Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Transkript

1 Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai Konzerthaus Karlsruhe

2 Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang zwischen Sicherheit und Vertrag 3. Zusammenhang EU Initiativen und Rechtsicherheit 4. Interimslösungen vorstellen

3 Wachstum von IT Outsourcing Quelle: Gartner 1/2013, ITO End- User Spending, Cloud Annual Growth Rate bis %

4 Wachstum von IT Outsourcing 28. Februar Networld: Gartner: Public cloud market to grow 18.5% this year Infrastructure as a Service (IaaS) is fastest growing segment of the cloud market, growing at 42% annually

5 Vielzahl der Themen, Vielzahl von Fragen

6 Sicherheit und Vertrauen 1. Cloud ist ein Anbietermarkt 2. Kunden, insbesondere große Unternehmen gehen das Thema mit großem Interesse aber zögerlich an 3. Fehlende Sicherheit - Fehlendes Vertrauen

7 Der Weg in die Cloud

8 CLOUD Computing & IT Outsourcing 30 Jahre Erfahrung im IT-Outsourcing Public Cloud Services sind eine Variante des IT Outsourcing Warum nicht einfach vorgehen wie bisher und bisherige Verträge und SLA verwenden? A Service Level Agreement (SLA) is a documented agreement between the service provider and customer that identifies services and service targets. [ISO/IEC :2011].

9 Hauptprobleme aus Nutzersicht Druck von Technologie Kontrolle Recht WePbewer und Markt Netzwerk Wer ist beteiligt? Viele Rechtsbereiche Andere Länder Eigene Nutzer (shadow IT) IntegraWon Wo wird es gemacht? Datenschutz Verantwortung APrakWve Kosten und Services Versteckte Kosten Fehlendes Know- how Abhängigkeiten Wie kann ich es prüfen? Verlust von Know- how? Anzahl der Verträge Kosten der Verträge Fehlende Erfahrung

10 Hauptprobleme aus Anbietersicht Erfahrung Ökonomie Betrieb Rechtliches Was anbieten Große Investments Technische Themen Haeung Wie verkaufen KompensaWon Wie betreiben Kleine Renditen Große Mengen FragmenWerter Rechtsrahmen Welchen Vertrag und SLA Wo bleibt der ROI Support Fehlende Rechtserfahrung

11 Cloud Verträge versus traditionellen Verträgen Vertrag Service Anbieter Komplexität Recht Traditionel: große B2B Verträge mit QoS, KPI, Compensation, Monitoring and Auditing Cloud: Standard Verträge für Standard Services Traditional: Individuell, spezifisch langfristig über mehrere Jahre kalkuliert Cloud: Standard, industrialisiert, shared services, große Volumina, große Investments, kurze Verträge Traditional: Ein voll verantwortlicher Anbieter mit bekannten Subauftragnehmern Cloud: Provider Kette, grenzübergreifend, Netzwerkbandbreite als zusätzliches Risiko Lizenzen Identity management Erwirkung von SLA's Use cases Gleiches Cloud Service Unterschiedliche Usecase Unterschiedliche Anforderungen an den SLA

12 Standardization versus individual usecase KOMPLEXITÄT NIEDRIG HOCH UC SAAS z.b. Type 3 UC IAAS Type von belegen 2 Reisekostenabrechnung UC IAAS Type 1 z.b. Webimages UC z.b Type 4 SAAS Finanzreporting Patientendaten Buchhaltungs- z.b Archivierung NIEDRIG HOCH BEDEUTUNG Relevanz des Services und Sensitivität der Daten Page 12

13 Risikomanagement Hauptrisiken Hauptrisiken laut ENISA (European Network and Information Security Agency): - Unzureichende Service Level Garantien - Providerabhängigkeit (Lock-In) - Unzureichende Datenabgrenzung - Probleme bei der Einhaltung von Compliance Vorgaben - Unzureichende Absicherung der Administrationsfunktionen - Datenschutzverletzungen - Unzureichende Datenlöschung auf Kundeanforderung - Angriff von innen durch nicht vertrauenswürdige Personen

14 Strategischer Rahmen Analyse Risiken Know-How Verlust Shared Services -> Datensicherheit > Datenverlust Interoperabilität erschwert, Vendor Lock-in, Datenmigration erschwert Integration in eigene IT schwierig (Hybrid Lösung) Datenspeicherung lokal/global -> Rechtslage unklar Bestehende Policies und Compliance Richtlinien stehen im Widerspruch Widerstand der IT Abteilung und einzelner Personen Organisatorischer Wandel erforderlich Prozessänderungen erforderlich Standardisierung fehlt teilweise bzw. ist nicht weit verbreitet Individualisierung (vertraglich und technisch) nicht möglich Anbieter nicht in Europa Rechenzentrum nicht im Land/Europa Abhängigkeit von Datenleitungen Unklare Sublieferantenketten Abhängigkeit vom Anbieter (Schnittstellen, Updates)

15 Lösungswege 1. Technik 2. Klare Sprache, eindeutige Vokabel, verständliche Architektur (ISO, EuroCloud, Anbieter) 3. Verständliches und faires Offering (Anbieter) 4. Vertrauen aufbauen (Branding, Übernahme von Risiken, Support) 5. Einheitlichen Rechtsrahmen schaffen (EC, SIG, ETSI) 6. Standards definieren (ISO SC27, 38) 7. Qualitätskriterien definieren (Star Audit) 8. Ausreichende Rechtliche Vereinbarungen (Vertrag, SLA)

16 CLOUD Vertragselemente Ausgangssituation Anforderungen Lösungsweg Ergebnis

17 CLOUD Vertragselemente Page 17

18 CLOUD Vertragselemente

19 CLOUD Vertragselemente 1.1 Regelung betreffend alle an der Leistungserbringung beteiligten Unternehmen Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: Relevante Informationen zum Unternehmen, mit dem der Vertrag abgeschlossen werden soll, entsprechend den öffentlichen Registern wie z.b. Firmenbuch, Gewerberegister oder Vereinsregister Darstellung, woher der Anbieter des Services kommt und welche nationalen Rechte betroffen sein können (Headoffice und Niederlassungen) Informationen zu bestehenden Zertifizierungen des Vertragspartners. Detaillierte Beschreibung der bestehenden, gültigen Zertifizierungen des Rechenzentrums Informationen zu Unternehmen, die an der Leistungserbringung beteiligt sind. Auch Subunternehmen, Rechenzentren oder Cloud-Services anderer Unternehmen, die in den eigenen gesamten Service integriert sind. Insbesondere Darstellung, welche Unterauftragnehmer in Österreich oder in Ländern mit vergleichbaren Datenschutzgesetzen eingesetzt werden.