Sicherheitsprofil SaaS-CRM

Ähnliche Dokumente
Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Cloud Computing mit IT-Grundschutz

IT-Grundschutz: Cloud-Bausteine

Sicherheitsanalyse von Private Clouds

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Informationssicherheit als Outsourcing Kandidat

IT-Revision als Chance für das IT- Management

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Neues vom IT-Grundschutz: Ausblick und Diskussion

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

IT-Grundschutz-Bausteine Cloud Computing

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Freie Universität Berlin

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

ITIL & IT-Sicherheit. Michael Storz CN8

Bausteine eines Prozessmodells für Security-Engineering

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

SSZ Policy und IAM Strategie BIT

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Cloud Computing Security

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Kirchlicher Datenschutz

Der Schutz von Patientendaten

Informationssicherheit ein Best-Practice Überblick (Einblick)

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am


Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Cloud-Computing. Selina Oertli KBW

IT-Sicherheit in der Energiewirtschaft

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Risikomanagement bei PPP Projekten: Erfahrungen aus Deutschland

Personal- und Kundendaten Datenschutz in Werbeagenturen

Deutsches Forschungsnetz

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Code of Conduct (CoC)

BSI Technische Richtlinie

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Personal- und Kundendaten Datenschutz bei Energieversorgern


Test zur Bereitschaft für die Cloud

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Herausforderungen beim Arbeiten in der Wolke

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

SDD System Design Document

Verpasst der Mittelstand den Zug?

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Datenschutz und Informationssicherheit

IT-Trend-Befragung Xing Community IT Connection

Die Umsetzung von IT-Sicherheit in KMU

Soziale Netze (Web 2.0)

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

Informationssicherheitsmanagement

Cloud Security geht das?

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

BCM Schnellcheck. Referent Jürgen Vischer

Deutsches Forschungsnetz

Scannen Sie schon oder blättern Sie noch?

Firewall-Logs: gewusst wie! (14:00 Uhr, Referat B) Firewall-Logs gezielt aufzeichnen und auswerten

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Vereinfachte Ticketerfassung oxando GmbH

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

WerteManagementSystem ZfW (WMS ZfW )

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Kulturobjekte der Donau Das ContentManagementSystem (CMS)

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

Welchen Nutzen haben Risikoanalysen für Privatanleger?

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Transkript:

Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014

Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis http://www.flickr.com/photos/eregis/21 2 95485665/

Ansatz des BSI für sicheres Cloud Computing Risikotransparenz Sicheres Cloud Computing 3

Die sechs Cloud-Bausteine auch jenseits des IT-Grundschutzes IT-Grundschutz-Bausteine sind auch nützlich jenseits des IT-Grundschutzes Sie bestehen aus: Goldene Regeln Was sollten CISOs wissen Gefährdungsübersicht Risikoidentifikation und -analyse Maßnahmen Was sollte gegen die Gefährdungen getan werden Was sollte in das Sicherheitskonzept geschrieben werden Kreuz-Referenz-Tabelle Welche Risiken entstehen, wenn Maßnahmen nicht ergriffen werden (s. BSI 100-2 Kap. 5.3) Bausteine können als Anbieter und/oder Nutzer gelesen werden 4

Die sechs Cloud-Bausteine Cloud Management (2013) Spezifika jenseits von Netz-, System- und Speichermgmt Speicherlösungen / Cloud Storage (2014) Moderne Speichersysteme jenseits von SAN und NAS Virtualisierung (2011) Servervirtualisierung Web-Service (2014) Grundlegende Kommunikation von Cloud-Diensten Webanwendungen (2013) GUI Cloud-Nutzung (2014) Aufstellen der internen Organisation 5

Was ist ein Sicherheitsprofil Idee: Das Sicherheitsprofil ist eine Blaupause für das auf Cloud Computing abgestimmte Risikomanagement Möglich, da Cloud Computing: standardisiert und automatisiert, Clouds ähneln einander stark auf Meta-Ebene beschreibbar Akteure, Prozesse und Datentypen sehr ähnlich Sicherheitsproblematiken sind übertragbar Risikomanagement ist für viele Bereiche sehr ähnlich Aufwand für das Risikomanagement reduzieren durch Konzentration auf die Spezifika ihrer Lösung (siehe IT-GS) Konkretisierung auf Use Case ermöglicht detailliertere Aussagen 6

Sicherheitsprofil CRM-SaaS: Voraussetzungen Voraussetzung: Es existiert ein ISMS & BCM beim Cloud Anbieter (und beim Nutzer) Sicherheitsaspekte wie phys. Sicherheit nicht betrachtet Hoher Schutzbedarf Verarbeitung von personenbezogenen Daten in CRM dynamisches Umfeld erfordern kontinuierliches Risikomanagement Risiko Identifikation (Was sind die Hauptrisiken?) Risikobewertung (Welche Auswirkungen haben sie?) Risikobehandlung (Was sollte getan werden?) 7

Risikoanalyse für Clouds: Vorgehen Cloud-Referenzarchitektur beschreiben Use Case auswählen Relevanten Akteure, Prozesse und Daten identifizieren Verbindungen zwischen Akteuren und Cloud Komponenten identifizieren Welche Gefährdungen gibt es? Alle Risiken erfassen durch Kombinatorik zwischen Akteuren, Prozessen, Verbindungen, Schichten zu den Gefährdungen Risiken bewerten und und konsolidieren Ergebnisse Erweiterbare Karte aller Akteure und Verbindungen Systematischer Überblick über Risiken und Restrisiken Prozesse und Daten ergeben erste Priorisierung 8

IETF Cloud Referenzarchitektur Architektur des SP Vereinfachte IETF-Referenzarchitektur Access & Delivery Layer Cloud Management Cloud Service Layer Resource Control Layer Physical Layer 9

Akteure Subscriber End User Nutzt den angebotenen Service Kann ggf. in beschränktem Maß Service selbst anpassen Subscriber Admin Verwaltet die End User Accounts Verwaltet die vom End User nutzbaren Service Kataloge Konfiguration der Services Provider Admin Verwaltet den gesamten Cloud-Stack Sub-Provider Bringt weiter Services ein und hat dadurch ggf. Zugriff 10

Akteure und Prozesse CRM-User/User-Admin Login Geschäfts Prozesse Logout Kundendaten Verarbeiten Kundendaten Profilerstellen Für Admins CRM Management 11

Gefährdungen: STRIDE Abstrakte Gefährdungen: STRIDE Spoofing Täuschung (Identitäten) Tampering Manipulation von Daten Repudiation Abstreitung Information disclosure Vertrauensverlust Denial of service Nicht-Verfügbarkeit Elevation of privileges Eskalation von Rechten 12

Gesamtübersicht Subscriber End User Subscriber Admin Provider Admin Sub- Provider + Prozesse 13

Risikokonsolidierung am Beispiel Ext. Communication Subs. End User + Admin Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Service Layer Subs. End User + Admin Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Ressource Layer Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Access & Delivery Alle Akteure Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Management Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Generell Sub-Provider vertraglich binden Abstreitbarkeit Protokollierung Alles fängt mit A&D an Ext. Komm. A&D (bis auf DoS) 14

Konsolidierte Risiken Ext. Communication Subs. End User + Admin Provider-Admin Denial of Service Cloud Service Layer Subs. End User + Admin Provider-Admin Tampering Info Disclosure Ressource Layer Provider-Admin Info Disclosure Denial of Service Access & Delivery Alle Akteure Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Management Provider-Admin Tampering Elevation Priv. 15

Zusammenfassung der Vorgehensweise Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation of Privileges Akteure Verbindungen Informationen Ressourcen Prozesse Prüfbare & transparente Maßnahmen Authentifizierung Integrität Nichtabstreitbarkeit Vertraulichkeit Verfügbarkeit Autorisierung Restrisikoerfassung durch Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen 16

Risikobehandlung 60 mögliche Risiken 13 Risikofelder Eckpunktepapier, ISO 27001, NIST 800-53, Cloud Control Matrix (CSA), FedRAMP zu Anforderungen konsolidiert Für Anwendungsfall CRM konkrete Maßnahmen Kreuz-Referenz-Tabelle zwischen Risiken und Maßnahmen Systematische Identifikation des Restrisikos Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen Schneller Überblick über wichtigste Maßnahmen der Risikobehandlung 17

Sicherheitsanforderungen und Maßnahmen aus Standards/Rahmenwerken Sicherheitsanforderungen aus dem Sicherheitsprofil 27001 NIST 800-53 Fed RAMP CSA CCM BSI Eckpunkte [HRR-01] Mitarbeiter des Cloud-Service-Anbieters und der an der Bereitstellung des Service beteiligten Sub-Dienstleiter werden regelmäßig zu Sicherheitsbedrohungen und Sicherheitsmaßnahmen ausreichend geschult. A 8.2.2 AT-1 AT-2 AT-3 AT-4 IR-2 AT-1, AT-2, AT-3, AT-4, HR-01 IS-11, IS-12, IS-14, 11: 2;3 Sicherheitsverhalten und Sicherheitstraining M3.03-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für das erforderliche Sicherheitsverhalten und Sicherheitstraining der Mitarbeiter entsprechend den ihnen zugewiesenen Aufgaben und Verantwortlichkeiten verfügen. M3.03-4 Auf der Grundlage der Richtlinien muss der Cloud Service Provider Prozesse etablieren, welche die Umsetzung unterstützen. Dazu gehören: die regelmäßige und dokumentierte Einweisung und Schulung in die sichere Konfiguration, den sicheren Betrieb und das sichere Management der für den Service erforderlichen Systeme und Komponenten, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung von Sicherheitsmaßnahmen, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung datenschutzrechtlicher Regelungen und Anforderungen, die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Besonderer Fokus soll dabei sein, die Mitarbeiter zu befähigen, Social Engineering Attacken, die gerade bei mehrstufigen Angriffen und APTs eine vorbereitende Funktion haben, zu erkennen und ihnen durch entsprechende Prozesse beim CSP zu begegnen. 18

Kreuz-Referenz-Tabelle für das Risikomanagement Adaptiert aus dem IT-Grundschutz Hilfreich für Fragen: Welche Maßnahmen sollten primär/sekundär zur Behandlung welchen Risikos angegangen werden? Welches direkte/indirekte Risiko entsteht, wenn Maßnahmen nicht umgesetzt werden? 19

Sicherheitsprofil SaaS Im Überblick Referenzarchitektur des IETF BSI Eckpunktepapier, ISO 27001, NIST 800-53, FedRAMP, Cloud Control Matrix der Cloud Security Alliance Blaupause für das Risikomanagement des Cloud-Anbieters (Prinzip Sapere aude! ) IT-Grundschutz-Anwender: Baustein für Geschäftsprozess Teil I: Akteure, Objekte, Geschäftsprozesse im CRM Schutzbedarf und Sicherheitsanforderungen Teil II: Risikoanalyse & Steckbriefe Teil III: Sicherheitsanforderungen Teil IV: Kreuz-Referenz-Tabelle https://www.bsi.bund.de/cloud 20

Zusammenfassung Kurze Zusammenfassung als Broschüre Ergebnis der AG 4 UAG 1 Sicheres Cloud Computing des nationalen IT-Gipfels Unter Beteiligung und Review der Mitglieder der UAG 1 21

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Clemens Doubrava Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)228-99-9582-5887 Fax: +49 (0)228-99-10-9582-5887 cloudsecurity@bsi.bund.de www.bsi.bund.de/cloud www.bsi-fuer-buerger.de 22

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback