SlideShare ist ein Scribd-Unternehmen logo
PUBLIC CLOUD:
SICHERHEIT UND DATENSCHUTZ
          EIN KURZER ÜBERBLICK


     Roberto Valerio, CloudSafe GmbH

             11. August 2011
                 SecTXL
Roberto Valerio                 CloudSafe GmbH

Gründer CloudSafe.com         Verschlüsselte Cloud Storage
                              Verschlüsselte Kommunikation
Programmierung : 20 Jahre
   IT-Projekte: 10 Jahre         Gründung November 2009
 Startup-Erfahrung: 5 Jahre     Online Plattform: cloudsafe.com
Übersicht

                                PUBLIC CLOUD
๏ Public Cloud Services
   ๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG?

   ๏   Funktionsübertragung: Werden die Daten bearbeitet?

๏ I. Datenschutz
   ๏ Vorgaben, Pflichten, Umsetzung

๏ II. Sicherheit
   ๏ Technische & organisatorische Kriterien
I. DATENSCHUTZ
๏   Abgrenzung der Daten nach dem BDSG:
    ๏   Personenbezogene Daten: Einer natürlichen Person zugeordnet,
        z.B. Kunden- und Personaldaten
    ๏   Besondere personenbezogen Daten: Ethnische Herkunft,
        Gesundheit, Politische Ansichten & Religion und weitere (§ 3
        Abs. 9 BDSG)
    ๏   Daten mit Sonderregelungen: Finanzdienstleistungen,
        Telekommunikation, steuerrechtlich relevante und
        berufsstandbezogene Daten
๏   Einfacher Personenbezug kann jederzeit durch Anonymisierung
    aufgehoben werden.
๏   Nutzer von Cloud Services bleiben verantwortlich für den
    Umgang mit den anvertrauten Daten!
Datenschutz

                                       PFLICHTEN
๏ Pflichten für die Auslagerung von personenbezogenen
    Daten:
    ๏   "Sorgfältige" Auswahl:
        ๏    Nutzer muß selber überprüfen, ob der Anbieter in der
             Lage ist, den Datenschutz nach BDSG zu gewährleisten.

    ๏   Regelmäßige Überprüfung
        ๏    Hier ist es hilfreich, wenn der Anbieter lokal anerkannte
             Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.

๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB).

๏ Bußgelder bis 50.000 Euro möglich.
Datenschutz

VERTRAGSGESTALTUNG
       ๏ Schriftform

       ๏ Gegenstand der Datenverarbeitung

          ๏ "Welche Daten werden wie verarbeitet?"

       ๏ Sub-Unternehmerschaft

          ๏ "Erfüllen eventuelle Subunternehmer des Anbieters die
             gleichen Kriterien wie der Anbieter?"

       ๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die
          Haftung für alle personenbezogenen Daten beim
          Nutzer.
Datenschutz

                           EXKURS: AUSLAND
๏   Überlassung von personenbezogenen Daten ohne
    explizite Erlaubnis der betroffenen Person ist möglich,
    aber nur innerhalb der EU/EWR.
๏   Überlassung der Daten an Anbieter außerhalb der
    EU/EWR nur nach ergänzender Vertraglichen
    Regelung.
    ๏   Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an
        die Überprüfung, faktisch kaum möglich.
๏   Alternative: Die Daten werden innerhalb des gültigen
    Raumes verschlüsselt oder anonymisiert
Datenschutz

              ZUSAMMENFASSUNG
๏ Auswahl Daten: Welche Daten möchte ich
   extern verarbeiten?
๏ Auswahl Anbieter: Sorgfältige Erstauswahl,
   regelmäßige Überprüfung.
๏ Vertragliche Anforderungen klären:
   Leistungen, Haftung, Subunternehmerschaften.
๏ Pro Anwendungsfall entscheiden, notfalls
   Daten und Prozesse nicht auslagern.
II. SICHERHEIT
๏ Erster Schritt ist die Information:

   ๏ BSI - Bundesamt für Sicherheit in der
       Informationstechnik
       ๏   "Mindestanforderungen an Cloud Computing"

   ๏ EuroCloud e.V.

       ๏   "Leitfaden Recht, Datenschutz & Compliance"

   ๏ BITKOM e.V.

       ๏   "Leitfaden Cloud Computing – Was Entscheider
           wissen müssen" (Kapitel 4)
Sicherheit

                 TECHNISCHE KRITERIEN
๏ Transport der Daten:
   ๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt?
๏ Ablage und Bearbeitung der Daten:
   ๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit?
   ๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung?
   ๏ Entstehen Risiken durch die Bearbeitung der Daten?
๏ Identitäts- und Zugriffsverwaltung beim Anbieter
   ๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?
Sicherheit

          ORGANISATORISCHE KRITERIEN

๏ Sicherheitsmanagement des Anbieters
  ๏ ITIL, ISO 27002

     ๏ Mitarbeiterkontrolle

     ๏ Incident Management, Notfallmanagement

๏ Kontinuität des Anbieters
Sicherheit

                    ZUSAMMENFASSUNG
๏ Überprüfen Sie den Anbieter, bevor Sie
   personenbezogene Daten übermitteln.
๏ Halten Sie sich bei der Überprüfung des
   Sicherheitskonzepts an Standards
   ๏ BITKOM, BSI, eco

๏ Bewerten Sie den Anbieter nach den
   gleichen Kriterien, die Sie für die Bewertung
   einer internen Lösung verwenden würden.
VIELEN DANK
für Ihre Aufmerksamkeit

Weitere ähnliche Inhalte

Andere mochten auch

Le futur simple correct
Le futur simple correctLe futur simple correct
Le futur simple correctMarlène Fert
 
Recht
RechtRecht
Recht
fschimpf
 
Cronograma
CronogramaCronograma
Cronograma
Felipe Araya Galaz
 
9 24 session 17
9 24 session 179 24 session 17
9 24 session 17
nblock
 
Workshop de programación en Android
Workshop de programación en AndroidWorkshop de programación en Android
Workshop de programación en Android
Luis Muñoz Hueso
 
Expressions avec avoir
Expressions avec avoirExpressions avec avoir
Expressions avec avoirMarlène Fert
 
10 27 session 33
10 27 session 3310 27 session 33
10 27 session 33
nblock
 
Luis j.l'enfance de mon père
Luis j.l'enfance de mon pèreLuis j.l'enfance de mon père
Luis j.l'enfance de mon père
School
 
Serie noire
Serie noireSerie noire
Serie noire
pprem
 
04008 T314 Ind C Tp3
04008 T314 Ind C Tp304008 T314 Ind C Tp3
04008 T314 Ind C Tp3
youri59490
 
Usa france, llc
Usa france, llcUsa france, llc
Usa france, llc
USAFRANCE, LLC
 
Schmidt revisited – two years later
Schmidt revisited – two years laterSchmidt revisited – two years later
Schmidt revisited – two years later
SabineMraczny1
 
Competencias tics para docentes según la unesco
Competencias tics para docentes según la unescoCompetencias tics para docentes según la unesco
Competencias tics para docentes según la unesco
marlene astrid gomez nieto
 
Sadevinox programme FR
Sadevinox programme FRSadevinox programme FR
Sadevinox programme FR
SadevTEQ
 
Ein schönes zuhause
Ein schönes zuhauseEin schönes zuhause
Ein schönes zuhause
hibau
 
Homo-Ehe-Debatte
Homo-Ehe-DebatteHomo-Ehe-Debatte
Homo-Ehe-Debatte
nblock
 
Upr
UprUpr
Lettre Exprimeo : la mode Alain Juppé
Lettre Exprimeo : la mode Alain JuppéLettre Exprimeo : la mode Alain Juppé
Lettre Exprimeo : la mode Alain Juppé
Newday
 
Cultura de la Convergencia
Cultura de la ConvergenciaCultura de la Convergencia
Cultura de la Convergencia
Josue Rodrigo Contreras Granados
 

Andere mochten auch (20)

Le futur simple correct
Le futur simple correctLe futur simple correct
Le futur simple correct
 
Recht
RechtRecht
Recht
 
Cronograma
CronogramaCronograma
Cronograma
 
9 24 session 17
9 24 session 179 24 session 17
9 24 session 17
 
Workshop de programación en Android
Workshop de programación en AndroidWorkshop de programación en Android
Workshop de programación en Android
 
Expressions avec avoir
Expressions avec avoirExpressions avec avoir
Expressions avec avoir
 
10 27 session 33
10 27 session 3310 27 session 33
10 27 session 33
 
Luis j.l'enfance de mon père
Luis j.l'enfance de mon pèreLuis j.l'enfance de mon père
Luis j.l'enfance de mon père
 
GRIFFITH BACHELOR
GRIFFITH BACHELORGRIFFITH BACHELOR
GRIFFITH BACHELOR
 
Serie noire
Serie noireSerie noire
Serie noire
 
04008 T314 Ind C Tp3
04008 T314 Ind C Tp304008 T314 Ind C Tp3
04008 T314 Ind C Tp3
 
Usa france, llc
Usa france, llcUsa france, llc
Usa france, llc
 
Schmidt revisited – two years later
Schmidt revisited – two years laterSchmidt revisited – two years later
Schmidt revisited – two years later
 
Competencias tics para docentes según la unesco
Competencias tics para docentes según la unescoCompetencias tics para docentes según la unesco
Competencias tics para docentes según la unesco
 
Sadevinox programme FR
Sadevinox programme FRSadevinox programme FR
Sadevinox programme FR
 
Ein schönes zuhause
Ein schönes zuhauseEin schönes zuhause
Ein schönes zuhause
 
Homo-Ehe-Debatte
Homo-Ehe-DebatteHomo-Ehe-Debatte
Homo-Ehe-Debatte
 
Upr
UprUpr
Upr
 
Lettre Exprimeo : la mode Alain Juppé
Lettre Exprimeo : la mode Alain JuppéLettre Exprimeo : la mode Alain Juppé
Lettre Exprimeo : la mode Alain Juppé
 
Cultura de la Convergencia
Cultura de la ConvergenciaCultura de la Convergencia
Cultura de la Convergencia
 

Ähnlich wie SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datenschutz"

IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
FLorian Laumer
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)
Praxistage
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Österreich
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Precisely
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Rene Buest
 
Daten in der Cloud – Datenschutz trotz Cloud
Daten in der Cloud – Datenschutz trotz CloudDaten in der Cloud – Datenschutz trotz Cloud
Daten in der Cloud – Datenschutz trotz Cloud
Praetor Intermedia
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
Thomas Stiren
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Constanze Liebenau
 
Database migration
Database migrationDatabase migration
Database migration
OPITZ CONSULTING Deutschland
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
Smart Contracts Northern-Lights-GmbH
Smart Contracts Northern-Lights-GmbHSmart Contracts Northern-Lights-GmbH
Smart Contracts Northern-Lights-GmbH
Karsten Brix
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
Eileen Erdmann
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC - Christian Wild Management Consultants
 

Ähnlich wie SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datenschutz" (20)

IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
Daten in der Cloud – Datenschutz trotz Cloud
Daten in der Cloud – Datenschutz trotz CloudDaten in der Cloud – Datenschutz trotz Cloud
Daten in der Cloud – Datenschutz trotz Cloud
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
 
Database migration
Database migrationDatabase migration
Database migration
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
Smart Contracts Northern-Lights-GmbH
Smart Contracts Northern-Lights-GmbHSmart Contracts Northern-Lights-GmbH
Smart Contracts Northern-Lights-GmbH
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 

Mehr von Symposia 360°

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...Symposia 360°
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...Symposia 360°
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"Symposia 360°
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...Symposia 360°
 

Mehr von Symposia 360° (11)

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
 

SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datenschutz"

  • 1. PUBLIC CLOUD: SICHERHEIT UND DATENSCHUTZ EIN KURZER ÜBERBLICK Roberto Valerio, CloudSafe GmbH 11. August 2011 SecTXL
  • 2. Roberto Valerio CloudSafe GmbH Gründer CloudSafe.com Verschlüsselte Cloud Storage Verschlüsselte Kommunikation Programmierung : 20 Jahre IT-Projekte: 10 Jahre Gründung November 2009 Startup-Erfahrung: 5 Jahre Online Plattform: cloudsafe.com
  • 3. Übersicht PUBLIC CLOUD ๏ Public Cloud Services ๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG? ๏ Funktionsübertragung: Werden die Daten bearbeitet? ๏ I. Datenschutz ๏ Vorgaben, Pflichten, Umsetzung ๏ II. Sicherheit ๏ Technische & organisatorische Kriterien
  • 4. I. DATENSCHUTZ ๏ Abgrenzung der Daten nach dem BDSG: ๏ Personenbezogene Daten: Einer natürlichen Person zugeordnet, z.B. Kunden- und Personaldaten ๏ Besondere personenbezogen Daten: Ethnische Herkunft, Gesundheit, Politische Ansichten & Religion und weitere (§ 3 Abs. 9 BDSG) ๏ Daten mit Sonderregelungen: Finanzdienstleistungen, Telekommunikation, steuerrechtlich relevante und berufsstandbezogene Daten ๏ Einfacher Personenbezug kann jederzeit durch Anonymisierung aufgehoben werden. ๏ Nutzer von Cloud Services bleiben verantwortlich für den Umgang mit den anvertrauten Daten!
  • 5. Datenschutz PFLICHTEN ๏ Pflichten für die Auslagerung von personenbezogenen Daten: ๏ "Sorgfältige" Auswahl: ๏ Nutzer muß selber überprüfen, ob der Anbieter in der Lage ist, den Datenschutz nach BDSG zu gewährleisten. ๏ Regelmäßige Überprüfung ๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel. ๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB). ๏ Bußgelder bis 50.000 Euro möglich.
  • 6. Datenschutz VERTRAGSGESTALTUNG ๏ Schriftform ๏ Gegenstand der Datenverarbeitung ๏ "Welche Daten werden wie verarbeitet?" ๏ Sub-Unternehmerschaft ๏ "Erfüllen eventuelle Subunternehmer des Anbieters die gleichen Kriterien wie der Anbieter?" ๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die Haftung für alle personenbezogenen Daten beim Nutzer.
  • 7. Datenschutz EXKURS: AUSLAND ๏ Überlassung von personenbezogenen Daten ohne explizite Erlaubnis der betroffenen Person ist möglich, aber nur innerhalb der EU/EWR. ๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR nur nach ergänzender Vertraglichen Regelung. ๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die Überprüfung, faktisch kaum möglich. ๏ Alternative: Die Daten werden innerhalb des gültigen Raumes verschlüsselt oder anonymisiert
  • 8. Datenschutz ZUSAMMENFASSUNG ๏ Auswahl Daten: Welche Daten möchte ich extern verarbeiten? ๏ Auswahl Anbieter: Sorgfältige Erstauswahl, regelmäßige Überprüfung. ๏ Vertragliche Anforderungen klären: Leistungen, Haftung, Subunternehmerschaften. ๏ Pro Anwendungsfall entscheiden, notfalls Daten und Prozesse nicht auslagern.
  • 9. II. SICHERHEIT ๏ Erster Schritt ist die Information: ๏ BSI - Bundesamt für Sicherheit in der Informationstechnik ๏ "Mindestanforderungen an Cloud Computing" ๏ EuroCloud e.V. ๏ "Leitfaden Recht, Datenschutz & Compliance" ๏ BITKOM e.V. ๏ "Leitfaden Cloud Computing – Was Entscheider wissen müssen" (Kapitel 4)
  • 10. Sicherheit TECHNISCHE KRITERIEN ๏ Transport der Daten: ๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt? ๏ Ablage und Bearbeitung der Daten: ๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit? ๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung? ๏ Entstehen Risiken durch die Bearbeitung der Daten? ๏ Identitäts- und Zugriffsverwaltung beim Anbieter ๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?
  • 11. Sicherheit ORGANISATORISCHE KRITERIEN ๏ Sicherheitsmanagement des Anbieters ๏ ITIL, ISO 27002 ๏ Mitarbeiterkontrolle ๏ Incident Management, Notfallmanagement ๏ Kontinuität des Anbieters
  • 12. Sicherheit ZUSAMMENFASSUNG ๏ Überprüfen Sie den Anbieter, bevor Sie personenbezogene Daten übermitteln. ๏ Halten Sie sich bei der Überprüfung des Sicherheitskonzepts an Standards ๏ BITKOM, BSI, eco ๏ Bewerten Sie den Anbieter nach den gleichen Kriterien, die Sie für die Bewertung einer internen Lösung verwenden würden.
  • 13. VIELEN DANK für Ihre Aufmerksamkeit