Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011
Sicherheit und Datenschutz in der Cloud Inhalt Cloud Computing als neuer Hype Was ist Cloud Computing Risiken in der Cloud Sicherheitsmaßnahmen für Kunden und Provider Herausforderungen der Cloud Security Initiativen im Bereich Cloud Computing Cloudability Seite 2
Cloud Computing Chancen, Risiken und Unsicherheiten Cloud Computing wird als die wesentliche IT Variante der Zukunft gesehen Vernetzte Rechenpower, unbegrenzte Speicherkapazitäten, Service on demand Hohes Misstrauen, Sicherheitsprobleme, ungelöste Compliance-Fragen, Datenschutzprobleme verhindern eine schnelle Ausbreitung Es fehlt Vertrauen - TRUST - GRU MI6 Cloud Service MID Cloud Service Cloud Service CIA Seite 3
Cloud Computing Der neue Hype in der IT Cloud Computing ist ein neuer Weg Ressourcen zu nutzen, keine neue Technologie Gartner Studie 1) : 2012 werden 20 % der Unternehmen keine eigenen IT-Systeme mehr besitzen Gründe: Virtualisierung Cloud-Computing Persönliches Equipment der Anwender 1) Gartner Highlights Key Predictions for IT Organizations and Users in 2010 and Beyond Seite 4
Was ist Cloud Computing Service Modelle im Überblick 1/2 Infrastructure as a Service (IaaS): Reine Infrastruktur des Providers Kunde kann OS, Applikationen selbst installieren / verwalten Kunde kann Ressourcen selbst verwalten Einflussmöglichkeit des Kunden Platform as a Service (PaaS): Infrastruktur inkl. OS der Service Provider Kunde hat keinen Einfluss auf die Infrastruktur Kunde installiert Software mit den Werkzeugen der Provider Software as a Service (SaaS): Anwendungen der Service Provider Kunde hat keinen Einfluss auf Infrastruktur und Applikationen Seite 5
Infrastructure as a Service Platform as a Service Software as a Service Was ist Cloud Computing Service Modelle im Überblick 2/2 Eigene Security Maßnahmen / Verantwortung Rein vertragliche Einflussnahme Applikation Datenbank- Services Betriebssystem Betriebssystem Datenbank- Services Techn. Schnittstellen Techn. Schnittstellen Techn. Schnittstellen Infrastruktur - Dienste Hardware Infrastruktur - Dienste Hardware Infrastruktur - Dienste Hardware Netzwerk Netzwerk Netzwerk Gebäude Gebäude Gebäude Seite 6
Was ist Cloud Computing Umsetzungs-Modelle im Überblick Private Cloud: Exklusiv für ein Unternehmen Durch die Organisation selbst oder einen Provider betrieben Größtes Maß an Sicherheit Community Cloud: Genutzt von wenigen Unternehmen mit gleichen Zielen / gleichem Geschäft Hybrid Public Segmentierung CRM Directory Virtuelle IT Weltsicht: Keine Grenzen und Ordnungen Betrieben durch die Organisationen oder einen Provider Office mail Public Cloud: Öffentlich verfügbar Zugriff für viele Unternehmen Eigentum des anbietenden Providers Hybrid Cloud: Nutzung von zwei oder mehreren Cloud-Umgebungen Mögliche Aufteilung nach Schutzanforderungen Local Cloud Private Cloud Reale IT-Weltsicht: Klare Grenzen und Ordnungen Customer AD Seite 7
Risiken in der Cloud Beispiele für Kunden Organisatorisch Verlust der Steuerung (Governance) Compliance Verlust interner Vorgaben Reputationsverluste durch Mitnutzer Übernahme des Cloud Providers Nicht eingehaltene organisatorische Maßnahmen Technisch Ausfälle von Cloud Services Ausfälle der Anbindung zur Cloud Installations- und Konfigurationsfehler Mitlesen von Daten im Transfer Angriffe auf die komplette Cloud Infrastruktur (z. B. DDoS) Datenverluste (Data-leakage) Nicht eingehaltene technische Maßnahmen Rechtlich Compliance Verlust gesetzlicher Vorgaben Gerichtliche Maßnahmen gegen andere Mitglieder der Cloud Datenschutzverstöße Verstöße gegen das Lizenzrecht Urheberrecht Seite 8
Risiken in der Cloud Vorfälle Seite 9
Sicherheitsmaßnahmen Für Kunden und Provider Kunden Vertragliche Absicherung Identifikation der Schutzanforderungen Auswahl eines angemessenen Cloud- Modells Umsetzung angemessener Sicherheitsmaßnahmen: Verschlüsselung Datensicherung Notfallpläne etc. Prüfen aller gesetzlichen Pflichten für den IT-Betrieb in der Cloud Provider Vertragliche Absicherung Physikalische und technische Sicherheitsmaßnahmen Abstimmung aller Sicherheitsmaßnahmen mit dem Kunden Verschlüsselung Datensicherung Notfallpläne etc. Nachweis des eigenen Sicherheitsniveaus z. B. durch Zertifizierung Seite 10
Sicherheitsmaßnahmen Studie Providersicherheit Fakten: Aber: Nur die Hälfte der Cloud-Anbieter vereinbart mit ihren Kunden Notfallpläne für den Katastrophenfall und Datenschutzoder Sicherheitsvorfälle Nur knapp 60 Prozent geben an, dass die Rückgabe der Daten vertraglich geregelt ist. Knapp ein Drittel der Anbieter speichert ihre Daten ausschließlich in Deutschland. Quelle: PwC Nov. 2010 - Informationssicherheit ist aus Sicht der Cloud-Anbieter, das wichtigste Kriterium für die Zufriedenheit ihrer Kunden Quelle: PwC Studie - Die Unternehmens-IT zieht es mehr und mehr in die Wolke Seite 11
Cloud Security Herausforderungen Für Kunden ergeben sich Herausforderungen im Cloud Computing: Verteilte Datenhaltung Keinen bzw. geringen Einfluss auf die Umsetzung technischer und physikalischer Maßnahmen Sicheres Löschen von Daten Herausgabe von Daten z. B. bei Kündigung Rechte / Urheberrechte an Daten Datensicherung / Backup / Disaster Recovery Möglichkeit, Audits durchzuführen (evtl. normative Anforderung) Kontrolle der angemessenen Umsetzung von Sicherungsmaßnahmen Zugriff und Zugang Seite 12
Cloud Security Aus der Praxis Fragestellung: Datenverarbeitung im Ausland? BDSG - 11 Abs. 2 - EU - EWR - Safe Harbor Standards: - IDW/PS - Propr. Standards - ISO Standards Interne Kontrollen: - Datentransfer - Speicherung der Daten Seite 13
Trusted Cloud Initiativen Cloud-Standard Zusammenarbeit im CIO Colloquium zur Erarbeitung eines Cloud-Standards ISO 27001 ISO 18028 ISO 20000 PCI-DSS Trusted Cloud Service IDW-PS COBIT BSI IT- Grundschutz BDSG NIST Seite 14
Trusted Cloud TRUST Level Zur Reduktion der Komplexität werden Anforderungen nach TRUST Leveln definiert Seite 15
TRUSTED Cloud TÜV TRUST IT Zertifizierung Datenschutz TRUSTED Cloud Service Datensicherheit Compliance TÜV TRUST IT GmbH Datenschutz Datensicherheit TRUSTED Cloud Provider Compliance TÜV TRUST IT GmbH Seite 16
Zusammenfassung Der Begriff Cloudability Vor der Entscheidung, Cloud Services zu nutzen, ist die eigene Cloudability festzustellen: Bestandsaufnahme: Identifikation der eigenen Geschäftsprozesse / Services Identifikation der verarbeiteten Informationen Erhebung der Schutzanforderungen an die Informationen Umsetzungsplanung: Welches Service-Modell kann genutzt werden? Welches Umsetzungs-Modell kann genutzt werden? Umsetzung Vertragliche Regelungen für organisatorische und technische Maßnahmen Kennen Sie die Herausforderungen der Zukunft! Seite 17
Ihr Kontakt Kommen Sie auf uns zu, wir unterstützen Sie gerne bei allen Fragestellungen rund um Informationssicherheit und IT-Effizienz Seite 18