Datenschutzkonforme und sichere Nutzung von „Cloud-Diensten“

Slides:



Advertisements
Ähnliche Präsentationen
Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Advertisements

Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.
Herzlich Willkommen. Agenda Kurzvorstellung T&N Blickwinkel: Ganzheitliche ICT Das Projekt: Der Auftrag Die Möglichkeiten Exkurs: Cloud-Computing Das.
IT_FULL SERVICE CENTER
Cloud-Computing Tomic Josip.
Fünf Gründe, warum Sie noch einmal über UC nachdenken sollten November 2013.
Quellen: Internet INTRANET Ausarbeitung von Sven Strasser und Sascha Aufderheide im Modul Netzwerktechnik, Klasse INBS Mai 2003.
Generic Enabler Felix Holzäpfel-Stein, Aachen Generische Komponenten im Cloudkontext.
Effizienz durch skalierbares Outsourcing von Sprachdienstleistungen.
Willkommen beim 4. InfoSprint Balthasar Glättli, NR, Präsident OneGov.ch.
Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.
©© 2013 SAP AG. Alle Rechte vorbehalten. Workforce Administration Szenarioübersicht Legende öffnen Szenariobeschreibung An diesem Szenario sind die folgenden.
Global Sourcing Baustein für einen nachhaltigen Unternehmenserfolg! Global Sourcing nimmt bereits heute eine zentrale Bedeutung im Einkauf und im gesamten.
Crowdsourcing als neue Methode der Marktforschung.
Mediation ist mehr als Win - Win. Ausgangspunkt Mediation – Wann ist sie sinnvoll? Mediation ist ein strukturiertes Verfahren, in dem neutrale Dritte.
VMware vCloud Automation Center Rüdiger Melzer Senior Systems Engineer, Alliance Management VMware
Mesh-Networks als Zugangsnetze Opennet Initiative e.V. / Dr. T. Mundt.
Microsoft Azure Die Cloud-Plattform für moderne Unternehmen ModernBiz 1 Kleine und mittlere Unternehmen (KMU) wünschen sich die Möglichkeit und Flexibilität,
Kontinuität. Kompetenz. Innovation. Das Unternehmen MDW FLAMINGO existiert seit über 30 Jahren und bietet Dienstleistungen in den Bereichen Marketing,
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Mit Sicherheit in die Digitalisierung ̶ B2B-Processing
EU-DATENSCHUTZGRUNDVERORDNUNG am 5. OKTOBER 2017
das Produkt Komplettlösung eines multimedialen Archivs
Geodaten-Infrastruktur
Logistikmanager(m/w)
Cloud Pro-Programm Soft Launch / November 2016
Eine Präsentation von Sandro Schluep und Leon Wink.
Beratung Projekte Philosophie
Datenschutz im Arbeitsalltag Arbeitsmaterialien
Digitale Kompetenz in der Rechtsdidaktik
Ich empfehle Ihnen unser Bewertungssiegel im Businesspaket
Welche Farbe wählen Sie?
Politikzyklus ist ein politikwissenschaftliches Modell, das den
Willkommen bei INVIA World!
Starte Dein Projekt ! Schule braucht Freunde – werden Sie ein friends4school! Nutzen Sie Deutschlands größtes Schulprojektnetzwerk auch in ihrer Schule.
JaOffice: ANWENDUNGSSZENARIOS
Cloud Computing.
Handlungsfelder Aspekte Prämissen Inhalte Umsetzungsprozesse
Handlungsschritte zur Vorbereitung auf die neue EU-DSGVO
Kontinuität. Kompetenz. Innovation.
ISO 9001: = Einleitung 1 = Anwendungsbereich
Webdienste Infrastruktur Motivation
Die Zukunft von ECM ist C-M-S Cloud, Mobile & Social – oder nicht?
Hochleistungsorganisation
EFI Wissensaustausch-Portal
IT an Schulen - Ergebnisse einer Befragung von Lehrern in Deutschland - - November
Technisches Sicherheitsmanagement Stadtwerke Hannover AG
Potenziale von Enterprise Collaboration & Social Business
Mehr als Alles… Fokussiert leben.
Wie kommt man zu „richtigen“ Entscheidungen?
Fleet Management.
Cloud an der Universität Zürich
Mag. (FH) Patrick Fritz Methode KAIZEN erstellt von
Compliance und betriebswirtschaftliche Integrität sicherstellen
PI Infrastruktur in der Max-Planck-Gesellschaft
Diplomarbeit Thema Foto erwünscht Bearbeiter: Vorname Nachname
Studiengang Informatik FHDW
Geschäftsplanpräsentation
Energieleitlinie: Wieso brauchen wir das?
Banken und Finanzmärkte
Mehr Kundennutzen durch IT
Einsatzmatrix 2.0.
IT-Sicherheitsspezialist (m/w/d)
IBM Software Cincom Systems Erwartete 20-prozentige Verkürzung der Markteinführungszeit mit dem IBM WebSphere Liberty-Profil Die Anforderung: Das für.
Der IT-Verbund im Konzern Landeshauptstadt Schwerin IT-Strategie
Alternative Wege in die Cloud Tom Neumann & Roger Geitzenauer.
Wir sind ‚One PPG‘ Unser Auftrag We protect and beautify the world
Cloud Computing SBV – Weitebildungskurse 2018.
«Innovative Technologien (DLT, AI) in Ecosystemen»
Hack2Sol – Powered by SAP
 Präsentation transkript:

Datenschutzkonforme und sichere Nutzung von „Cloud-Diensten“ IT-Leiter-Treff am 27.5.2014

IT-Security@Work GmbH Inhaltsverzeichnis ISW … nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken der Clouds Vorgehensmodell Fragen? 22.09.2018 IT-Security@Work GmbH

ISW – Nur ein paar Worte… Datenschutzkonforme und sichere Nutzung von Cloud-Diensten ISW – Nur ein paar Worte… Projektmanagement Datenschutz Compliance IT-Security IT-Service Management IT-Security@Work – Unser Name ist unser Programm. Die ISW unterstützt ihre Kunden dabei, Aspekte der IT-Security, der Compliance und des Datenschutzes mit Business- und Betriebsprozessen so zu kombinieren, dass ein Optimum im Spannungsfeld Business, Betrieb (Work) und IT-Security erreicht wird. 22.09.2018 IT-Security@Work GmbH

Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Kurzportrait der ISW Zahlen, Daten & Fakten – Informatives auf den Punkt gebracht Die IT-Security@Work GmbH (ISW) ist … ein junges, wachsendes Consulting-Unternehmen Gesellschaftsform: GmbH Hochmotivierte Mitarbeiter: 15 QS-Erfahrung: ca. 7 m Unser erklärtes Ziel: Die beste Lösung für Sie! Gründungsjahr: 2008 Ausrichtung: branchen-übergreifend Projekterfahrung: > 200 Mannjahre Die Teilnahme an Forschungsprojekten: gefällt uns Unternehmenssitz: Dreieich Registergericht: AG Offenbach Partner des Kunden erklärtes Ziel Vorhandenes Partnernetzwerk: hervorragend 22.09.2018 IT-Security@Work GmbH

Jedem von Ihnen möchte ich mindestens Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Ziel des Vortrags Jedem von Ihnen möchte ich mindestens einen Impuls für seine Arbeit mitgeben. Deshalb: Dialogform Zwischenfragen sind willkommen! Einstiegsfragen von meiner Seite: Sind bei Ihnen Cloud Lösungen im Einsatz? Welche sind dies? War das Thema Cloud bei Ihnen in der Diskussion? Von wem kam der Anstoß dazu? 22.09.2018 IT-Security@Work GmbH

Cloud Computing – Was ist das eigentlich? Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Cloud Computing – Was ist das eigentlich? Quelle: Wikipedia 22.09.2018 IT-Security@Work GmbH

Servicemodelle für Clouds (nach NIST) Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Servicemodelle für Clouds (nach NIST) IaaS – Infrastructure as a Service Rechnerwolken bieten Nutzungszugang von virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzwerken und Speicher. Mit IaaS gestalten sich Nutzer frei ihre eigenen virtuellen Computer-Cluster und sind daher für die Auswahl, die Installation, den Betrieb und das Funktionieren ihrer Software selbst verantwortlich. PaaS – Platform as a Service Rechnerwolken bieten Nutzungszugang von Programmierungs- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten. Mit PaaS entwickeln Nutzer ihre eigenen Software-Anwendungen oder lassen diese hier ausführen, innerhalb einer Softwareumgebung, die vom Dienstanbieter (Service Provider) bereitgestellt und unterhalten wird. SaaS – Software as a Service Rechnerwolken bieten Nutzungszugang von Software-Sammlungen und Anwendungsprogrammen. SaaS Diensteanbieter offerieren spezielle Auswahlen von Software, die auf ihrer Infrastruktur läuft. SaaS wird auch als Software on demand (Software bei Bedarf) bezeichnet. 22.09.2018 IT-Security@Work GmbH

Cloud Computing – Was ist das eigentlich? Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Cloud Computing – Was ist das eigentlich? Quelle: Wikipedia 22.09.2018 IT-Security@Work GmbH

Liefermodelle für Cloud Services (nach NIST) Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Liefermodelle für Cloud Services (nach NIST) Public Cloud – die öffentliche Rechnerwolke: Bietet Zugang zu abstrahierten IT-Infrastrukturen für die breite Öffentlichkeit über das Internet. Public-Cloud-Diensteanbieter erlauben ihren Kunden, IT-Infrastruktur zu mieten auf einer flexiblen Basis des Bezahlens für den tatsächlichen Nutzungsgrad bzw. Verbrauch (pay-as-you-go), ohne Kapital in Rechner- und Datenzentrumsinfrastruktur investieren zu müssen. Private Cloud – die private Rechnerwolke: Bietet Zugang zu abstrahierten IT-Infrastrukturen innerhalb der eigenen Organisation (Behörde, Firma, Verein). Hybrid Cloud – die hybride Rechnerwolke: Bietet kombinierten Zugang zu abstrahierten IT-Infrastrukturen aus den Bereichen von Public Clouds und Private Clouds, nach den Bedürfnissen ihrer Nutzer. Community Cloud – die gemeinschaftliche Rechnerwolke: Bietet Zugang zu abstrahierten IT-Infrastrukturen wie bei der Public Cloud – jedoch für einen kleineren Nutzerkreis, der sich, meist örtlich verteilt, die Kosten teilt (z. B. mehrere städtische Behörden, Universitäten, Betriebe oder Firmen mit ähnlichen Interessen, Forschungsgemeinschaften, Genossenschaften). Abschluss: Welche Lösungen werden bei Ihnen eingesetzt? 22.09.2018 IT-Security@Work GmbH

Auswahl einer geeigneten Lösung: Ganzheitlicher Blick Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Auswahl einer geeigneten Lösung: Ganzheitlicher Blick Geschäftsprozess Betroffene Daten Interne Möglichkeiten Provider Prozess-anforderungen Regulatorische Anforderungen Was kann ich überhaupt selber leisten, was passt in meine IT-Strategie? Entspricht die gewählte Lösung den Anforderungen (auch bezüglich Regularien, Flexibilität) aller Stakeholder (Business, IT, Compliance, Recht, …)? Welche Risiken bestehen, kann das Unternehmen diese tragen? Risikobasierter Top-Down-Ansatz Interne Richtlinien 22.09.2018 IT-Security@Work GmbH

IT-Security@Work GmbH Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Auswahl einer geeigneten Lösung: Key-Faktoren Angemessenheit: Tue das was Du brauchst, aber auch nur das. Nicht alles was technisch möglich ist, ist auch sinnvoll. Stelle den Mehrwert bzw. Nutzen in den Vordergrund Effektivität: Wähle Maßnahmen, die geeignet sind. Suche den neutralen Blick. („Viele Wege - ein Ziel“) Prüfe die Wirksamkeit der Maßnahmen. Usability: Wähle Maßnahmen, die die Fachprozesse nicht unnötig belasten. Unterstütze User im Umgang Finde geeigneten Weg zwischen IT-Sicherheits-, Compliancevorgaben etc. und Arbeitsprozessen. Plan Do Check Act Angemessenheit Effektivität Usability 22.09.2018 IT-Security@Work GmbH

Sicherheitsmanagement – Gleiches Vorgehen wie immer … Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Sicherheitsmanagement – Gleiches Vorgehen wie immer … Gute Möglichkeit im Rahmen eines Quick Checks diese Gaps zu identifizieren und Lösungen anzubieten, Auch identifizierung von “Zu Viel” an Maßnahmen 22.09.2018 IT-Security@Work GmbH

Blickpunkt Datenschutz und Vertraulichkeit Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Blickpunkt Datenschutz und Vertraulichkeit In welchem Land wird der Cloud-Service betrieben, kenne ich die Standorte? Regulatorische Bedingungen aus dem Datenschutz: = außerhalb der EU / EWR = innerhalb der EU / EWR = innerhalb von Deutschland Welche Zugriffsmöglichkeiten durch Dritte ergeben sich alleine daraus? Werden die Daten verschlüsselt abgelegt, übertragen oder verarbeitet? Können andere Schutzmechanismen angewendet werden (z.B. Anonymisierung oder Pseudonymisierung)? Hat der Cloud-Service-Anbieter ein Nutzungsrecht auf die Daten? Welche Aussagen trifft der Anbieter über Datenweitergabe? 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des verwendeten Cloud-Services Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des verwendeten Cloud-Services IaaS Unbekanntes Sicherheitslevel der virtuellen Hardware Abbildung von Netzwerksegmenten Ort der Datenverarbeitung Unbekannte Betriebsprozesse und Dienstleistungverhältnisse (Subprovider) Incident-Prozesse System-Überwachung, Monitoring SLA (nicht nur zur Verfügbarkeit) … DDoS-Thematiken 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des verwendeten Cloud-Services Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des verwendeten Cloud-Services PaaS Problematiken der IaaS Sicherheit, Konfiguration und Stabilität der Plattform Lebenszyklen der Plattform Patchprozess, Incident-Prozess Sicherstellung der Kompatibilität bei Changes (Plattform – Applikation) … Openssl-Bug, End of Life-Plattform 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des verwendeten Cloud-Services Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des verwendeten Cloud-Services SaaS Meist Standarddienst, kein Einfluss auf Beständigkeit oder Changes Wechselnde AGBs Transparenz von Risiken? Service Continuity als höchstes Ziel (als einzig sichtbarer Aspekt für Kunden) … 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des Cloud-Typs Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des Cloud-Typs Private/Interne Cloud Zweckbindung der Datenverarbeitung (Gefahr unerlaubter Verarbeitungen auf Grund von zugreifbaren Datentöpfen) Vermischung von Zuständigkeiten innerhalb der eigenen Organisation, … 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des Cloud-Typs Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des Cloud-Typs Public Cloud Keine Kontrolle über Verarbeitung Einhaltung von Regularien nicht möglich Ungeeignete Vertragswerke der Anbieter Einzelner Kunde ist nicht im Fokus des Anbieters, sondern Masse (Standardleistung) Bei „Exklusiver Cloud” kennen Anbieter und Kunde sich … 22.09.2018 IT-Security@Work GmbH

Problematiken nach Art des Cloud-Typs Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Problematiken nach Art des Cloud-Typs Hybride Cloud Problematiken aus Private und Public Cloud möglich Aber: Steuerung möglich, welche Problematiken aus der Public Cloud man in Kauf nimmt und welche man umgehen möchte Denn: Abwägung von Chancen/Risiken! 22.09.2018 IT-Security@Work GmbH

Vorgehen zur Auswahl geeigneter Lösungen Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Vorgehen zur Auswahl geeigneter Lösungen Risikobasierter Top-Down Ansatz Standardisiertes Vorgehen zur Bewertung der Lösungsmöglichkeiten Aufteilung des Geschäftsprozesses in Anteile mit unterschiedlichen Anforderungen Einbeziehen des Business in die Risikobeurteilung und Übernahme Evaluation der Verträge unter Rechts-, Business und IT-Aspekten Festlegung der „Verantwortlichkeit” für die IT-Anwendung in der Cloud Aufsetzen geeigneter Prozesse zur Steuerung und Überwachung der Cloud-Dienste Das Vorgehen unterscheidet sich im Wesentlichen nicht von anderen Auslagerungen von IT-Services an Dienstleister, nur sind die zu beachtenden Rahmenbedingungen häufig andere und weniger verhandelbar. 22.09.2018 IT-Security@Work GmbH

Ich habe aber doch schon eine Lösung umgesetzt … !? Datenschutzkonforme und sichere Nutzung von Cloud-Diensten Ich habe aber doch schon eine Lösung umgesetzt … !? Risikobasierter Ansatz: Durchführen einer Gap-Analyse für die bestehende Lösungen Identifizieren der Vorteile, der offenen Punkte und der Risiken Erarbeitung von Handlungsoptionen Umsetzungsplan auf Basis risikoorientierter Entscheidungen des Unternehmens Anpassung der eingesetzten Umsetzung gemäß Handlungsplan Kein Problem! In der Regel ist der bewusste Umgang mit Risiken das Entscheidende. Und der Nachweis, dass man dies tut. 22.09.2018 IT-Security@Work GmbH

Datenschutzkonforme und sichere Nutzung von Cloud-Diensten

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.