Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung Investition in unsere Zukunft unterstützt. http://jan.jurjens.de
Herausforderung: Sicherheit und Compliance in der Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? 2 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen
Sicherheit vs. Compliance: Regularien und Standards Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch 3 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen
Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) 4 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen
Compliance-Szenarien in der Cloud Kunde -> Cloud: Sicherheits-Compliance: Sicherheitsprozesse der Cloud auf Compliance mit SLA Legale Compliance: Compliance vs. Auslagerung der Geschäftsprozesse Cloud -> Cloud: Vertrags-Compliance: Überprüfung der Interaktion zweier Geschäftspartner in der Cloud Cloud -> Kunde: Sicherheits-Compliance: Überprüfung der Kundenprozesse auf Verstoß gegen Verhaltensbestimmungen 5 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen
Herausforderung Compliance Hoher Aufwand => teuer Trotzdem immer wieder Lücken (Societe Generale 2008: 5 Mrd. Euro Verlust). Herausforderung: Manuellen Aufwand reduzieren Dadurch mehr Zeit für Konzentration auf wichtige GRC-Probleme Automatische Prüfung erhöht außerdem Verlässlichkeit. Compliance-Checks können die Geschäftsprozesse des Cloud-Anwenders auch auf allgemeine Compliance (z.b. SOX, EURO-SOX, BASEL II, SOLVENCY II) Kann Compliance von Geschäftsprozessen auf zwei Arten erreichen: Compliance by design Compliance Validierung 6 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen und Lösungen
Compliance: Herausforderungen bewältigen GRC-Aufgaben automatisieren Reduktion des manuellen Aufwandes Experten konzentrieren sich auf Spezialfälle Wissensbasis über GRC aufbauen Datenquellen: Interviews, Texte, Prozesse, Process mining Evaluierung des Risikomanagements Idealerweise (teil-)automatisiert durch Werkzeugunterstützung Überwachung von GRC unterstützten Einsatz von Überwachungs-Werkzeugen, z.b. in Web-Portalen Ideal: Wiederverwendung der Informationen zur Prozessoptimierung 7
Projekt ClouDAT Werkzeuggestützte Methode zur Umsetzung von Geschäftsprozessen auf IT-Infrastrukturen unter Beachtung von Compliance-Anforderungen (z.b. Basel II, Solvency II,...). Analyse wird auf Basis von Textdokumenten, Modellen und anderen Datenquellen durchgeführt Governance, Risk, Compliance (GRC) und Maßnahmen für Cloud Computing 8
ClouDAT: Werkzeugunterstützung Werkzeugunterstützung für: Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit und Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheits- und Compliance-Garantien Möglichkeiten: Business process mining Untersuchung von Log-Daten Business process analysis 9
Untersuchung von Log-Daten Vier-Augen-Prinzip Identifikation des Vier-Augen-Prinzips mit Hilfe der folgenden Informationen: Vorgangsnummern stimmen überein Nutzer sind verschieden Aktionen wurden zum selben Zeitpunkt abgeschlossen 10
Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe Ereignis- Daten 1 A John 9-3-10:15.01 2 A Mike 9-3-10:15.12 3 B Mike 9-3-10:16.07 4 C Carol 9-3-10:18.25 ERP SCM WfMS... CRM 11
Business Process Analysis Automatisierte Compliance-Analyse Zwei Ansätze: 1. Text-basierte Analyse der Aktivitäts-bezeichner zur automatischen Identifikation von Risiken 2. Strukturelle Analyse des Prozessmodells auf Muster, die Compliance verletzen 12
Werkzeuggestützte Analyse und Umsetzung von Sicherheit und Compliance Abstrakte Gesetze und Regularien Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch ClouDAT Werkzeuge Risk Finder Compliance pattern analyzer 13
Die ClouDAT- Werkzeugarchitektur 14
Werkzeug Dateneingabe: Prozesse, Daten 15
Werkzeug Dateneingabe: Sicherheitsklassifizierung 16
Werkzeug Dateneingabe: Systemarchitektur 17
Sicherheitsbewertungsanalyse (SBA) Bewertung von Sicherheitsanforderungen für Prozessschritte 18
Werkzeug: Sicherheitsmaßnahmen 19
Analyseergebnis Automatisch generierter Compliance-Bericht: Grundlage sind Sicherheitsstandards, z.b. BSI Sicherheitsempfehlungen oder MaRisk Beispiel: Compliant zu: MaRISK VA (ja / nein) Führt weitere zu untersuchende Anforderungen auf Schlägt Maßnahmen zur Verbesserung der Übereinstimmung mit Compliance- Anforderungen vor: Compliance: incomplete Automatische Korrektur Manuelle Korrektur Compliance-Bericht Problem: - MaRISK VA 7.2: Übereinstimmung mit BSI G3.1 ist zu prüfen Maßnahme: - BSI Maßnahmenkatalog M 2.62 20
Einige Referenz-Projekte Elektronische Gesundheitskarte Mobile Architekturen und Verfahren Digitale Dokumentenverwaltung Digitales Bezahlprotokoll CEPS Sicherheitsanalyse Intranet-System Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Untersuchung zu IT-Sicherheitsrisiko Update-Plattform für Smartcard-Software Zertifizierung für Cloud-Sicherheit Sicherheitsuntersuchung zur Cloud-Nutzung 21
Fazit Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. So vielfältig wie Clouds selbst Gibt Lösungen (und Tools) zur Bewältigung der Herausforderungen. Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: http://jan.jurjens.de 22 Jan Jürjens: Sicherheit und Compliance in der Cloud