Datenschutz beim Cloud-Computing

Heiße Luft vs. solides Handwerk

Sven Thomsen

11.08.2011

www.datenschutzzentrum.de

Agenda

•Heiße Luft?

•Qualität in Verträgen: Das große Vergessen?

•IT-Sicherheit: Wo bleibt die Fortentwicklung?

•Markt: Wo bleiben die Mindeststandards?

•Solides Handwerk!

SecTXL 11 2/127

www.datenschutzzentrum.de

SecTXL 11 3

Heiße Luft?

www.datenschutzzentrum.de

SecTXL 11 4

www.datenschutzzentrum.de

Klarstellung

• Datenschutz und Cloud Computing sind vereinbar

• Cloud Computing kann sogar datenschutzfördernd sein Höhere Revisionsfähigkeit durch höhere Automation Automatisierte Prüfbarkeit von Sicherheitsmaßnahmen

• Datenschützer sind offensichtlich aktuell „Spielverderber“ kritisieren bestehende Angebote legen gesetzliche Vorgaben korrekt aus hinterfragen die Qualität von Cloud-Angeboten

SecTXL 11 5/127

www.datenschutzzentrum.de

SecTXL 11 6/43

Qualität in Verträgen:Das große Vergessen?

www.datenschutzzentrum.de

Qualität in Verträgen?

SecTXL 11 7

… has subsidiaries and affiliated legal entities around the world. Sometimes, these companies will be providing the Services to you on behalf of …. itself. You acknowledge and agree that Subsidiaries and Affiliates will be entitled to provide the Services to you.

You acknowledge and agree that the form and nature of the Services which …. provides may change from time to time without prior notice to you.

As part of this continuing innovation, you acknowledge and agree that … may stop (permanently or temporarily) providing the Services (or any features within the Services) to you or to users generally at …….’s sole discretion, without prior notice to you. 

….. reserves the right (but shall have no obligation) to pre-screen, review, flag, filter, modify, refuse or remove any or all Content from any Service.

www.datenschutzzentrum.de

Qualität in Verträgen?

SecTXL 11 8

You are responsible for properly configuring and using the Service and taking your own steps to maintain appropriate security, protection and backup of Your Content, which may include the use of encryption technology to protect Your Content from unauthorized access and routine archiving Your Content.

We may access or disclose your personal information, including the content of your communications, in order to comply with the law

Except where otherwise specified in a Service, information that is collected by or sent to ….. may be stored and processed in the United States or any other country in which ….. or its affiliates, subsidiaries, or service providers maintain facilities.

www.datenschutzzentrum.de

Qualität in Verträgen

SecTXL 11 9

• Aktuelle Situation: keine Sicherheitszusagen zum Produkt keine Sicherheitszusagen zur Infrastruktur keine Sicherheitszusagen zum Operating

• Was ist aus den Erfahrungen der Outsourcing-Wellen der 80er und 90er-Jahre geworden? Detailliertes Know-How zum Management von

Outsourcing war doch vorhanden? Gab es einen kollektiven Gedächtnisverlust?

www.datenschutzzentrum.de

Qualität in Veträgen

SecTXL 11 10

www.datenschutzzentrum.de

Qualität in Verträgen

SecTXL 11 11

www.datenschutzzentrum.de

Qualität in Verträgen

SecTXL 11 12

Anbieter:

Erstellt endlich aussagekräftige Verträge mit Leistungs- und Sicherheitszusagen!

Kunden:

Sorgt für ausbalancierte IT-Sicherheit! Defizite beim Anbieter müssen ausgeglichen werden!

www.datenschutzzentrum.de

SecTXL 11 13/43

IT-Sicherheit:Wo bleibt die Fortentwicklung?

www.datenschutzzentrum.de

IT-Sicherheit: Fortentwicklung?

SecTXL 11 14

• IT-Sicherheit für Cloud-Computing kommt nur bedingt mit Standardsicherheitsmaßnahmen aus

• Komponentensicherheit Härtung auf Cloud-Betrieb anpassen Kein „Grundschutz“, sondern spezielle Maßnahmen

• Verbundsicherheit Zusammenspiel aller Komponenten betrachten Skaleneffekte in großen Cloud-Infrastrukturen?

www.datenschutzzentrum.de

IT-Sicherheit: Fortentwicklung?

SecTXL 11 15

• Angriffe auf administrative Frontends und APIs vgl. XSS, SOAP- und XML-RPC-Manipulationen

• Angriffe auf Virtualisierungsschicht vgl. PS3-Hacks, Treiberhacks für virtualisierte Hardware

• „Anbieter als Angreifer“ Sicherheitsprobleme beim Anbieter Fokus auf administrative Plattformen

• Cloud-Plattformen als „Waffe“ Schwache Identifikation von Kunden „Spurloser“ Technikeinsatz

www.datenschutzzentrum.de

IT-Sicherheit: Fortentwicklung?

SecTXL 11 16

• Beschreibung von Sicherheitsmaßnahmen verbessern• Schwerpunkt legen auf:

Mandantentrennung (Datentransport, Datenverarbeitung, Datenspeicherung)

Sicherheit der administrativen Schnittstellen Sicherheit der administrativen Plattform

• Standardmaßnahmen der Hersteller ergänzen Security Guides der Hersteller CC-evaluierte Konfigurationen Cloud-Service-spezifische Härtung

www.datenschutzzentrum.de

IT-Sicherheit: Fortentwicklung

SecTXL 11 17

Anbieter:

Dokumentiert Eure Sicherheitsarchitektur! Fokussiert auf kundenrelevante Sicherheitsbetrachtungen!

Kunden:

Prüft und bewertet das Modell „Anbieter als Angreifer“!

www.datenschutzzentrum.de

SecTXL 11 18/43

Markt:Wo bleiben die Mindeststandards?

www.datenschutzzentrum.de

Markt: Mindeststandards?

SecTXL 11 19

• Aktuell: Heterogener Markt Kaum Standardisierung bezgl. IT-Sicherheit und

Datenschutz keine cloud-spezifischen Zertifizierungen Bestehende Zertifizierungen (ISO27001, BSI

Grundschutz, …) nicht auf spezifische Risiken des Cloud- Computing angepasst

www.datenschutzzentrum.de

Markt: Mindeststandards?

SecTXL 11 20

• Notwendig: Best Practices erarbeiten, analog zu IT Service

Management und IT-Sicherheit (vgl. ISO2700er-Reihe und ISO20000er Reihe)

Zertifizierungsschemata und Prüfsiegel erarbeiten Automatisierte Prüfung ermöglichen

Elektronische Sicherheitszusagen Elektronische Siegel Elektronische Prüfberichte

www.datenschutzzentrum.de

IT-Sicherheit: Fortentwicklung

SecTXL 11 21

Anbieter:

Arbeitet an Standards zum Cloud-Computing und an Zertifizierungsverfahren mit! Lasst Euch zertifizieren!

Kunden:

Fordert Zertifizierungen und Gütesiegel!

www.datenschutzzentrum.de

SecTXL 11 22/43

Solides Handwerk!

www.datenschutzzentrum.de

Solides Handwerk!

SecTXL 11 23

• Cloud-Computing wird „langweilig“. Im positiven Sinn.

• Anwender besinnen sich auf langjährig Erlerntes: Belastbare Sicherheitsarchitekturen durch cloud-

spezifische Sicherheitsbetrachtungen und -maßnahmen Effektives IT-Controlling durch belastbare Verträge

• Anbieter erkennen, dass Märkte „begehbar“ sein müssen Transparente Sicherheit, Fokus auf Kunde Nachweisorientierung durch Zertifizierungen und

Standards

www.datenschutzzentrum.de

SecTXL 11 24

SecTXL 11

From Technology to Law

„Kick butt and have fun!” (Scott McNealy)

www.datenschutzzentrum.de

SecTXL 11 25

Vielen Dank für Ihre Aufmerksamkeit!

Kontaktdaten

Unabhängiges Landeszentrum für DatenschutzSven ThomsenHolstenstraße 9824103 Kiel

0431-988-1211uld3@datenschutzzentrum.de