Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cloud Security geht das? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0
Sicherheit in der Cloud geht das? im Prinzip ja aber @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 2
Firmenportrait Juni 2002 gegründet heute 28 Mitarbeiter Sitz: Leichlingen/Rheinland IT-Strategie- und Technologieberatung kein HW- oder SW-Vertrieb! Beratungsschwerpunkte: Informationssicherheit IT-Risikomanagement IT-Outsourcing Zielgruppe: mittelständische und große Organisationen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 3
Themenbereiche Informationssicherheit Risikomanagement IT Sourcing @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 4
IT und Risikomanagement IT-Risikomanagement = Der bewusste und gezielte Umgang mit den Risiken, die sich für Organisationen durch den Einsatz von IT ergeben können! @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 5
IT-Risikomanagement ist kein Selbstzweck Warum IT-Risikomanagement? Schutz vor Ausfällen/Stillständen - Produktion - Auslieferung etc. Schutz vor Know-how-Verlust Schutz vor dem Gesetzgeber - Compliance @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 6
IT und Risikomanagement Elemente von IT-Risikomanagement Business Continuity Business Security Business Compliance IT-Forensik @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 7
Business -Security ist nur ein Baustein eines ganzheitlichen, unternehmensweiten IT-Riskmanagements aber ein sehr wichtiger es geht um die Sicherheit Ihrer Daten Know-how gesetzlich besonders geschützte für die Sie die Verantwortung haben @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 8
Definition Cloud Computing Nach Bitkom / NIST: IT-Leistungen flexibel in Echtzeit Abrechnung nach Nutzung Ressourcenteilung Bezug via Internet 9
Cloud Security in der Cloud @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 10
Cloud Idee der Cloud ist providergetrieben optimierte Nutzung vorhandener RZ Ressourcen weltweite RZ (Über-)Kapazitäten weltweite Flat-TK-Anbindungen optimierte Ressourcennutzung durch Virtualisierung Annahme: dem Kunden ist egal wo die Daten liegen die Daten verarbeitet werden Hauptsache günstig @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 11
Sicherheit in der Cloud Anwendungen Infrastrukturen Verträge Alles wird durch viele geteilt @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 12
Cloud Sicherheit in der Cloud große Anbieter haben RZ in der ganzen Welt diese sind untereinander vernetzt in bestimmten Ländern sind hochwertige Verschlüsselungsalgorithmen nicht zugelassen Damit wird die Datensicherheit stark eingeschränkt bis unmöglich auch Regionalisierung hilft da nicht, RZ s sind grundsätzlich vernetzt echte Individualisierung nimmt den Kostenvorteil @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 13
Sicherheit in der Cloud Sicherheitsrisiken bei Anwendungen Wer betreibt eigentlich die Anwendung? Administration Sie teilen sich die Anwendung mit vielen!! Wer darf was? Welche Rechte hat der Betreiber? Welche Rechte haben Sie???? Ist die Anwendung in sich sicher??? Wie manipulationssicher ist sie? Wer kann noch Ihre Daten sehen? Sind Sie für andere Nutzer sichtbar? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 14
Sicherheit in der Cloud Sicherheitsrisiko Infrastruktur grundsätzlich zu beachten Wo stehen die RZ? einige gesetzliche Vorgaben machen das Verarbeiten und Speichern von Daten im Ausland nahezu unmöglich: BDSG, Finanzämter Wie sehen Verschlüsselungsszenarien aus? Kommunikation: VPN Daten: Gibt es überhaupt welche? Wer hat den Schlüssel? Sie oder der Provider? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 15
Sicherheit in der Cloud Verträge Extreme Standardisierung Reichen die Standards für Sie aus? Wie sehen die Security SLA s aus? Gibt es überhaupt welche? Achten Sie darauf, daß Sie deutschem und EU Recht genüge tun! 1. Sind Auditmöglichkeiten eingeräumt? Meist nicht!! Aber Sie sind verantwortlich!! Wie wollen Sie der Verantwortung gerecht werden, wenn Sie keine Kontrollmöglichkeiten haben? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 16
Sicherheit in der Cloud @-yet Erfahrungen Sicherheit ist bei den meisten Cloudanbietern sehr schwach ausgeprägt Anbieter begnügen sich meist mit dem Basisschutz Sicherheitsdenken ist stark unterentwickelt Vielen Anbietern, vor allem aus dem angloamerikanischen raum, sind deutsche und/oder europäische gesetzliche Auflagen schlicht egal 1. Die meisten Sicherheitsvorfälle, die wir untersuchen mussten, waren Vorfälle in geshareten Umgebungen alle nannten sich Cloud @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 17
Sicherheit in der Cloud @-yet Erfahrungen Gütesiegel sind mit Vorsicht zu genießen viele sind Interessen getrieben ISO2700x Zertifizierungen langen nicht, da meist nur auf sehr begrenzte Szenarien ausgestellt nahezu nie auf das Gesamtszenario (RZ, Betrieb, Anwendung) ausgerollt 1. Anbieter die kein Auditrecht zulassen und Ihnen nicht den Verschlüsselungsschlüssel geben sind eigentlich mit Vorsicht zu genießen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 18
Sicherheit in der Cloud geht das? im Prinzip und von den Möglichkeiten her: ja!!! aber die Wirklichkeit sieht leider katastrophal aus @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 19
Vielen Dank für Ihre Aufmerksamkeit! Fragen? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0