing Portabilität von Daten und Anwendungen Interoperabilität Nutzungsrechte der Daten in der Cloud Datenschutz/Compliance z.b. Gewährleistung des Datenschutz nach deutschem Recht Einhaltung gesetzlicher Bestimmungen, denen der Cloud Nutzer unterliegt Checkliste BSI Eckpunktepapier -Mindestsicherheitsanforderungen für Cloud-Computing-Anbieter ) ( Folie 9

10 > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte > Sonstige Sicherheitsaspekte Folie 10

11 > Rechtliche Sicherheitsaspekte Grundsätzlich keine neuen Aspekte gegenüber klassischem Outsourcing Problem: Individuelle vertragliche Vereinbarungen bei Public Clouds selten möglich Archivierung von steuerlich relevanten Daten hat nach 146 AO im Inland oder (nach Bewilligung der Finanzbehörde) einem EU Mitgliedsland zu erfolgen Aufbewahrung von Buchungsbelegen muss nach 257 HGB im Inland erfolgen Anforderungen der GDPdU müssen erfüllt werden Cloud Computing aufgrund 203 StGB (Verletzung von Privatgeheimnissen) für besondere Berufsträger (z.b. Versicherungswirtschaft, Gesundheitswesen) problematisch Datenschutzanforderungen Folie 11

12 > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte > Sonstige Sicherheitsaspekte Folie 12

13 > Datenschutzaspekte des Cloud Computing (1/3) Besondere Relevanz durch Datenschutznovelle von September 2009 Verschärfte Bußgeldvorschriften Datenschutzpranger Rechtliche Verantwortung für personenbezogene Daten kann nicht auf Cloud-Computing-Anbieter verlagert werden (gilt auch für Informationspflicht bei Datenschutzpannen ) Verarbeitung von personenbezogenen Daten in der Cloud erfordert Verträge gemäß 11 BDSG (Datenverarbeitung im Auftrag) Einhaltung der Vorschriften muss vom Auftraggeber überprüft und das Prüfergebnis dokumentiert werden Verarbeitung personenbezogener Daten nur zulässig innerhalb Der EU Mitgliedstaaten Anerkannter, sicherer Drittstaaten (z.b. Island, Norwegen, Schweiz, Liechtenstein) mit gleichen Anforderungen an den Datenschutz USA in Rahmen des Safe-Harbor Abkommens Folie 13

14 > Datenschutzaspekte des Cloud Computing (2/3) US-EU Safe Harbor Abkommen (EU Richtlinie 95/46/EG) Datenschutz-Vereinbarung zwischen der EU und USA von Juli 2000 Ermöglicht europäischen Unternehmen, personenbezogene Daten in die USA zu übermitteln US Unternehmen können Safe-Harbor-System beitreten, wenn sie sich verpflichten, die Safe-Harbor-Principles zu beachten (Selbst- Zertifizierung) Listung beigetretener Unternehmen erfolgt durch US- Handelsministerium Folie 14

15 > Datenschutzaspekte des Cloud Computing (3/3) Galexia Studie The US Safe Harbor Fact or Fiction? zeigte Ende 2008 massive Bedenken an der Einhaltung der Safe-Harbor-Principles durch die diese akzeptierenden Unternehmen ( Düsseldorfer Kreis beschloss im April 2010: [ ], dass sich Daten exportierende Unternehmen bei Übermittlung an Stellen in die USA nicht allein auf die Behauptung einer Safe-Harbor-Zertifizierung verlassen können. Vielmehr muss sich das Daten exportierende Unternehmen nachweisen lassen, dass die Safe-Harbor-Zertifizierungen vorliegen und deren Grundsätze auch eingehalten werden. Mindestens muss das exportierende Unternehmen klären, ob die Safe-Harbor-Zertifizierung des Importeurs noch gültig ist. Außerdem muss sich das exportierende Unternehmen nachweisen lassen, wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkommt. Folie 15

16 > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte > Sonstige Sicherheitsaspekte Folie 16

17 > Sonstige Sicherheitsaspekte Besondere Aspekte des Cloud Computing Verarbeitung von Kreditkartendaten ist in der Cloud äußerst problematisch PCI-DSS fordert umfangreiche Sicherungs- und Prüfungsmaßnahmen für beteiligte Systeme und Netze US Patriot Act Greift auch bei europäischen Cloud Anbietern mit US Wurzeln National Security Letter (NSL) untersagt Information der Betroffenen US FISA 1881a (Foreign Intelligence and Surveillance Act) Studie der Europäischen Kommission, Oktober e=79050 Wikileaks Faktor des Cloud Computing z.b. Amazon EC2 Cloud z.b. PayPal, Kreditkarten Kontensperrung z.b. Twitter Accounts u.a. der isländischen Parlamentsabgeordneten Birgitta Jonsdottir Kuba Faktor Folie 17

18 > Fragen? Folie 18

19 > Ihr Kontakt bei der Lufthansa Systems Lufthansa Systems Ulf Leichsenring Senior Consultant Schützenwall Norderstedt Germany Tel. +49 (0) Fax. +49 (0) Ulf.Leichsenring@LHsystems.com Folie 19

20 > Danke für Ihre Aufmerksamkeit! Folie 20