close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

CloudSicherheit - Handlungsempfehlungen für die sichere Nutzung

EinbettenHerunterladen
Cloud Sicherheit Lei%aden für Behörden und KMUs Leitung: Univ. Prof. Dr. A Min Tjoa, Dr. Stefan Fenz Gefördert/finanziert durch das Sicherheitsforschungs-­‐ Förderungsprogramm KIRAS des Bundesministeriums für Verkehr, InnovaNon und Technologie. Projektpartner •  Technische Universität Wien •  Universität Wien •  SophiSystems GmbH •  Bundesministerium für Landesverteidigung und Sport •  WirtschaUskammer Österreich (Bundessparte InformaNon und ConsulNng) 2
AusgangssituaNon •  Cloud CompuNng bereits fester Bestandteil der unternehmerischen und behördlichen IKT Infrastruktur Österreichs •  Großteil der Cloud-­‐CompuNng-­‐Dienste wird außerhalb des EU Raums betrieben •  Österreichische und europäische Datenschutzgesetze erfordern besondere Maßnahmen bei der Verwendung von Cloud-­‐
CompuNng 3 Ziele der KIRAS Studie •  Zusammenfassung der für österreichische Unternehmen und Behörden relevanten Literatur bzgl. rechtlicher und technischer Cloud-­‐CompuNng-­‐Aspekte •  Rechtliche und technische Evaluierung ausgewählter Cloud-­‐
Service-­‐Anbieter •  Analyse bzgl. cloud-­‐basierter Datenmissbrauchsszenarien •  Erarbeitung zielgruppengerechter Lei%äden •  Zielgruppengerechte Handlungsempfehlungen für die Auswahl des opNmalen Nutzungsmodells 4 Fokus der Studie •  Kleine und mialere Unternehmen und Behörden (inkl. Ein-­‐Personen-­‐Unternehmen) •  Öffentliche (public) Cloud-­‐Dienste •  Für die Zielgruppe relevante Dienste im Bereich SoUware-­‐as-­‐a-­‐Service •  InternaNonale, europäische und österreichische Cloud-­‐Anbieter 5 Cloud-­‐Dienste 6 WirtschaUlichkeit •  Mehrbenutzerumgebung •  Skalierbarkeit und Flexibilität •  Time to Value/Time to Market •  Zugang zu neuen Technologien •  laufende variable Kosten staa einmaliger fixer InvesNNonskosten •  Energieeffizienz •  Systemredundanz und Datensicherung 7 Ein durchaus verlockendes Angebot ... §  Free Cloud Storage • 
• 
• 
• 
Google Docs Dropbox MicrosoU OneDrive ... §  Wartungsfreie (GraNs-­‐) Services •  Office in the Cloud •  E-­‐mail in the Cloud •  ... Warum also nicht? 8 § Einige Beispiele… EU-­‐Aussengrenzen, Archivierungspflichten, Datenschutzgesetz, US Patriot Act, … !! 9 Rechtliche Aspekte AT •  Unternehmensgesetzbuch à GeschäUsführerhaUung •  Datenschutzgesetz à HaUung des AuUraggebers trotz Pflichten des Cloud-­‐Anbieter (§11 DSG) •  Bundesabgabenordnung à Fristen für Vorlage von Büchern und Aufzeichnungen •  Umsatzsteuergesetz à Bücher und Aufzeichnungen sind im Inland zu führen •  Strafgesetzbuch à Verletzung von Berufsgeheimnissen durch Berufsgeheimnisträger (z.B. Ärzte) 10 Datenarten • 
sensible InformaEon im Sinne des österreichischen Datenschutzgesetz (DSG) • 
• 
personenbezogene InformaEon im Sinne des DSG • 
• 
nahezu alle Branchen (Rechnungen, Angebote, SchriUverkehr etc.) InformaEon mit besEmmten Archivierungspflichten (BAO) • 
• 
Gesundheitsbereich (Ärzte, Therapeuten etc.) alle Branchen (Buchhaltungsdaten, Rechnungen etc.) sonsEge schutzwürdige InformaEon • 
• 
alle Branchen (GeschäUsgeheimnisse, KonstrukNonspläne, Forschungs-­‐ und Entwicklungsergebnisse) unternehmensinterne DatenklassifikaNon (geheim, streng geheim etc.): –  Vertraulichkeit: hoch, miael, niedrig –  Verfügbarkeit: hoch, miael, niedrig –  Integrität: hoch, miael, niedrig 11 Rechtliche Aspekte INT •  Safe Harbor –  wurde zwischen 1998 und 2000 entwickelt und ermöglicht es US-­‐Unternehmen, welche sich diesem Abkommen unterwerfen, Daten mit EU-­‐Mitgliedsstaaten und den darin befindlichen Unternehmen auszutauschen. –  Mehr als 1000 Unternehmen als Safe-­‐Harbor-­‐
Unternehmen gelistet (u.a. Google, Dropbox, etc.). –  Unternehmen unterwerfen sich freiwillig den Safe-­‐Harbor-­‐
Regeln und werden nicht von unabhängigen Stellen bzgl. Einhaltung überprüU. 12 Rechtliche Aspekte INT •  Patriot Act –  US-­‐amerikanische Unternehmen sind auf Basis des US Patriot Acts zur Herausgabe europäischer Daten verpflichtet. –  Im Gegensatz zur europäischen Datenschutzgesetzgebung und zum Safe-­‐Harbor-­‐Abkommen muss der Betroffene über diese Datenweitergabe auch nicht informiert werden, wenn diese BenachrichNgung von der US-­‐Sicherheitsbehörde auf Basis eines „NaNonal Security Leaer“ oder „Gag Order“ verboten wäre. –  Betrit auch europäische Unternehmen, welche in einem Eigentumsverhältnis zu einem US-­‐Unternehmen stehen, sonsNge Konzernverflechtungen zu US-­‐Unternehmen aufweisen oder irgendeine Form der Niederlassung in den USA unterhalten. 13 Analyse Cloud-­‐CompuNng-­‐
Anbieter •  US: Google Apps (Gmail, Google Docs) •  US: MicrosoU Office 365 •  US: Dropbox •  US: Salesforce.com •  AT: FabasoU Folio Cloud •  EU: SAP Sales on Demand 14 Analysierte Aspekte • 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
Vertragsgestaltung Datenschutz Sicherheitsmaßnahmen Anwendungssicherheit Datensicherheit Verschlüsselung und Schlüsselmanagement IdenNfikaNons-­‐ und Rechtemanagement Monitoring und Security Incident Management No%allmanagement Portabilität und Interoperabilität Sicherheitsprüfung und -­‐nachweis Personalanforderungen 15 Analyse -­‐ Fazit •  Cloud-­‐Service-­‐Anbieter hinsichtlich der Datensicherheits-­‐ und Datenschutzmaßnahmen um Transparenz bemüht à wichNge MarkeNngmaßnahme •  Österreichische und deutsche Anbieter versuchen, durch verstärkte Transparenz und europäische Standorte beim datenschutzaffinen Kunden zusätzlich zu punkten. 16 Analyse -­‐ Fazit •  Bearbeitung der einzelnen Analysefragen sehr zeitaufwändig und für den Konsumenten nicht zumutbar •  Unabhängige Gütesiegel oder ZerNfikate anerkannter und seriöser OrganisaNonen könnten hier im Sinne des Konsumenten Transparenz und Übersichtlichkeit schaffen •  Das auszustellende ZerNfikat sollte an eine GülNgkeitsdauer geknüpU sein (z.B. 12 Monate). 17 Lei%äden •  Unabhängig von vertraglichen BesNmmungen sollten folgende technische Maßnahme zur Erhöhung der Datensicherheit seitens des Kunden getroffen werden: •  Einsatz von VerschlüsselungssoOware •  Verteilte Speicherung von Daten •  Sichere Speicherung der Passwörter 18 Vertragsgestaltung 19 Datenschutz 20 Sicherheitsmaßnahmen 21 Anwendungssicherheit 22 Datensicherheit 23 Monitoring und Incident Management 24 Sicherheitsprüfung und -­‐
nachweis 25 Handlungsempfehlungen •  Prüfung der WirtschaUlichkeit –  Welcher Nutzen wird beim Einsatz von Cloud-­‐Service-­‐
Diensten erwartet (innerhalb und außerhalb der OrganisaNon)? –  Sind reelle Kosteneinsparungen zu erwarten, beispielsweise durch RedukNon von Kosten für bestehende IT-­‐Lösungen und deren Wartung und Ausbau? –  Kann durch den Einsatz von Cloud-­‐Service-­‐Diensten die Qualität der Dienste gesteigert werden? Zum Beispiel durch automaNsche Teilnahme an SoUwareupdates oder durch gesteigerte Verfügbarkeit und Compliance? 26 Handlungsempfehlungen •  Prüfung der Risiken –  Inwieweit lassen sich durch den Einsatz von Cloud-­‐Service-­‐Diensten Risiken wie Verfügbarkeitsausfälle und Datenverlust reduzieren? –  Welche Risiken erhöhen sich? BeispielhaU können hier Lock-­‐in-­‐Effekte, Abhängigkeiten vom Cloud-­‐Service-­‐Anbieter, Kontrollverlust und datenschutzrechtliche Aspekte angeführt werden. –  Die Verwendung personenbezogener und sensibler Daten innerhalb des Unternehmens muss geregelt sein. Organisatorische und technische Sicherheitsmaßnahmen sind innerhalb des Unternehmens erforderlich. Während von der Auslagerung sensibler Daten in die Cloud vollständig abgesehen werden sollte, sollten personenbezogene Daten nur innerhalb der EU und nach Prüfung der Zuverlässigkeit des Anbieters dem Cloud-­‐Service-­‐Anbieter überlassen werden. 27 Handlungsempfehlungen •  Prüfung der KompaNbilität mit der Unternehmenskultur –  Welche Prozesse sind überhaupt mit Cloud-­‐Diensten bewälNgbar? Zum Beispiel generische Prozesse im Kontext des Projektmanagements, der Personalverwaltung oder der KommunikaNon? –  Ist die OrganisaNon auf Basis ihrer Historie, Verpflichtungen und Unternehmenskultur bereit, Daten an Driae auszulagern und die Kontrolle zumindest teilweise abzugeben? 28 Handlungsempfehlungen •  Prüfung der Verträge und damit verbundenen AGB –  Decken Verträge und damit verbundene AGB die rechtlichen und unternehmensinternen Anforderungen (z.B. Datenschutzgesetz) ab? –  Sind Abläufe bzgl. Audits, Incident Management und ReporNng vertraglich definiert? –  Werden Details der Sicherheitsarchitektur und Verantwortlichkeiten für Datensicherheit definiert? –  Ist es dem Konsumenten möglich und gestaaet, sich selbst von der Umsetzung der Sicherheitsmaßnahmen zu überzeugen? –  Sind die geografischen Standorte der Rechner und Speichersysteme vertraglich fixiert? 29 Handlungsempfehlungen •  Prüfung von ZerNfikaten –  Ist der Cloud-­‐Service-­‐Anbieter durch driae vertrauenswürdige Stellen zerNfiziert? Als ein Beispiel für eine solche ZerNfizierungsstelle kann der TÜV Rheinland genannt werden. –  Werden die ZerNfikate in angemessenen Abständen erneuert bzw. passen sich diese an sich verändernde rechtliche Rahmenbedingungen an? 30 Die Cloud als ulNmaNve (billige) Lösung? •  Abhängigkeit von öffentlichen Netzwerken •  Ort der Speicherung und Verarbeitung der Daten oU unbekannt •  Gemeinsame Verwendung von Ressourcen •  LimiNerte Kontrolle über Datenzugriffe •  Unzureichende Standardisierung von Portabilitätsschniastellen •  Zugriff auf kundenspezifische Metadaten •  Verträglichkeit von Patches mit kundenspezifischen Anwendungen 31 Kontakt amin@ifs.tuwien.ac.at stefan.fenz@tuwien.ac.at Danke für Ihre Aufmerksamkeit. 32 
Document
Kategorie
Internet
Seitenansichten
5
Dateigröße
1 246 KB
Tags
1/--Seiten
melden