Sicherheit die Herausforderungen beim Outsourcing



Ähnliche Dokumente
1. Weniger Steuern zahlen

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Leichte Sprache Informationen zum Europäischen Sozialfonds (ESF) Was ist der Europäische Sozialfonds?

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Deutsches Forschungsnetz

Jahresabschluss Finanzbuchhaltung INGARA. Provisorisch und Definitiv. INGARA Version

das usa team Ziegenberger Weg Ober-Mörlen Tel Fax: mail: lohoff@dasusateam.de web:

Vertrauen in Medien und politische Kommunikation die Meinung der Bürger

How to do? Projekte - Zeiterfassung

Das Leitbild vom Verein WIR

Web 2.0 für die öffentliche Verwaltung

Psychologie im Arbeitsschutz

Leichte-Sprache-Bilder

Cloud Computing mit IT-Grundschutz

Holiday plans: ein Gespräch über Urlaubspläne

Linked Open Data (LOD) in der Landwirtschaft. Workshop Anwendungsbeispiele nach Themen I

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Jetzt entscheide ich selbst!

Anleitung. Empowerment-Fragebogen VrijBaan / AEIOU

Jeder ist ein Teil vom Ganzen Inklusion ändert den Blick

1. Einschränkung für Mac-User ohne Office Dokumente hochladen, teilen und bearbeiten

Was ist Sozial-Raum-Orientierung?

Datenschutz und Qualitätssicherung

Was meinen die Leute eigentlich mit: Grexit?

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Fragebogen: Abschlussbefragung

Erstellen einer in OWA (Outlook Web App)


Erhebung zur Internetnutzung

Nicht über uns ohne uns

Wir machen neue Politik für Baden-Württemberg

Datenschutz im Alters- und Pflegeheim

ALEMÃO. Text 1. Lernen, lernen, lernen

Der Kalender im ipad

D i e n s t e D r i t t e r a u f We b s i t e s


In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Predigt Salvenmoser: Nun aber bleiben Glaube, Hoffnung, Liebe.

Information Security Management System. Klausur Wintersemester 2009/10 Hochschule Albstadt-Sigmaringen

Big Data wohin geht das Recht. Claudia Keller, Rechtsanwältin

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Alles was Recht ist. Justiz und Recht besser verstehen.

FORUM HANDREICHUNG (STAND: AUGUST 2013)

Was ich als Bürgermeister für Lübbecke tun möchte

Workshop für ZGV-Mitglieder zum Thema Software as a Service bzw. SOFLEX Software flexibel mieten

Projektmanagement in der Spieleentwicklung

y P (Y = y) 1/6 1/6 1/6 1/6 1/6 1/6

GPP Projekte gemeinsam zum Erfolg führen

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Gruppenrichtlinien und Softwareverteilung

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

9 Auto. Rund um das Auto. Welche Wörter zum Thema Auto kennst du? Welches Wort passt? Lies die Definitionen und ordne zu.

Sparen in Deutschland - mit Blick über die Ländergrenzen

Zeichen bei Zahlen entschlüsseln

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Positionierungsspiel. Statements und Fragen zu Werbung im Social Web

Benutzerverwaltung Business- & Company-Paket

Die neuen Cloud-Zertifizierungen nach ISO und ISO DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Erfolgsfaktoren im Projektmanagement

Cloud Computing Security

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

IT-Trend-Befragung Xing Community IT Connection

Doku zur Gebäudebrüter Datenbank

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Vermeiden Sie es sich bei einer deutlich erfahreneren Person "dranzuhängen", Sie sind persönlich verantwortlich für Ihren Lernerfolg.

Tutorium Klinische Psychologie I. Fragen zur Ausbildung und rechtlichen Grundlagen in der Klinischen Psychologie

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Professionelle Seminare im Bereich MS-Office

Meinungen zur Altersvorsorge

MdtTax Programm. Programm Dokumentation. Datenbank Schnittstelle. Das Hauptmenü. Die Bedienung des Programms geht über das Hauptmenü.

Anlage eines neuen Geschäftsjahres in der Office Line

Anleitung für IQES-Verantwortliche Schulkonto verwalten

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Kundenbefragung als Vehikel zur Optimierung des Customer Service Feedback des Kunden nutzen zur Verbesserung der eigenen Prozesse

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

Cloud-Computing. Selina Oertli KBW

Fotos verkleinern mit Paint

Gefahr erkannt Gefahr gebannt

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Umgang mit Schaubildern am Beispiel Deutschland surft

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Erfolgreiche Webseiten: Zur Notwendigkeit die eigene(n) Zielgruppe(n) zu kennen und zu verstehen!

Die richtigen Partner finden, Ressourcen finden und zusammenführen

Kurzanleitung OOVS. Reseller Interface. Allgemein

Regeln für das Qualitäts-Siegel

Einrichtung des WLANs so funktioniert s // DHBW Mosbach / Campus Bad Mergentheim / IT Service Center

Neuer Releasestand Finanzbuchhaltung DAM-EDV E Inhaltsverzeichnis. 1. Neuerungen Schnittstelle Telebanking mit IBAN und BIC...

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Nutzung dieser Internetseite

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Träger : Kath. Kirchengemeinde St. Laurentius Bretten

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Die Post hat eine Umfrage gemacht

Alterskonferenz Biel vom 6. Dezember Katharina Frischknecht, lic.phil. / MAS Gerontologie Koordinatorin Altersplanung Abteilung Alter

KEINE SEXUELLEN ÜBERGRIFFE IM OL-SPORT. Merkblatt Kinder und Jugendliche oder AthletInnen

Transkript:

Sicherheit die Herausforderungen beim Outsourcing Rolf Oppliger / 29. August 2012 Übersicht #1: Kontrolle und Verfügbarkeit #2: Vertraulichkeit Schlussfolgerungen und Ausblick 2 1

Outsourcing Auslagerung einer Tätigkeit oder eines Arbeitsprozesses an einen Dritten (Diensteanbieter) In unserer arbeitsteiligen Welt ist Outsourcing allgegenwärtig (zunehmend auch in der IKT) Cloud Computing dienst-zentrierte Form des IKT- Outsourcings (vgl. Referat von Prof. Lubich) Weil a priori nicht klar ist, in welchen Rechenzentren und auf welchen Computersystemen Daten beim Cloud Computing gespeichert und bearbeitet werden, kommen neue Sicherheitsfragen hinzu 3 Es gibt viele Studien zur Sicherheit im IKT-Outsourcing bzw. Cloud Computing European Network and Information Security Agency (ENISA) Cloud Computing Benefits, Risks and Recommendations for Information Security (November 2009) Security & Resilience in Governmental Clouds (Januar 2011) Cloud Security Alliance (CSA) Security Guidance for Critical Areas of Focus in Cloud Computing (Version 3.0, 2011) 4 2

Fraunhofer-Gesellschaft Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) Cloud Computing Sicherheit Schutzziele, Taxonomie, Marktübersicht (September 2009) Institut für Sichere Informationstechnologie (SIT) On the Security of Cloud Storage Services (März 2012) Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Cloud-Computing für die öffentliche Verwaltung (ISPRAT- Studie, November 2010) 5 EuroCloud Swiss Leitfaden «Cloud Computing - Risk & Compliance» (März 2012) National Institute of Standards and Technology (NIST) Special Publication 800-144 «Guidelines on Security and Privacy in Public Cloud Computing» (Dezember 2011) 6 3

Das ISB erarbeitet zur Zeit auch eine konsolidierte Risikoanalyse Die Risiken sind technischer, organisatorischer und/ oder rechtlicher Art technisch organisatorisch Zentrale Problemfelder bzw. Herausforderungen Kontrolle und Verfügbarkeit Vertraulichkeit rechtlich 7 #1: Kontrolle und Verfügbarkeit Wer seine Datenbearbeitung auslagert, verliert die (alleinige) Kontrolle und wird vom Dienstanbieter abhängig Diese Abhängigkeit betrifft insbesondere auch die Verfügbarkeit, d.h. die Daten sind nur solange verfügbar, wie der Dienstanbieter das will Weil der Dienstanbieter möglicherweise einem anderen Rechtssystem untersteht und sich dieses ändern kann, können unerwartete Probleme entstehen (vgl. «Das Mädchen und die Cloud» in: digma 2012, Seite 28) Vertrauen! 8 4

#2: Vertraulichkeit Die Bearbeitung von Daten bedingt normalerweise, dass die Daten im Klarext vorliegen (Ansätze, wie Fully Homomorphic Encryption oder Secure Multiparty Computation, sind nicht praktikabel) Entsprechend hat der Dienstanbieter Einsicht in die Daten Daraus können Vertraulichkeitsprobleme entstehen Vertrauen! 9 Vertrauen ist ein Begriff, der die Menschheit seit jeher begleitet hat, und dem im Rahmen von Outsourcing bzw. Cloud Computing eine zentrale Bedeutung zukommt Dabei ist der Begriff nur schwer fassbar und «schwammig» definiert Im angelsächsischen Sprachraum unterschiedet man zwei Formen bzw. Ausprägungen Vertrauen im Sinne von «Trust» Vertrauen im Sinne von «Confidence» 10 5

Trust Bereitschaft, sich in Erwartung eines positiven Ausgangs und im Glauben in etwas (z.b. Person oder System) verletzlich zu machen Charakteristische Eigenschaften subjektiv nicht auf messbaren Beurteilungsgrundlagen und -kriterien basierend ( nicht wissenschaftlich) zukunftsorientiert Wer im Sinne von «Trust» vertraut, macht sich vom zukünftigen Verhalten einer Person oder eines Systems abhängig Risiken 11 Confindence auf Erfahrung und Evidenz basierender Glaube, dass gewisse zukünftige Ereignisse wie erwartet eintreten ( Zuversicht) Charakteristische Eigenschaften objektiv auf messbaren Beurteilungsgrundlagen und -kriterien basierend ( wissenschaftlich) vergangenheitsorientiert Grundlage für den Aufbau von «Confindence» sind statistische Aufzeichnungen und Auswertungen 12 6

Idealerweise stellt Vertrauen im Sinne von «Confidence» die Basis für eine Zusammenarbeit dar Wenn Vertrauen im Sinne von «Confidence» (noch) nicht existiert oder verloren gegangen ist, muss auf Vertrauen im Sinne von «Trust» zurückgegriffen werden Vertrauen 1. Vorfall 2. Vorfall Zeit 13 Der Aufbau von Vertrauen (im Sinne von «Confidence») erfordert Zeit und ein Ausbleiben von grösseren Vorfällen Dabei kann nur der zweite Punkt direkt beeinflusst werden In der Zwischenzeit ist man auf vertrauensbildende Massnahmen angewiesen Expertengutachten Öffentlichkeitsarbeit ISO/IEC 27001:2005- Zertifikate Andere Zertifikate 14 7

Schlussfolgerungen und Ausblick Viele Sicherheitsfragen im Outsourcing bzw. Cloud Computing lassen sich nicht schlüssig beantworten und führen unweigerlich zu einer Vertrauensfrage Vertrauen im Sinne von «Confidence» wäre zwar wünschenswert, in der Praxis ist aber leider oft nur Vertrauen im Sinne von «Trust» möglich Vertrauen ist gut, Kontrolle wäre besser! Die Verantwortung bleibt in jedem Fall beim Datenherrn 15 Besten Dank für Ihre Aufmerksamkeit! 16 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback