Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens



Ähnliche Dokumente
Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse

Big Data mit Compliance: Konzepte für den Umgang mit Compliance beim Einsatz von Big Data in der Finanzbranche

Sicherheit und Compliance in der Cloud

Informationssicherheit im Cloud Computing

Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen

Geschäftsprozesse in die Cloud - aber sicher! (... und compliant)

Zertifizierung für sichere Cyber-Physikalische Systeme

Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen

Sicherheit und Compliance für IT-gestützte Prozesse

IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag)

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Herausforderungen des Enterprise Endpoint Managements

IT-Grundschutz: Cloud-Bausteine

Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

Sicherheitsanalyse von Private Clouds

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI

Sicherheits-Tipps für Cloud-Worker

IDV Assessment- und Migration Factory für Banken und Versicherungen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

IT-Security Portfolio

Pressekonferenz Cloud Monitor 2015

Cloud Computing mit IT-Grundschutz

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Die neuen Cloud-Zertifizierungen nach ISO und ISO DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Freie Universität Berlin

IT-Security Portfolio

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Technische Aspekte der ISO-27001

ITIL & IT-Sicherheit. Michael Storz CN8

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Datenschutz und Informationssicherheit

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Kirchlicher Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

Anforderungen für sicheres Cloud Computing

Herausforderungen der IT-Sicherheit aus rechtlicher Sicht

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box

Cloud Computing Security

Leistungsportfolio Security

Sicherheit und Datenschutz in der Cloud

Aktuelle Herausforderungen im Datenschutz

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten


bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

IT-Revision als Chance für das IT- Management

Der Schutz von Patientendaten

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

1. bvh-datenschutztag 2013

Security Audits. Ihre IT beim TÜV

Zugriff auf Unternehmensdaten über Mobilgeräte

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

3 Juristische Grundlagen

Deutscher Städtetag 29. Forum Kommunikation und Netze,

Datenschutzanwendung

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Informationssicherheit ein Best-Practice Überblick (Einblick)

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

Datenschutz im Client-Management Warum Made in Germany

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Einführung eines ISMS nach ISO 27001:2013

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Architecture of Open Embedded Systems

Rechtssicher in die Cloud

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Patchmanagement. Jochen Schlichting Jochen Schlichting

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Informationssicherheit als Outsourcing Kandidat

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Bausteine eines Prozessmodells für Security-Engineering

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Planung und Umsetzung von IT-Compliance in Unternehmen

Transkript:

Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung Investition in unsere Zukunft unterstützt. 1

Herausforderung: Sicherheit und Compliance in der Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 2

Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 3

Herausforderung Compliance Steigende Anzahl von Regulierungen z.b. Finanzen: Solvency II, Basel III; Gesundheit: Medizinproduktegesetz (MPG); Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG) Steigende Komplexität des Compliance-Nachweises: Viele Facetten: Anforderungen an Geschäftsprozesse (Design + Ausführung), IT-Infrastruktur (+ deren Prozesse), deren Abhängigkeiten Wechselseitige Abhängigkeiten von Vorgaben Aggregation von Vorgaben bei komplexen IT-Systemen Cloud-Computing besondere Anforderungen Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 4

Sicherheit vs. Compliance: Regularien und Standards Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 5

Herausforderung: Komplexität Beispiel: MaRisk (VA) (Mindestanforderungen an das Risikomanagement im Versicherungswesen) Querverweise ausgehend von 10 (Ausschnitt) Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 6

Compliance-Szenarien in der Cloud Kunde -> Cloud: Sicherheits-Compliance: Sicherheitsprozesse der Cloud auf Compliance mit SLA Legale Compliance: Compliance vs. Auslagerung der Geschäftsprozesse Cloud -> Kunde: Sicherheits-Compliance: Überprüfung der Kundenprozesse auf Verstoß gegen Verhaltensbestimmungen Wichtig: Compliance bleibt in Verantwortung des Kunden! Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 7

Notwendig: Werkzeuge für Compliance-Management Manueller Nachweis aufwendig und kostenintensiv. Erforderliche Daten schwer manuell erfassbar. Prüfung einzelner Eigenschaften bereits komplex und umfangreich. Großer Bedarf an Compliance-Werkzeugen (1,3 Mrd.$ [Forrester 2011]) Werkzeuge: bislang i.w. Unterstützung der manuellen Dokumentation. Schwachpunkte: Automatisierte Erfassung / Analyse von Complianceanforderungen. Überwachung der Compliancevorgaben. Derzeitige Risiko-Bewertungsmethoden generell nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011 Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 8

Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 9

Lösung: Werkzeuggestützte Compliance-Analysen Ziele: Bewältigung der Komplexität und Kostenersparnis durch werkzeuggestützte Compliance-Analysen. Bessere Überprüfbarkeit der Ergebnisse. Idee: Entwicklung Werkzeuge für: Management und Analyse von Compliance-Anforderungen mit vorhandenen Artefakten: Textdokumente, Software- / Geschäftsprozessmodelle, Logdaten Compliance- Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Expertensystem für Compliance Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 10

Projekt ClouDAT Werkzeugunterstützung für: Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit und Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheits- und Compliance-Garantien Unter Verwendung u.a.: Business process mining Untersuchung von Log-Daten Business process analysis Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 11

Integrierte Compliance Management Plattform: Workflow Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 12

Sicherheitsbedarfsanalyse: Unterstützte Regelwerke Import-Werkzeug: Regelwerke in Ontologie. Mögliche Eingaben z.b.: Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Kataloge Standards 100-1, 100-2, 100-3, 100-4 Bundesgesetze (www.juris.de) z.b. Bundesdatenschutzgesetz Mindestanforderungen an das Risikomanagement MARisk VA (Versicherungen) ISO/IEC 2700x-Reihe ÄApprO BÄO ISO 9001 HKG KHBV BDSG GOÄ MPBetreibV HWG IfSG ISO 80001 1 2 3 Richtlinien- Pool Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 13

Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Architekturebene Geschäftsprozesse Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 15

Analysewerkzeug CARiSMA Sicherheitsanalysen auf GP-/Softwaremodellen Eclipse Plugin-Architektur Integriert etablierte Modellierungswerkzeuge, z.b. Topcased Open Source Plattformunabhängig Erweiterbarkeit http://carisma.umlsec.de Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 16

Compliance-Analyse-Werkzeug CARiSMA: Architektur Wenzel, Humberg, Wessel, Poggenpohl, Ruhroth, Jürjens. 3rd Int. Conf. Cloud Computing and Services Science, 2013 CARiSMA Unterneh- mens- Daten Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 17

Architekturebene: Cloud- / Sicherheits-Modellierung mit UMLsec [N. Astahov 2014] Jan Jürjens: Automatische Validierung: Architekturebene 18

Architekturebene: Exploit-Checking für Cloud-Umgebungen Mittels Exploit-Datenbanken (Common Vulnerabilities and Exposures (CVE), Common Platform Enumeration (CPE), Common Vulnerability Scoring System (CVSS v2)) [M. Nimbs 2014] Jan Jürjens: Automatische Validierung: Architekturebene 19

Architekturebene: Architektur-basierte Risikoanalyse [F. Coerschulte 2014] Jan Jürjens: Automatische Validierung: Architekturebene 20

Analyse der Geschäftsprozesse Jan Jürjens: Automatische Validierung: Geschäftsprozesse 21

GP-Ebene: Textbasierte Risiko-Identifikation Jürjens et al., Journal of Software and Systems Modeling, 2011 Kunde stellt Anfrage zu Cloud-Service Dienstleister erhält Serviceanfrage Eingabe personenbezogener Daten Verschlüsselung und Authentifikation Prüfung der Daten Gefundene Pattern Aktivität [Kunde stellt Anfrage zu Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Identifizierte Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen (200.0) Ausdrücke 22 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 22

Compare GP-Ebene: Umsetzung Textbasierte Risiko-Identifikation Schlagwörtern wird Schutzbedarf zugeordnet. Bsp. Sozialversicherungsnummer personenbezogene Daten hoher Schutzbedarf gemäß 3 Abs. 8 BDSG darf nur innerhalb der EU verarbeitet werden Linguistic database Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Extension ~~~~, ~~~, ~~~~, ~~~, ~~,~~~~~~, ~~, ~~~,~~~~~, ~~, ~~~~,~~, ~~, ~~~,~~ Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Jan Jürjens: Automatische Validierung: Geschäftsprozesse 23

Text-basierte Risikoidentifikation: Textprozessor Jan Jürjens: Automatische Validierung: Geschäftsprozesse 24

GP-Ebene: Strukturbasierte Complianceanalyse J. Jürjens et al.. J. Inform. Management & Computer Security, 2013 Jürjens et al., Int. Journal on Intelligent Systems 25(8): 813-840 (2010) 25 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 25

Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 26

Compliance vs. Laufzeit-Daten Jürjens et al., Journal on Computers & Security 29(3): 315-330 (2010) Business Process Mining: Prozesse aus Logdaten rekonstruieren A X C B Alternativ: Compliance- Monitoring auf Logdaten. Beispiel: 4-Augen-Prinzip Ereignisdaten ERP SCM WfMS CRM... Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 27

Roadmap Herausforderungen Lösungen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 28

Leistungen / Angebote des Fraunhofer ISST Machbarkeits- und Anforderungsanalysen für technologische, organisatorische und rechtliche Vorgaben zu Compliance, Risikomanagement, IT-Sicherheit. Ökonomische Bewertung von IT-Sicherheitsmaßnahmen hinsichtlich ihres Einsatzes in konkreten IT-Systemen. Beratung zu Compliance- und Sicherheitsaspekten während Entwicklung, Pflege und Einsatz von IT-Systemen. Durchführung von Risikoanalysen und Unterstützung beim Risikomanagement. Entwicklung von Analyse- und Monitoringwerkzeugen zur Überwachung von Geschäftsprozessen und IT-Systemen auf Compliance- und Sicherheitsanforderungen (z.b. Datenschutz und Datensicherheit). Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 29

Einige Referenz-Projekte Elektronische Gesundheitskarte Sicherheitsrichtlinien für mobile Endgeräte Digitale Dokumentenverwaltung Digitale Geldbörse CEPS Sicherheitsanalyse Dokumentenmanagement Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Einführung IT-Sicherheitsrisikobewertung Update-Plattform für Smartcard-Software Cloud-spezifisch: Zertifizierungen für Cloud-Sicherheit Sicherheitsuntersuchungen zur Cloud-Nutzung Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 30

Zusammenfassung Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. Lösungen (und Tools) zur Bewältigung der Herausforderungen: Analyse der Geschäftsprozesse zur Auslagerung in Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: http://jan.jurjens.de Jan Jürjens: Geschäftsprozesse in die Cloud 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback