EuroCloud Deutschland_eco e.v

Ähnliche Dokumente
EuroCloud Deutschland_eco e.v Kompetenznetzwerk Trusted Cloud

EuroCloud Deutschland_eco e.v

Agenda.! Die Cloud-Strategie der Europäischen Kommission.! Themen und Arbeitsgruppen! Die Rolle von EuroCloud! Gestaltungsmöglichkeiten

Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Der Schutz von Patientendaten

Strategie und Vision der QSC AG

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Industrial Defender Defense in Depth Strategie

Trusted Capital Cloud mehr Sicherheit und Vertrauen für Dienste aus der Wolke in der Hauptstadtregion. Bernhard Cygan Solution Architect, StoneOne AG

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

TelekomCloud Business Marketplace Easy-to-Partner Programm. Telekom Cloud Services

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

EuroCloud Deutschland Confererence

Lösungen für ein sicheres System Management

Geyer & Weinig: Service Level Management in neuer Qualität.

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

Herausforderungen des Enterprise Endpoint Managements

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Cloud Computing in Deutschland

Zusammenfassung: Kompetenz- Workshop SaaS-Gütesiegel EuroCloud Deutschland_eco Kickoff, , Köln

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Das Kompetenznetzwerk Trusted Cloud

Hosting in der Private Cloud

Datensicherheit und Datenschutz von ehealth Apps

Cloud Computing Den Wandel gestalten Perspektiven und staatliche Fördermaßnahmen

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Strategie Intelligente Vernetzung Monitoring-Konzept

Die Cloud Computing-Aktivitäten des BMWi

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Benötigen wir einen Certified Maintainer?

Projekte für reale Herausforderungen Projektarbeit: Einleitung und Gliederung. Projekte für reale Herausforderungen

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH


Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie

Elektronische Verwaltungsarbeit

> Als Mittelständler auf dem Weg in die Cloud

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

Tour de Table Ihre Erwartungen und Beiträge zum Themennetz SOA / SaaS. Dr. Ulrich Springer, Fraunhofer ISST

IT-Security Portfolio

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Ugra Proof Certification Tool

IT-Security Portfolio

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx

Verpasst der Mittelstand den Zug?

Cloud Computing bei schweizerischen Unternehmen Offene Fragen und Antworten

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Pressekonferenz Cloud Monitor 2015

Big Data Projekte richtig managen!

Wir organisieren Ihre Sicherheit

ITSM-Lösungen als SaaS

Mit Sicherheit - IT-Sicherheit

Geoinformationen des Bundes in der Wolke

eco Umfrage IT-Sicherheit 2016

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Kosten senken und Innovation finanzieren.

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Leseauszug DGQ-Band 14-26

«Zertifizierter» Datenschutz

Rundum-G. Die Anforderungen durch ständig steigende

Herausforderungen beim Arbeiten in der Wolke

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

EN : Informationen für Management und Betrieb

Ein strategischer Partner

Industrie 4.0 in Deutschland

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

IT-Governance und COBIT. DI Eberhard Binder

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Hersteller-neutrale IT-Zertifizierungen im internationalen IT-Umfeld

10 größten SLA Irrtümer. Seminar: 8663 Service-Level-Agreement. Qualified for the Job

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

IT-Security im Zeitalter von Industrie Eine Annäherung. Dr. Dirk Husfeld, genua mbh 15. April 2015

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Cloud-Dienste in Forschung und Lehre: Wo liegen Chancen und Risiken?

GPP Projekte gemeinsam zum Erfolg führen

Informationssicherheit als Outsourcing Kandidat

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

IDV Assessment- und Migration Factory für Banken und Versicherungen

Hybrid-Szenarien in der Virtualisierung

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

15. Compliance Netzwerktreffen

Prozesse visualisieren mit Informatik- Werkzeugen Ist Schaffhausen bereit? Beat Kobler, Abteilungsleitung Service Center, KSD Schaffhausen

Rechtliche Neuerungen. Informationspflichten und Widerrufsrecht bei Architekten- und Planungsverträgen mit Verbrauchern

Transkript:

Euro Deutschland_eco e.v eco KG Sicherheit 25.02.2015 Security und Monitoring von kritischen Parametern Andreas Weiss Euro Deutschland_eco e.v. Verband der Computing Wirtschaft am Marktplatz Deutschland

Über das Euro Netzwerk 22 Länder +10 Kandidaten Netzwerk von > 300 Spezialisten > 1000 Mitgliedsunternehmen in den Ländern Arbeitsbereiche Customers Confidence in Standards and Interoperability Legal Framework Harmonization Linking Europe s Industry globally Research and Innovation Start-Up Encouragement

Internationale Vernetzung Gemeinsame Initiativen und Projekte Konferenzen Awards ECSA - Zertifzierung Digital Agenda Select Industry Group SLA Code of Conduct Ceritification Certification Risk assements Security Guide fo SMEs Resilience Standards Interoperability SLA

Basisthemen " Recht und Compliance " Service Level Agreements " Security " Datenschutz www.eurocloud-staraudit.eu www.ngcert.eu

Die Herausforderung " Services sind als Lieferkette zu betrachten und besitzen eine hohe Agilität im technischen Aufbau " Kein Service gleicht dem anderen " Perimeterschutz ist nur noch ein untergeordnetes Schutzelement " Technische Systeme müssen permanent gegen Angriffe von außen und von innen überwacht werden " Fragen zur technischen und organisatorischen Sicherheit, zum Datenschutz und zur Servicequalität stehen an oberster Stelle Wir gestalten das Internet

Zulieferkette Kunde 1 2 3 4 5 SaaS Anbieter Reseller Reseller Vermi9ler Lösungssanbieter Co Locator SaaS Anbieter Co Locator SaaS Anbieter IaaS Anbieter Co Locator PaaS Anbieter #1 DC PaaS SaaS Anbieter IaaS Anbieter # 1 DC IaaS SaaS Anbieter #1 Paas Anbieter #1 Iaas Anbieter # 1 DC #1 SaaS Anbieter #n Paas Anbieter #n Iaas Anbieter # n DC #n

IT Abteilung als Broker " Die IT Abteilungen der Unternehmen müssen sich zunehmend um IT Services kümmern, deren Betriebsverantwortung bei externen Anbietern liegt. IT http://www.enisa.europa.eu/media/press-releases/new-enisa-report--the-double-edged-sword-of-cloud-computing-in-criticalinformation-infrastructure-protection IT IT IT IT

ENISA C-SIG Certification " CCSL - Certification Schemes List Ziele: Transparenz zu diversen Zertifizierungen Darstellung der organisatorischen Hintergründe Differenzierung nach Audit und Selbstaussage https://resilience.enisa.europa.eu/cloud-computing-certification

Ausgangslage Traditionelle Zertifizierungsansätze " Manuelle Prüfung von Anforderungen eines Zertifikates " Statische Prüfungsintervalle (bzw. Gültigkeit) von ein bis drei Jahren Audit & Zertifizierung Audit Audit 0 1 2 Jahre

Ausgangslage Problem traditioneller Zertifizierungsansätze " Zwischen den Prüfungspunkten verändert sich der zertifizierte -Service " Die Nicht-Erfüllung von Anforderungen eines Zertifikates kann eintreten, ohne bemerkt zu werden Audit & Zertifizierung Audit?? Audit 0 1 2 Jahre

Ausgangslage Lösung: Automatisierte und fortlaufende Prüfung der Anforderungen " Automatisierter Abgleich von High-Level Anforderungen eines Zertifikates mit Informationen über den -Services (z.b. Verhalten anhand von Monitoringdaten zur Laufzeit des Services) Audit & Zertifizierung Audit?? Audit 0 1 2 Jahre

Dynamische Zertifizierung Computing Hohe Dynamik und rasanter technischer Fortschritt bei - Services Zertifizierungen Viele Zertifikate existierten bereits vor der -Ära; jedoch wenige spezialisierte Zertifikate Hohe Anforderungen deutscher Unternehmen hinsichtlich Qualität, Datenschutz und Datensicherheit von -Services Hohe Komplexität durch Rekombination von -Services Forderung: Bestehende Zertifikate stellen eine Momentaufnahme dar; Gültigkeit von 1-3 Jahren Werden die Auditkriterien nach Konfigurationsanpassungen noch eingehalten? Kontinuierlicher Nachweis des Zertifizierungsstatus mit Hilfe einer dynamischen Zertifizierung

Dynamische Zertifizierung Entwicklung von Verfahren zur (teil-) automatisierten Analyse von cloud-basierten Prozessen auf die Einhaltung kritischer Anforderungen z.b.: Sicherheit Verfügbarkeit Datenschutz Servicevereinbarungen Geschäftsbedingungen Das bedeutet: Audit 1 Klassisches Audit Audit 2 Kontinuierliche Auditierung Kontinuierliche Auditierung von - Services auf Basis von definierten Kennzahlen Automatisierung von Elementen des Prüfprozesses Technische, organisatorische, rechtliche und wirtschaftliche Rahmenbedingungen für die Integration in den Regelbetrieb des Anbieters

Im Detail Zertifikate Kriterienkataloge Aggregation und Interpretation von -Sensordaten Juristische Complex Event Processing Machine Learning & Data Mining Daten- und Prozessmodell Monitoring & Testwerkzeuge -Ökosysteme Statusinformationen Begleitforschung Technisch ableitbare Kriterien automatisiert ondemand validieren

Dynamische Zertifizierung von -Infrastrukturen Hypothesen: Es ist möglich, kritische Anforderungen eines Zertifikats automatisiert zu prüfen. Eine rein automatisierte Zertifizierung ist (nur) für einzelne Prüfschritte möglich. Mit Hilfe automatisierter Prüfschritte kann die Erfüllung von Anforderungen hinsichtlich Qualität, Datenschutz und Datensicherheit rechtssicher erbracht werden. Anforderungen eines Zertifikates (Kontrollkatalog) Validierungsergebnis (Dashboard) Kontrollkataloge (Anforderungen aller Zertifikate) Automatisiert überprüfbare technische Anforderungen Detection rule set Analyser (z.b. CEP) =Validierer Metrik 1 (mit Schwellwert) Metrik N Monitoring System Nicht automatisiert überprüfbare Technische Anforderungen User

Umsetzungsziele Voraussetzungen " Spezifikation der Anforderungen in Form von Anwendungsfällen für eine dynamische Zertifizierung, sowie Beschreibung eines Referenzmodells; " Definition eines Kennzahlensystems inklusive der (teil-)automatisierten Messund Vergleichsverfahren sowie eine Taxonomie zur Beschreibung von - Services als Grundlage für eine dynamische Zertifizierung; " Design der Systemarchitektur und des Vorgehens für das kontinuierliche Monitoring sowie Reporting an die unterschiedlichen Interessengruppen; " Dokumentation möglicher Vertragsrahmen, der organisatorischen und betrieblichen Aspekte, der wirtschaftlichen Betrachtung sowie der Akzeptanz; " Prototypische Implementierung von Basis-Komponenten, von Monitoring- Services sowie eines eines (teil)automatisierten Zertifizierungsdienstes " Evaluationsergebnisse und Erprobungsbericht aus den Pilotierungen bei den Feldpartnern " Wissenschaftliche Publikationen

Neues Sicherheitsdenken " Es gibt keine allgemeine Sicherheit, jede Serviceverbindung muss für sich betrachtet werden. " Der Begriff Sicherheit in der Ära sollte neu definiert werden. " Durch kontinuierliche Prüfung kritischer Faktoren in allen genutzten Diensten kann ein für dritte nachvollziehbares angemessenes Schutzniveau erreicht werden

ECSA Katalog und Self Assessment https://eurocloud-staraudit.eu/home/publications/ecsa-controls.html https://assessment.eurocloud-staraudit.eu/

Danke für Ihre Aufmerksamkeit! Andreas Weiss Direktor Euro Deutschland_eco e.v andreas.weiss@eurocloud.de " www.eurocloud.de " www.ecd-conference.de " www.eurocloud.org " www.cloudingsmes.eu " www.cloud-migration.eu " www.eurocloud-staraudit.eu " www.cloudcatalyst.eu " www.trustincloud.org " www.eurocloudcongress.org Wir gestalten das Internet

Mitglieder Euro und gemeinsame Aktivitäten Derzeit 135 Mitglieder Struktur Service Anbieter DC Betreiber ISP, Hosting & Managed Services Berater WP und Recht Systemhäuser http://www.eurocloud.de/ueberuns/mitgliederliste.html Leitfäden (KG) Erläuterung der Rahmenbedingungen Verständliche Terminologie Empfehlungen und Checklisten Events Kongresse Messen Roadshows Firmenevents Pressearbeit Award und Best Practice Rechtsfragen Datenschutz Datensicherheit Initiative und Netzwerke Euro Europe Trusted EU Projekte

Initiativen und Förderprojekte " ingsmes " Catalyst " Trusted " NGCert " Horizon 2020 " Trust in (AT)

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback