Die Cloud-Richtlinie der Freien Universität Berlin



Ähnliche Dokumente
Freie Universität Berlin

Freie Universität Berlin. Richtlinie. zur Auslagerung von Daten in die Cloud

> Cloud-Richtline. Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud-Dienste. IV-Sicherheitsteam Juni 2013

IT-Sicherheitsrichtlinien der Universität Göttingen

Richtlinie der Universität Münster zur Auslagerung von Daten in Cloud- Dienste

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Checkliste. zur Gesprächsvorbereitung Mitarbeitergespräch. Aktivität / Frage Handlungsbedarf erledigt

Kirchlicher Datenschutz

UpToNet xrm und Mobiles Büro Kommunikation intelligent steuern

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

POP -Konto auf iphone mit ios 6 einrichten

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Benutzerverwaltung Business- & Company-Paket

Informationen und Richtlinien zur Einrichtung eines Online Kontaktformulars auf Ihrer Händlerwebseite

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Personal- und Kundendaten Datenschutz bei Energieversorgern

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Wollen Sie einen mühelosen Direkteinstieg zum Online Shop der ÖAG? Sie sind nur einen Klick davon entfernt!

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

BSI Technische Richtlinie

Einrichten des Elektronischen Postfachs

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Datenschutz-Management

Die nachfolgende Anleitung zeigt die Vorgehensweise unter Microsoft Windows Vista.

Platzhalter für Bild, Bild auf Titelfolie hinter das Logo einsetzen. Wie finde ich ein Buch in der UB Braunschweig?

Checkliste zum Datenschutz in Kirchengemeinden

GPP Projekte gemeinsam zum Erfolg führen

Leitfaden. zur Registrierung und Beschaffung einer elektronischen Signatur für die IKK classic Ausschreibungsplattform.

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Datenschutzbeauftragte

Anleitung Thunderbird Verschlu sselung

Verwendung des IDS Backup Systems unter Windows 2000

UNIGLAS - Handbuch zum Forum

Handbuch Internetmeldeportal für melde- und gebührenpflichtige Firmen der Agricura Meldung der Lagerbestände per 31.

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

Leitfaden des BfDI und der BNetzA für eine datenschutzgerechte. Verkehrsdaten. 28. Jour Fixe Telekommunikation, Dipl.-Ing.

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Eingangsseite Umwelt-online

Der Kontowecker: Einrichtung

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Drei Fragen zum Datenschutz im. Nico Reiners

Fernwartung ist sicher. Sicher?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Die neue Datenträgervernichter DIN 66399

Anleitung Outlook 2002 & 2003

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Leitfaden einrichtung Windows Live Mail Stand vom:

D i e n s t e D r i t t e r a u f We b s i t e s

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Einrichten eines E- Mail-Kontos unter Windows Live Mail mit der IMAP-Funktion

Nutzung dieser Internetseite

SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 18/ Wahlperiode

Allgemeine Geschäfts- u. Lieferbedingungen Online Shop xqisit (Stand: 06/2014)

WinVetpro im Betriebsmodus Laptop

LANiS Mailversender ( Version 1.2 September 2006)

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Erste Schritte mit Sharepoint 2013

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

.WIEN-Richtlinie zur Beilegung von Streitigkeiten betreffend Registrierungsvoraussetzungen (Eligibility Requirements Dispute Resolution Policy/ERDRP)

Leitfaden einrichtung Outlook Stand vom:

Aus- und Weiterbildung für Datenschutzbeauftragte. Jetzt auch in Braunschweig möglich!

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Installation und Sicherung von AdmiCash mit airbackup

Vorbereitung. Zwischenevaluierung Research Studios Austria

Schweigepflicht & Datenschutz in sozialen Diensten und Einrichtungen

Leitfaden einrichtung Outlook Stand vom:

-Verschlüsselung mit S/MIME

Einrichtung des KickMail- Benutzerkontos der gematik

NetVoip Installationsanleitung für Fritzbox Fon5050

Benutzerhandbuch - Elterliche Kontrolle

Schul-IT und Datenschutz

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

Einrichtung der Bankverbindung in der VR-NetWorld Software mit dem PIN/TAN-Verfahren (VR-Kennung)

Anleitung zum LPI ATP Portal

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Einrichtung HBCI mit PIN/TAN in VR-NetWorld-Software

Kundendatenbasierte Leistungsentwicklung und Preisbildung am Beispiel Fraisa

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

SHOPPING CLOUD SHOPPING.GUETSEL.DE

Postfach in cpanel erstellen

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

In unserer Checkliste finden Sie nützliche Tipps und Hinweise, wie Sie ihre Privatsphäre bei der Nutzung von Facebook schützen können.

Anleitung Typo3-Extension - Raumbuchungssystem

Transkript:

Dipl.-Inform. Ingmar Camphausen IT-Dienst, Fachbereich Mathematik und Informatik Die Cloud-Richtlinie der Freien Universität Berlin Fünfte Fachtagung für Datenschutzbeauftragte an Hochschulen und anderen wissenschaftlichen Einrichtungen. Berlin, 22./23. März 2012

Das IT-Sicherheits- Umfeld an der FU Berlin IT-Sicherheits-Richtlinie Seit 2005, inzwischen Release 3 kurz vor der Verabschiedung verbindlich für alle Bereiche (Verwaltung und Wissenschaftlerinnen) angelehnt an GS-Handbuch des BSI ( Maßnahmen...) IT-Sicherheit breit strukturell verankert IT-Sicherheitsprozess etabliert (seit ca. 2002) Zentraler IT-Sicherheitsbeauftragter IT-Beauftragte in den verschiedenen zentralen und dezentralen Bereichen AG IT-Sicherheit (ca. 8 Mitwirkende inkl. DSB) als Think Tank und Motor Information von neuen MitarbeiterInnen bei Einstellung Datenschutz-Tagung Abuse Response Team im Rechenzentrum Verfahrensdatenbank (Auftragsentwicklung, web-basiert) zur Dokumentation und Verwaltung der IT- Verfahren und der zugehörigen Verfahrensbeschreibungen 2

FU-Cloud-Richtlinie Entstehung & Status quo 2011: wachsende Verbreitung von Smartphone, ipads & Co. An der FU Frühjahr 2011 (?): Mitarbeiter des RZ bittet FU-CIO um klare Ansage in Bezug auf von Nutzern gewünschte Installation von Cloud-Dienste-Software (Dropbox) 21. Juni 2011: Heise: Dropbox akzeptierte 4 Stunden lang beliebige Passwörter Juli 2011: Auftrag des CIO-Gremiums an die AG IT-Sicherheit der FU Berlin: Formulierung Leitfaden zum Umgang mit Internet-Datenspeichern August Oktober 2011: Ausarbeitung eines Vorschlags für eine "Richtlinie zur Datenablage in der Cloud November 2011: Abstimmung des Entwurfs mit Personalvertretung und IT- Beauftragten der verschiedenen FU-Bereiche 19. Dez. 2011 Heise News: Innenministerium plant sichere Bundes-Cloud Februar 2012: CIO-Gremium der FU beschließt FU- Cloud-Richtlinie 9. März: Veröffentlichung der Richtlinie als FU-Rundschreiben (= In-Kraft-Treten) 24. März 2012: Vorstellung der Richtlinie auf der 5. Datenschutz-Tagung 3

Umfang und Fokus der FU- Cloud-Richtlinie Zielt auf Speicherung von Daten ab ( Lex Dropbox ) Adressaten sind normale Computernutzende der FU Grundannahmen: Mitarbeitende sind (mit Unterstützung) besser selbst in der Lage, ihre Daten und deren Schutzbedürftigkeit einzuschätzen Trennung zwischen privaten und dienstlichen Belangen/Aktivitäten verschwimmt, gerade im Wissenschaftsbereich Sorglose Nutzung von Cloud-Diensten im privaten Bereich Dropbox et al. werden (weiter) genutzt, selbst wenn wir es verbieten Wir wollen mit dem Dokument sensibilisieren AnwenderInnen sollen nicht allein gelassen werden, sondern möglichst konkrete Hinweise erhalten, wann/wie eine zulässige Cloud-Nutzung möglich ist Dokument soll möglichst kurz und gut verständlich sein 11 Seiten, davon 7 Seiten Inhalt + 1 Seite Zusammenfassung (Checkliste) Verworfen: konkrete Empfehlung o.ä. für bestimmte Dienste(-anbieter) 4

Datenkategorien als Anhaltspunkt Schutzbedarf der Daten entscheidendes Kriterium für Eignung zur Ablage Hilfsmittel zur Bestimmung des Schutzbedarfes: Kategorie der Daten: Folgerung: 5

Regelungen Vorrangig hausinterne Dienste nutzen Schutzbedarf der Daten bestimmt den Umfang der Cloud-Nutzung Zuverlässige Löschung von Daten oft nicht nachvollziehbar Daten, die gesetzlichen Löschpflichten unterliegen, für Cloud-Ablage ungeeignet Dienstrechtliche und interne Regelungen beachten (Daten-)sparsame Nutzung von Cloud-Diensten Cloud-Betreiber mit Sitz außerhalb der EU datenschutzrechtlich problematisch SLAs/AGBs regelmäßig prüfen (hohe Änderungsrate bei vielen Anbietern) Auf (Nicht-)Vorhandensein von Zertifizierungen/Gütesiegeln achten Weitere Aspekte nicht außer Acht lassen wie Performance, Bedienbarkeit, Kosten statt Zusammenfassung: Checkliste 6

Checkliste zur Eignungsprüfung (1) Angebot der inneruniversitären IT- Dienstleister (RZ, UB u.a.) geprüft? Interner Service zur Ablage der Daten geeignet? SLAs bzw. AGB des Anbieters angesehen? Passen die Bedingungen zu den Anforderungen? Verfügbarkeitsanforderungen durch den Dienst erfüllt? Integritätsanforderungen erfüllt? Vorkehrungen getroffen, falls hohe Integritätsanforderungen bestehen? 7

Checkliste zur Eignungsprüfung (2) Erlauben die Vertraulichkeitsanforderungen der Daten eine unverschlüsselte Ablage in der Cloud? Falls nur verschlüsselte Ablage erlaubt: Verschlüsselung vor der Abspeicherung? Sind die Schlüssel im Bereich der FU Berlin abgelegt? Sollen personenbezogene Daten abgelegt werden? Wenn ja: Dienstliche pd dürfen nicht in der Cloud abgelegt werden! DS-Anforderungen hinsichtlich Auftrags-DV erfüllt? Erlauben gesetzliche o. a. Vorschriften die externe Ablage der Daten? Unterliegen die Daten bestimmten Löschfristen? Wenn ja: Genügt der Dienst diesen Anforderungen? 8

Links Die Richtlinie zur Datenablage in der Cloud der Freien Universität Berlin: unter 2012, Serie V auf http://www.fu-berlin.de/service/zuvdocs/fu-rundschreiben/index.html Weitere Dokumente der Freien Universität Berlin zur IT-Sicherheit: http://www.fu-berlin.de/sites/eas/it-sicherheit/downloads_zur_it-sicherheit Orientierungshilfe der DSB des Bundes und der Länder zu Cloud-Computing: http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf BSI zu Sicherheit beim Cloud-Computing: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/ Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen- CloudComputing- Anbieter.pdf? blob=publicationfile 9

Diskussion FU-Ansatz: mündige NutzerInnen Spielraum erhalten An Realität im Wissenschaftsbetrieb orientiert AK DSBs der Helmholtz- Gemeinschaft: Eine eigenmächtige (...) Nutzung externer [IT-] Dienstleistungen durch Beschäftigte (...) ist sowohl aus datenschutzrechtlichen als auch aus IT-sicherheitstechnischen Gründen abzulehnen (...)! 10

Bitte fragen Sie jetzt! Vielen Dank! Ingmar Camphausen IT-Dienst, FB Mathematik und Informatik Freie Universität Berlin ingmar@mi.fu-berlin.de Tel. 030/838-75179 www.mi.fu-berlin.de 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback