2. www.datenschutzzentrum.de
Agenda
•Heiße Luft?
•Qualität in Verträgen: Das große Vergessen?
•IT-Sicherheit: Wo bleibt die Fortentwicklung?
•Markt: Wo bleiben die Mindeststandards?
•Solides Handwerk!
SecTXL 11 2/127
5. www.datenschutzzentrum.de
Klarstellung
• Datenschutz und Cloud Computing sind vereinbar
• Cloud Computing kann sogar datenschutzfördernd sein
Höhere Revisionsfähigkeit durch höhere Automation
Automatisierte Prüfbarkeit von Sicherheitsmaßnahmen
• Datenschützer sind offensichtlich aktuell „Spielverderber“
kritisieren bestehende Angebote
legen gesetzliche Vorgaben korrekt aus
hinterfragen die Qualität von Cloud-Angeboten
SecTXL 11 5/127
7. www.datenschutzzentrum.de
Qualität in Verträgen?
… has subsidiaries and affiliated legal entities around the world.
Sometimes, these companies will be providing the Services to you on
behalf of …. itself. You acknowledge and agree that Subsidiaries and
Affiliates will be entitled to provide the Services to you.
You acknowledge and agree that the form and nature of the Services
which …. provides may change from time to time without prior notice
to you.
As part of this continuing innovation, you acknowledge and agree
that … may stop (permanently or temporarily) providing the Services
(or any features within the Services) to you or to users generally at
…….’s sole discretion, without prior notice to you.
….. reserves the right (but shall have no obligation) to pre-screen,
review, flag, filter, modify, refuse or remove any or all Content from
any Service.
SecTXL 11 7
8. www.datenschutzzentrum.de
Qualität in Verträgen?
You are responsible for properly configuring and using the Service and
taking your own steps to maintain appropriate security, protection and
backup of Your Content, which may include the use of encryption
technology to protect Your Content from unauthorized access and routine
archiving Your Content.
We may access or disclose your personal information, including the
content of your communications, in order to comply with the law
Except where otherwise specified in a Service, information that is
collected by or sent to ….. may be stored and processed in the United
States or any other country in which ….. or its affiliates, subsidiaries, or
service providers maintain facilities.
SecTXL 11 8
9. www.datenschutzzentrum.de
Qualität in Verträgen
• Aktuelle Situation:
keine Sicherheitszusagen zum Produkt
keine Sicherheitszusagen zur Infrastruktur
keine Sicherheitszusagen zum Operating
• Was ist aus den Erfahrungen der Outsourcing-Wellen der
80er und 90er-Jahre geworden?
Detailliertes Know-How zum Management von
Outsourcing war doch vorhanden?
Gab es einen kollektiven Gedächtnisverlust?
SecTXL 11 9
14. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• IT-Sicherheit für Cloud-Computing kommt nur bedingt mit
Standardsicherheitsmaßnahmen aus
• Komponentensicherheit
Härtung auf Cloud-Betrieb anpassen
Kein „Grundschutz“, sondern spezielle Maßnahmen
• Verbundsicherheit
Zusammenspiel aller Komponenten betrachten
Skaleneffekte in großen Cloud-Infrastrukturen?
SecTXL 11 14
15. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• Angriffe auf administrative Frontends und APIs
vgl. XSS, SOAP- und XML-RPC-Manipulationen
• Angriffe auf Virtualisierungsschicht
vgl. PS3-Hacks, Treiberhacks für virtualisierte Hardware
• „Anbieter als Angreifer“
Sicherheitsprobleme beim Anbieter
Fokus auf administrative Plattformen
• Cloud-Plattformen als „Waffe“
Schwache Identifikation von Kunden
„Spurloser“ Technikeinsatz
SecTXL 11 15
16. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung?
• Beschreibung von Sicherheitsmaßnahmen verbessern
• Schwerpunkt legen auf:
Mandantentrennung
(Datentransport, Datenverarbeitung, Datenspeicherung)
Sicherheit der administrativen Schnittstellen
Sicherheit der administrativen Plattform
• Standardmaßnahmen der Hersteller ergänzen
Security Guides der Hersteller
CC-evaluierte Konfigurationen
Cloud-Service-spezifische Härtung
SecTXL 11 16
17. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
Anbieter:
Dokumentiert Eure Sicherheitsarchitektur!
Fokussiert auf kundenrelevante
Sicherheitsbetrachtungen!
Kunden:
Prüft und bewertet das Modell „Anbieter als
Angreifer“!
SecTXL 11 17
19. www.datenschutzzentrum.de
Markt: Mindeststandards?
• Aktuell:
Heterogener Markt
Kaum Standardisierung bezgl. IT-Sicherheit und
Datenschutz
keine cloud-spezifischen Zertifizierungen
Bestehende Zertifizierungen (ISO27001, BSI
Grundschutz, …) nicht auf spezifische Risiken des Cloud-
Computing angepasst
SecTXL 11 19
20. www.datenschutzzentrum.de
Markt: Mindeststandards?
• Notwendig:
Best Practices erarbeiten, analog zu IT Service
Management und IT-Sicherheit (vgl. ISO2700er-Reihe
und ISO20000er Reihe)
Zertifizierungsschemata und Prüfsiegel erarbeiten
Automatisierte Prüfung ermöglichen
Elektronische Sicherheitszusagen
Elektronische Siegel
Elektronische Prüfberichte
SecTXL 11 20
21. www.datenschutzzentrum.de
IT-Sicherheit: Fortentwicklung
Anbieter:
Arbeitet an Standards zum Cloud-Computing und
an Zertifizierungsverfahren mit! Lasst Euch
zertifizieren!
Kunden:
Fordert Zertifizierungen und Gütesiegel!
SecTXL 11 21
23. www.datenschutzzentrum.de
Solides Handwerk!
• Cloud-Computing wird „langweilig“. Im positiven Sinn.
• Anwender besinnen sich auf langjährig Erlerntes:
Belastbare Sicherheitsarchitekturen durch cloud-
spezifische Sicherheitsbetrachtungen und -maßnahmen
Effektives IT-Controlling durch belastbare Verträge
• Anbieter erkennen, dass Märkte „begehbar“ sein müssen
Transparente Sicherheit, Fokus auf Kunde
Nachweisorientierung durch Zertifizierungen und
Standards
SecTXL 11 23
24. www.datenschutzzentrum.de
SecTXL 11
From Technology to Law
„Kick butt and have fun!”
(Scott McNealy)
SecTXL 11 24
25. www.datenschutzzentrum.de
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de
SecTXL 11 25