Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken der Clouds Vorgehensmodell Fragen? 14.07.2014 IT-Security@Work GmbH 2

ISW Nur ein paar Worte IT-Security@Work Unser Name ist unser Programm. Die ISW unterstützt ihre Kunden dabei, Aspekte der IT-Security, der Compliance und des Datenschutzes mit Business- und Betriebsprozessen so zu kombinieren, dass ein Optimum im Spannungsfeld Business, Betrieb (Work) und IT- Security erreicht wird. Compliance Datenschutz IT-Service Management IT-Security 14.07.2014 IT-Security@Work GmbH 3

Kurzportrait der ISW Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Zahlen, Daten & Fakten Informatives auf den Punkt gebracht DIE IT-Security@Work GmbH (ISW) IST EIN JUNGES, WACHSENDES CONSULTING-UNTERNEHMEN GESELLSCHAFTSFORM: GmbH HOCHMOTIVIERTE MITARBEITER: 15 QS-ERFAHRUNG: ca. 7 m UNSER ERKLÄRTES ZIEL: Die beste Lösung für Sie! GRÜNDUNGSJAHR: 2008 AUSRICHTUNG: BRANCHEN- ÜBERGREIFEND PROJEKTERFAHRUNG: > 200 Mannjahre DIE TEILNAHME AN FORSCHUNGSPROJEKTEN: gefällt uns UNTERNEHMENSSITZ: Dreieich REGISTERGERICHT: AG Offenbach PARTNER DES KUNDEN erklärtes Ziel VORHANDENES PARTNERNETZWERK: hervorragend 14.07.2014 IT-Security@Work GmbH 4

Ziel des Vortrags Jedem von Ihnen möchte ich mindestens einen Impuls für seine Arbeit mitgeben. Deshalb: Dialogform Zwischenfragen sind willkommen! Einstiegsfragen von meiner Seite: Sind bei Ihnen Cloud Lösungen im Einsatz? Welche sind dies? War das Thema Cloud bei Ihnen in der Diskussion? Von wem kam der Anstoß dazu? 14.07.2014 IT-Security@Work GmbH 5

Cloud Computing Was ist das eigentlich? Quelle: Wikipedia 14.07.2014 IT-Security@Work GmbH 6

Servicemodelle für Clouds (nach NIST) IaaS Infrastructure as a Service Rechnerwolken bieten Nutzungszugang von virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzwerken und Speicher. Mit IaaS gestalten sich Nutzer frei ihre eigenen virtuellen Computer-Cluster und sind daher für die Auswahl, die Installation, den Betrieb und das Funktionieren ihrer Software selbst verantwortlich. PaaS Platform as a Service Rechnerwolken bieten Nutzungszugang von Programmierungs- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten. Mit PaaS entwickeln Nutzer ihre eigenen Software- Anwendungen oder lassen diese hier ausführen, innerhalb einer Softwareumgebung, die vom Dienstanbieter (Service Provider) bereitgestellt und unterhalten wird. SaaS Software as a Service Rechnerwolken bieten Nutzungszugang von Software- Sammlungen und Anwendungsprogrammen. SaaS Diensteanbieter offerieren spezielle Auswahlen von Software, die auf ihrer Infrastruktur läuft. SaaS wird auch als Software on demand (Software bei Bedarf) bezeichnet. 14.07.2014 IT-Security@Work GmbH 7

Cloud Computing Was ist das eigentlich? Quelle: Wikipedia 14.07.2014 IT-Security@Work GmbH 8

Liefermodelle für Cloud Services (nach NIST) Public Cloud die öffentliche Rechnerwolke: Bietet Zugang zu abstrahierten IT- Infrastrukturen für die breite Öffentlichkeit über das Internet. Public-Cloud- Diensteanbieter erlauben ihren Kunden, IT-Infrastruktur zu mieten auf einer flexiblen Basis des Bezahlens für den tatsächlichen Nutzungsgrad bzw. Verbrauch (pay-as-yougo), ohne Kapital in Rechner- und Datenzentrumsinfrastruktur investieren zu müssen. Private Cloud die private Rechnerwolke: Bietet Zugang zu abstrahierten IT- Infrastrukturen innerhalb der eigenen Organisation (Behörde, Firma, Verein). Hybrid Cloud die hybride Rechnerwolke: Bietet kombinierten Zugang zu abstrahierten IT-Infrastrukturen aus den Bereichen von Public Clouds und Private Clouds, nach den Bedürfnissen ihrer Nutzer. Community Cloud die gemeinschaftliche Rechnerwolke: Bietet Zugang zu abstrahierten IT-Infrastrukturen wie bei der Public Cloud jedoch für einen kleineren Nutzerkreis, der sich, meist örtlich verteilt, die Kosten teilt (z. B. mehrere städtische Behörden, Universitäten, Betriebe oder Firmen mit ähnlichen Interessen, Forschungsgemeinschaften, Genossenschaften). 14.07.2014 IT-Security@Work GmbH 9

Auswahl einer geeigneten Lösung: Ganzheitlicher Blick Was kann ich überhaupt selber leisten, was passt in meine IT-Strategie? Entspricht die gewählte Lösung den Anforderungen (auch bezüglich Regularien, Flexibilität) aller Stakeholder (Business, IT, Compliance, Recht, )? Welche Risiken bestehen, kann das Unternehmen diese tragen? Regulatorische Anforderungen Interne Richtlinien Betroffene Daten Geschäftsprozess Interne Möglichkeiten Prozessanforderungen Provider 14.07.2014 IT-Security@Work GmbH 10

Auswahl einer geeigneten Lösung: Key-Faktoren Angemessenheit: Tue das was Du brauchst, aber auch nur das. Nicht alles was technisch möglich ist, ist auch sinnvoll. Stelle den Mehrwert bzw. Nutzen in den Vordergrund Effektivität: Wähle Maßnahmen, die geeignet sind. Suche den neutralen Blick. ( Viele Wege - ein Ziel ) Prüfe die Wirksamkeit der Maßnahmen. Usability: Wähle Maßnahmen, die die Fachprozesse nicht unnötig belasten. Unterstütze User im Umgang Finde geeigneten Weg zwischen IT-Sicherheits-, Compliancevorgaben etc. und Arbeitsprozessen. ACT PLAN Angemessenheit Effektivität Usability DO CHECK 14.07.2014 IT-Security@Work GmbH 11

Sicherheitsmanagement Gleiches Vorgehen wie immer 14.07.2014 IT-Security@Work GmbH 12

Blickpunkt Datenschutz und Vertraulichkeit In welchem Land wird der Cloud-Service betrieben, kenne ich die Standorte? Regulatorische Bedingungen aus dem Datenschutz: = außerhalb der EU / EWR = innerhalb der EU / EWR = innerhalb von Deutschland Welche Zugriffsmöglichkeiten durch Dritte ergeben sich alleine daraus? Werden die Daten verschlüsselt abgelegt, übertragen oder verarbeitet? Können andere Schutzmechanismen angewendet werden (z.b. Anonymisierung oder Pseudonymisierung)? Hat der Cloud-Service-Anbieter ein Nutzungsrecht auf die Daten? Welche Aussagen trifft der Anbieter über Datenweitergabe? 14.07.2014 IT-Security@Work GmbH 13

Problematiken nach Art des verwendeten Cloud-Services IaaS Unbekanntes Sicherheitslevel der virtuellen Hardware Abbildung von Netzwerksegmenten Ort der Datenverarbeitung Unbekannte Betriebsprozesse und Dienstleistungverhältnisse (Subprovider) Incident-Prozesse System-Überwachung, Monitoring SLA (nicht nur zur Verfügbarkeit) 14.07.2014 IT-Security@Work GmbH 14

Problematiken nach Art des verwendeten Cloud-Services PaaS Problematiken der IaaS Sicherheit, Konfiguration und Stabilität der Plattform Lebenszyklen der Plattform Patchprozess, Incident-Prozess Sicherstellung der Kompatibilität bei Changes (Plattform Applikation) 14.07.2014 IT-Security@Work GmbH 15

Problematiken nach Art des verwendeten Cloud-Services SaaS Meist Standarddienst, kein Einfluss auf Beständigkeit oder Changes Wechselnde AGBs Transparenz von Risiken? Service Continuity als höchstes Ziel (als einzig sichtbarer Aspekt für Kunden) 14.07.2014 IT-Security@Work GmbH 16

Problematiken nach Art des Cloud-Typs Private/Interne Cloud Zweckbindung der Datenverarbeitung (Gefahr unerlaubter Verarbeitungen auf Grund von zugreifbaren Datentöpfen) Vermischung von Zuständigkeiten innerhalb der eigenen Organisation, 14.07.2014 IT-Security@Work GmbH 17

Problematiken nach Art des Cloud-Typs Public Cloud Keine Kontrolle über Verarbeitung Einhaltung von Regularien nicht möglich Ungeeignete Vertragswerke der Anbieter Einzelner Kunde ist nicht im Fokus des Anbieters, sondern Masse (Standardleistung) Bei Exklusiver Cloud kennen Anbieter und Kunde sich 14.07.2014 IT-Security@Work GmbH 18

Problematiken nach Art des Cloud-Typs Hybride Cloud Problematiken aus Private und Public Cloud möglich Aber: Steuerung möglich, welche Problematiken aus der Public Cloud man in Kauf nimmt und welche man umgehen möchte Denn: Abwägung von Chancen/Risiken! 14.07.2014 IT-Security@Work GmbH 19

Vorgehen zur Auswahl geeigneter Lösungen Risikobasierter Top-Down Ansatz Standardisiertes Vorgehen zur Bewertung der Lösungsmöglichkeiten Aufteilung des Geschäftsprozesses in Anteile mit unterschiedlichen Anforderungen Einbeziehen des Business in die Risikobeurteilung und Übernahme Evaluation der Verträge unter Rechts-, Business und IT-Aspekten Festlegung der Verantwortlichkeit für die IT-Anwendung in der Cloud Aufsetzen geeigneter Prozesse zur Steuerung und Überwachung der Cloud-Dienste Das Vorgehen unterscheidet sich im Wesentlichen nicht von anderen Auslagerungen von IT-Services an Dienstleister, nur sind die zu beachtenden Rahmenbedingungen häufig andere und weniger verhandelbar. 14.07.2014 IT-Security@Work GmbH 20

Ich habe aber doch schon eine Lösung umgesetzt!? Risikobasierter Ansatz: Durchführen einer Gap-Analyse für die bestehende Lösungen Identifizieren der Vorteile, der offenen Punkte und der Risiken Erarbeitung von Handlungsoptionen Umsetzungsplan auf Basis risikoorientierter Entscheidungen des Unternehmens Anpassung der eingesetzten Umsetzung gemäß Handlungsplan Kein Problem! In der Regel ist der bewusste Umgang mit Risiken das Entscheidende. Und der Nachweis, dass man dies tut. 14.07.2014 IT-Security@Work GmbH 21

Ihr Ansprechpartner bei der ISW Marion Steiner marion.steiner@isw-online.de IT-Security@Work GmbH (ISW) Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 Web: www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de