PUBLIC CLOUD:SICHERHEIT UND DATENSCHUTZ          EIN KURZER ÜBERBLICK     Roberto Valerio, CloudSafe GmbH             11. ...
Roberto Valerio                 CloudSafe GmbHGründer CloudSafe.com         Verschlüsselte Cloud Storage                  ...
Übersicht                                PUBLIC CLOUD๏ Public Cloud Services   ๏ Einfacher Auftragsdatenverarbeiter nach §...
I. DATENSCHUTZ๏   Abgrenzung der Daten nach dem BDSG:    ๏   Personenbezogene Daten: Einer natürlichen Person zugeordnet, ...
Datenschutz                                       PFLICHTEN๏ Pflichten für die Auslagerung von personenbezogenen    Daten: ...
DatenschutzVERTRAGSGESTALTUNG       ๏ Schriftform       ๏ Gegenstand der Datenverarbeitung          ๏ "Welche Daten werden...
Datenschutz                           EXKURS: AUSLAND๏   Überlassung von personenbezogenen Daten ohne    explizite Erlaubn...
Datenschutz              ZUSAMMENFASSUNG๏ Auswahl Daten: Welche Daten möchte ich   extern verarbeiten?๏ Auswahl Anbieter: ...
II. SICHERHEIT๏ Erster Schritt ist die Information:   ๏ BSI - Bundesamt für Sicherheit in der       Informationstechnik   ...
Sicherheit                 TECHNISCHE KRITERIEN๏ Transport der Daten:   ๏ Sind die Transportwege der Daten gegenüber Dritt...
Sicherheit          ORGANISATORISCHE KRITERIEN๏ Sicherheitsmanagement des Anbieters  ๏ ITIL, ISO 27002     ๏ Mitarbeiterko...
Sicherheit                    ZUSAMMENFASSUNG๏ Überprüfen Sie den Anbieter, bevor Sie   personenbezogene Daten übermitteln...
VIELEN DANKfür Ihre Aufmerksamkeit
Nächste SlideShare
Wird geladen in …5
×

SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datenschutz"

612 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
612
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datenschutz"

  1. 1. PUBLIC CLOUD:SICHERHEIT UND DATENSCHUTZ EIN KURZER ÜBERBLICK Roberto Valerio, CloudSafe GmbH 11. August 2011 SecTXL
  2. 2. Roberto Valerio CloudSafe GmbHGründer CloudSafe.com Verschlüsselte Cloud Storage Verschlüsselte KommunikationProgrammierung : 20 Jahre IT-Projekte: 10 Jahre Gründung November 2009 Startup-Erfahrung: 5 Jahre Online Plattform: cloudsafe.com
  3. 3. Übersicht PUBLIC CLOUD๏ Public Cloud Services ๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG? ๏ Funktionsübertragung: Werden die Daten bearbeitet?๏ I. Datenschutz ๏ Vorgaben, Pflichten, Umsetzung๏ II. Sicherheit ๏ Technische & organisatorische Kriterien
  4. 4. I. DATENSCHUTZ๏ Abgrenzung der Daten nach dem BDSG: ๏ Personenbezogene Daten: Einer natürlichen Person zugeordnet, z.B. Kunden- und Personaldaten ๏ Besondere personenbezogen Daten: Ethnische Herkunft, Gesundheit, Politische Ansichten & Religion und weitere (§ 3 Abs. 9 BDSG) ๏ Daten mit Sonderregelungen: Finanzdienstleistungen, Telekommunikation, steuerrechtlich relevante und berufsstandbezogene Daten๏ Einfacher Personenbezug kann jederzeit durch Anonymisierung aufgehoben werden.๏ Nutzer von Cloud Services bleiben verantwortlich für den Umgang mit den anvertrauten Daten!
  5. 5. Datenschutz PFLICHTEN๏ Pflichten für die Auslagerung von personenbezogenen Daten: ๏ "Sorgfältige" Auswahl: ๏ Nutzer muß selber überprüfen, ob der Anbieter in der Lage ist, den Datenschutz nach BDSG zu gewährleisten. ๏ Regelmäßige Überprüfung ๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB).๏ Bußgelder bis 50.000 Euro möglich.
  6. 6. DatenschutzVERTRAGSGESTALTUNG ๏ Schriftform ๏ Gegenstand der Datenverarbeitung ๏ "Welche Daten werden wie verarbeitet?" ๏ Sub-Unternehmerschaft ๏ "Erfüllen eventuelle Subunternehmer des Anbieters die gleichen Kriterien wie der Anbieter?" ๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die Haftung für alle personenbezogenen Daten beim Nutzer.
  7. 7. Datenschutz EXKURS: AUSLAND๏ Überlassung von personenbezogenen Daten ohne explizite Erlaubnis der betroffenen Person ist möglich, aber nur innerhalb der EU/EWR.๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR nur nach ergänzender Vertraglichen Regelung. ๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die Überprüfung, faktisch kaum möglich.๏ Alternative: Die Daten werden innerhalb des gültigen Raumes verschlüsselt oder anonymisiert
  8. 8. Datenschutz ZUSAMMENFASSUNG๏ Auswahl Daten: Welche Daten möchte ich extern verarbeiten?๏ Auswahl Anbieter: Sorgfältige Erstauswahl, regelmäßige Überprüfung.๏ Vertragliche Anforderungen klären: Leistungen, Haftung, Subunternehmerschaften.๏ Pro Anwendungsfall entscheiden, notfalls Daten und Prozesse nicht auslagern.
  9. 9. II. SICHERHEIT๏ Erster Schritt ist die Information: ๏ BSI - Bundesamt für Sicherheit in der Informationstechnik ๏ "Mindestanforderungen an Cloud Computing" ๏ EuroCloud e.V. ๏ "Leitfaden Recht, Datenschutz & Compliance" ๏ BITKOM e.V. ๏ "Leitfaden Cloud Computing – Was Entscheider wissen müssen" (Kapitel 4)
  10. 10. Sicherheit TECHNISCHE KRITERIEN๏ Transport der Daten: ๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt?๏ Ablage und Bearbeitung der Daten: ๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit? ๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung? ๏ Entstehen Risiken durch die Bearbeitung der Daten?๏ Identitäts- und Zugriffsverwaltung beim Anbieter ๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?
  11. 11. Sicherheit ORGANISATORISCHE KRITERIEN๏ Sicherheitsmanagement des Anbieters ๏ ITIL, ISO 27002 ๏ Mitarbeiterkontrolle ๏ Incident Management, Notfallmanagement๏ Kontinuität des Anbieters
  12. 12. Sicherheit ZUSAMMENFASSUNG๏ Überprüfen Sie den Anbieter, bevor Sie personenbezogene Daten übermitteln.๏ Halten Sie sich bei der Überprüfung des Sicherheitskonzepts an Standards ๏ BITKOM, BSI, eco๏ Bewerten Sie den Anbieter nach den gleichen Kriterien, die Sie für die Bewertung einer internen Lösung verwenden würden.
  13. 13. VIELEN DANKfür Ihre Aufmerksamkeit

×