sectxl '11 | hamburg - sven thomsen: "datenschutz beim cloud-computing - heiße luft vs....
DESCRIPTION
TRANSCRIPT
Datenschutz beim Cloud-Computing
Heiße Luft vs. solides Handwerk
Sven Thomsen
11.08.2011
www.datenschutzzentrum.de
Agenda
•Heiße Luft?
•Qualität in Verträgen: Das große Vergessen?
•IT-Sicherheit: Wo bleibt die Fortentwicklung?
•Markt: Wo bleiben die Mindeststandards?
•Solides Handwerk!
SecTXL 11 2/127
www.datenschutzzentrum.de
SecTXL 11 3
Heiße Luft?
www.datenschutzzentrum.de
SecTXL 11 4
www.datenschutzzentrum.de
Klarstellung
• Datenschutz und Cloud Computing sind vereinbar
• Cloud Computing kann sogar datenschutzfördernd sein Höhere Revisionsfähigkeit durch höhere Automation Automatisierte Prüfbarkeit von Sicherheitsmaßnahmen
• Datenschützer sind offensichtlich aktuell „Spielverderber“ kritisieren bestehende Angebote legen gesetzliche Vorgaben korrekt aus hinterfragen die Qualität von Cloud-Angeboten
SecTXL 11 5/127
www.datenschutzzentrum.de
SecTXL 11 6/43
Qualität in Verträgen:Das große Vergessen?
www.datenschutzzentrum.de
Qualität in Verträgen?
SecTXL 11 7
… has subsidiaries and affiliated legal entities around the world. Sometimes, these companies will be providing the Services to you on behalf of …. itself. You acknowledge and agree that Subsidiaries and Affiliates will be entitled to provide the Services to you.
You acknowledge and agree that the form and nature of the Services which …. provides may change from time to time without prior notice to you.
As part of this continuing innovation, you acknowledge and agree that … may stop (permanently or temporarily) providing the Services (or any features within the Services) to you or to users generally at …….’s sole discretion, without prior notice to you.
….. reserves the right (but shall have no obligation) to pre-screen, review, flag, filter, modify, refuse or remove any or all Content from any Service.
www.datenschutzzentrum.de
Qualität in Verträgen?
SecTXL 11 8
You are responsible for properly configuring and using the Service and taking your own steps to maintain appropriate security, protection and backup of Your Content, which may include the use of encryption technology to protect Your Content from unauthorized access and routine archiving Your Content.
We may access or disclose your personal information, including the content of your communications, in order to comply with the law
Except where otherwise specified in a Service, information that is collected by or sent to ….. may be stored and processed in the United States or any other country in which ….. or its affiliates, subsidiaries, or service providers maintain facilities.
www.datenschutzzentrum.de
Qualität in Verträgen
SecTXL 11 9
• Aktuelle Situation: keine Sicherheitszusagen zum Produkt keine Sicherheitszusagen zur Infrastruktur keine Sicherheitszusagen zum Operating
• Was ist aus den Erfahrungen der Outsourcing-Wellen der 80er und 90er-Jahre geworden? Detailliertes Know-How zum Management von
Outsourcing war doch vorhanden? Gab es einen kollektiven Gedächtnisverlust?
www.datenschutzzentrum.de
Qualität in Veträgen
SecTXL 11 10
www.datenschutzzentrum.de
Qualität in Verträgen
SecTXL 11 11
www.datenschutzzentrum.de
Qualität in Verträgen
SecTXL 11 12
Anbieter:
Erstellt endlich aussagekräftige Verträge mit Leistungs- und Sicherheitszusagen!
Kunden:
Sorgt für ausbalancierte IT-Sicherheit! Defizite beim Anbieter müssen ausgeglichen werden!
www.datenschutzzentrum.de
SecTXL 11 13/43
IT-Sicherheit:Wo bleibt die Fortentwicklung?
www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
SecTXL 11 14
• IT-Sicherheit für Cloud-Computing kommt nur bedingt mit Standardsicherheitsmaßnahmen aus
• Komponentensicherheit Härtung auf Cloud-Betrieb anpassen Kein „Grundschutz“, sondern spezielle Maßnahmen
• Verbundsicherheit Zusammenspiel aller Komponenten betrachten Skaleneffekte in großen Cloud-Infrastrukturen?
www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
SecTXL 11 15
• Angriffe auf administrative Frontends und APIs vgl. XSS, SOAP- und XML-RPC-Manipulationen
• Angriffe auf Virtualisierungsschicht vgl. PS3-Hacks, Treiberhacks für virtualisierte Hardware
• „Anbieter als Angreifer“ Sicherheitsprobleme beim Anbieter Fokus auf administrative Plattformen
• Cloud-Plattformen als „Waffe“ Schwache Identifikation von Kunden „Spurloser“ Technikeinsatz
www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
SecTXL 11 16
• Beschreibung von Sicherheitsmaßnahmen verbessern• Schwerpunkt legen auf:
Mandantentrennung (Datentransport, Datenverarbeitung, Datenspeicherung)
Sicherheit der administrativen Schnittstellen Sicherheit der administrativen Plattform
• Standardmaßnahmen der Hersteller ergänzen Security Guides der Hersteller CC-evaluierte Konfigurationen Cloud-Service-spezifische Härtung
www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
SecTXL 11 17
Anbieter:
Dokumentiert Eure Sicherheitsarchitektur! Fokussiert auf kundenrelevante Sicherheitsbetrachtungen!
Kunden:
Prüft und bewertet das Modell „Anbieter als Angreifer“!
www.datenschutzzentrum.de
SecTXL 11 18/43
Markt:Wo bleiben die Mindeststandards?
www.datenschutzzentrum.de
Markt: Mindeststandards?
SecTXL 11 19
• Aktuell: Heterogener Markt Kaum Standardisierung bezgl. IT-Sicherheit und
Datenschutz keine cloud-spezifischen Zertifizierungen Bestehende Zertifizierungen (ISO27001, BSI
Grundschutz, …) nicht auf spezifische Risiken des Cloud- Computing angepasst
www.datenschutzzentrum.de
Markt: Mindeststandards?
SecTXL 11 20
• Notwendig: Best Practices erarbeiten, analog zu IT Service
Management und IT-Sicherheit (vgl. ISO2700er-Reihe und ISO20000er Reihe)
Zertifizierungsschemata und Prüfsiegel erarbeiten Automatisierte Prüfung ermöglichen
Elektronische Sicherheitszusagen Elektronische Siegel Elektronische Prüfberichte
www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
SecTXL 11 21
Anbieter:
Arbeitet an Standards zum Cloud-Computing und an Zertifizierungsverfahren mit! Lasst Euch zertifizieren!
Kunden:
Fordert Zertifizierungen und Gütesiegel!
www.datenschutzzentrum.de
SecTXL 11 22/43
Solides Handwerk!
www.datenschutzzentrum.de
Solides Handwerk!
SecTXL 11 23
• Cloud-Computing wird „langweilig“. Im positiven Sinn.
• Anwender besinnen sich auf langjährig Erlerntes: Belastbare Sicherheitsarchitekturen durch cloud-
spezifische Sicherheitsbetrachtungen und -maßnahmen Effektives IT-Controlling durch belastbare Verträge
• Anbieter erkennen, dass Märkte „begehbar“ sein müssen Transparente Sicherheit, Fokus auf Kunde Nachweisorientierung durch Zertifizierungen und
Standards
www.datenschutzzentrum.de
SecTXL 11 24
SecTXL 11
From Technology to Law
„Kick butt and have fun!” (Scott McNealy)
www.datenschutzzentrum.de
SecTXL 11 25
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für DatenschutzSven ThomsenHolstenstraße 9824103 Kiel