Datenschutz und Cloud (k)ein Widerspruch für Ihr Unternehmen!? André Mohr Lead Security Consultant Cloud Computing Streng vertraulich, Vertraulich, Intern Autor / Thema der Präsentation 25.04.2016 1
Agenda 1. Typisierung die Unterschiede von Clouds verstehen 2. Zertifizierungen die passende Cloud erkennen 3. Internationalisierung Datenschutz grenzübergreifend etablieren 4. Konfiguration eine Cloud-Architektur entwerfen 5. Verbund eine Cloud mit anderen Systemen verbinden André Mohr / Datenschutz und Cloud (k)ein Widerspruch 25.04.2016 2
Typisierung die Unterschiede von Clouds verstehen Enterprise Cloud Passend für Enterprise (legacy) Applikationen Integrität, Verfügbarkeit, Vertraulichkeit durch Cloud Design Unterstützt klassische Denkansätze High scale Cloud Passend für Cloud-ready Applikationen Design for Failure Hoch automatisiert/virtualisiert Konfigurationszentriert Gibt es nur Private, Hybrid und Public Cloud? 3
Typisierung die Unterschiede von Clouds verstehen Welche regulatorischen oder organisatorischen Anforderungen habe ich? Branchenspezifische/nationale/unternehmens-interne Anforderungen, Welche Rechtsräume muss ich beachten? Deutschland, EU, Vertrauenswürdige Drittländer, International Betrieb (Follow the sun), 3rd-level Support Welche Anforderungen habe ich bei den Schutzzielen (Vertraulichkeit, Verfügbarkeit, Integrität)? Welche technischen Anforderungen habe ich? Spezielle Technologien, Schnittstellen, Erreichbarkeiten, etc. Welche Applikation möchte ich in Cloud bringen? Legacy, Cloud-ready, Black-Box Applikation, etc. 4
Zertifizierungen die passende Cloud erkennen Kunden-individuelle Anforderungen Cloud-Markt Standard Frameworks Provider Spez. Rahmenwerk Individuelle Fragen ISO 27001, CSA Star, TÜV PSA/ESARIS, Amazon Compliance Site, etc Eigener Fragenkatalog Resultat 5
Allgemein - Spezifisch Zertifizierungen die passende Cloud erkennen ISO 27017 ISO 27018 Deutschland > International 6
Internationalisierung Datenschutz grenzübergreifend etablieren Regulatorisch vs Technisch Aktuelles Problem (Safe Harbor) Klage/Beschwerde des Österreichers Max Schrems bzgl. des Umgangs mit seinen pbd durch Facebook bei der irischen DAB Abweisung mit Verweis auf Entscheidung der EU Kommission zu Safe Harbor aus 2000 Vorlage zur Entscheidung beim EuGH 10/ 2015: Urteil des EuGH: Ungültigkeitserklärung der Safe Harbor Entscheidung der Europäischen Kommission aus dem Jahre 2000 (2000/520/EG) Aktuelle Alternativen ADV-Kette EU und Andorra, Argentinien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Uruguay, Neuseeland Privacy Shield EU Model Clauses (mit Vollmacht) Stand 12.04.2016 ohne Gewähr 7
Internationalisierung Datenschutz grenzübergreifend etablieren Regulatorisch vs Technisch Binden von Daten auf lokale RZ mit lokalem Betrieb Klassifizierung von Daten Rechtsgrenzen beachten Verwendung von Verschlüsselungstechnologien 8
Konfiguration eine Cloud-Architektur entwerfen Compute Virtualisierungstechnologie Host-based VM Container Dediziert / Scheduler / Shared Multicore Rechenzentren, Verfügbarkeitszonen Storage Storage-Typen VM attached Storage Object Storage NAS Storage Back-up Storage-klassen Verfügbarkeit Dedicated vs Shared Network Anbindung Plattform VPN LB/RP SSL Private Link Traffic in Plattform Vlan/vxlan VDC Software Defined Networks Segmentierung (z.b. 3-Schichten Architektur), Definition von verschiedenen Schutzklassen 9
Konfiguration eine Cloud-Architektur entwerfen Rollen- und Berechtigungskonzept Backup Konzept Verwendung von Security-Modulen (Logging, IDS/IPS, Mail Relays, Reverse Proxys, LB) Prozessintegration (ggf. mit Hilfe von Automatisiert) Incidenthandling Anbindung an Monitoring Kontakt zu Cloud-Anbieter Updates/Patching 10
Verbund eine Cloud mit anderen Systemen verbinden Enterprise Cloud Web Cloud HPC on premise 11
Verbund eine Cloud mit anderen Systemen verbinden Verschlüsselungs gateway Schlüsselverwaltung Intern Extern 12
Datenschutz und Cloud (k)ein Widerspruch für Ihr Unternehmen!? Security Datenschutz Prozessintegration Rechen- Zentrum Netzwerke ANALYSE Application Datenschutz & Compliance IT- Infrastruktur IHR WEGWEISER IN DIE SICHERE CLOUD André Mohr / Datenschutz und Cloud (k)ein Widerspruch 25.04.2016 13
DOCULIFE AUF EINEN BLICK DOKUMENTENVERWALTUNG MIT SYSTEM Hochsicherheit Rechenzentrum der Deutschen Telekom AG in Deutschland Revisions- und gesetzeskonforme, auditierbare Langzeitarchivierung von Dokumenten Datenschutz und -sicherheit End-to-End-Vollverschlüsselung Beschlagnahmeschutz Berufsgeheimnisträger 203 Effizienzsteigerung Beschleunigt Recherche und Kommunikation Einheitliches System Mobil verfügbar Zugriff auf alle Dokumente anytime und anywhere Prozesse Fachabteilungund -branchenspezifisch Kosten- & Prozessoptimierung Keine Startinvestition Schnelle Inbetriebnahme Kurzer Projektzyklus Keine eigenen Infrastruktur Nutzungsabhängige, kalkulierbare Mietkosten Standards ermöglichen Skalierbarkeit Zukunftssicherheit Offene Schnittstellen Wächst mit dem Unternehmen Fortschrittliche Technologie Flexibles Berechtigungssystem für die Abbildung von Bereichen und Referaten Gesetzes- und Compliancekonformes Akten- und Dokumentenmanagement hochverfügbare Informationsplattform 25.04.2016 14
Kontakt Erleben was verbindet Andre Mohr IT-Security Consultant Digital Integrity Consulting T-Systems Multimedia Solutions GmbH Riesaer Str. 5, 01129 Dresden, Germany Phone + 49 351 28280 2111 E-mail: andre.mohr@t-systems.com