Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen
5-Minuten-Agenda <ul><li>Kurz-Vorstellung ULD  (entfällt! Infos: http:// www.datenschutzzentrum.de /) </li></ul><ul><li>Wa...
Warum prüfen? <ul><li>Konzept der  Verantwortlichkeit  der Daten verarbeitenden Stelle </li></ul><ul><li>Verantwortlichkei...
Wie prüft man einen Cloud-Dienst? <ul><li>orientiert an Schichten </li></ul><ul><ul><li>Infrastrukturebene:  Räume, Gebäud...
Wie prüft man einen Cloud-Dienst? <ul><ul><ul><li>Virtualisierungsschicht  ->  Tja…  Hmmm… Hypervisor-Sicherheit ist relat...
Wiederverwendung von Prüfergebnissen? <ul><li>Prüfungen sind aufwändig </li></ul><ul><ul><li>erste Erfahrungen des ULD: Pr...
Bisheriger Ansatz: Zertifizierungen <ul><li>ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel ,… </li></ul><ul><ul><li...
Idee: „Elektronische Prüfsiegel“ <ul><li>Maschinenlesbare Prüfkataloge (Was ist zu prüfen?) </li></ul><ul><li>Maschinenles...
Vielen Dank für Ihre Aufmerksamkeit! <ul><li>Kontaktdaten </li></ul><ul><li>Unabhängiges Landeszentrum für Datenschutz </l...
Upcoming SlideShare
Loading in …5
×

Sven Thomsen - How to audit, how to certify?

998 views
942 views

Published on

How to audit, how to certify?

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
998
On SlideShare
0
From Embeds
0
Number of Embeds
39
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sven Thomsen - How to audit, how to certify?

  1. 1. Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen
  2. 2. 5-Minuten-Agenda <ul><li>Kurz-Vorstellung ULD (entfällt! Infos: http:// www.datenschutzzentrum.de /) </li></ul><ul><li>Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen? </li></ul><ul><li>Wie prüft man einen Dienst in einer Cloud? </li></ul><ul><li>Wie zertifiziert man aktuell einen Cloud-Dienst? </li></ul><ul><li>Wie sollte man einen Cloud-Dienst zertifizieren? </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  3. 3. Warum prüfen? <ul><li>Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle </li></ul><ul><li>Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden </li></ul><ul><li>Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen </li></ul><ul><li>„ Vertrauen “ gibt es im Bereich Datenschutz und Datensicherheit nicht </li></ul><ul><li>an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  4. 4. Wie prüft man einen Cloud-Dienst? <ul><li>orientiert an Schichten </li></ul><ul><ul><li>Infrastrukturebene: Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise , vgl. Trusted Site Infrastructure, Uptime Data Center Tiers </li></ul></ul><ul><ul><li>Netzwerkebene : Router, Switches, Paketfilter, Proxies etc. -> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme </li></ul></ul><ul><ul><li>Basis-Systeme -> Best-Practices und Security-Guides der Hersteller , CommonCriteria-evaluierte Konfigurationen </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  5. 5. Wie prüft man einen Cloud-Dienst? <ul><ul><ul><li>Virtualisierungsschicht -> Tja… Hmmm… Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen </li></ul></ul></ul><ul><ul><li>Sicherheitsmanagement -> etablierte Standards ISO27001, BSI-Standards 100-1 bis 100-4 </li></ul></ul><ul><li>Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop! </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  6. 6. Wiederverwendung von Prüfergebnissen? <ul><li>Prüfungen sind aufwändig </li></ul><ul><ul><li>erste Erfahrungen des ULD: Prüfung einer kleinen, private Cloud (IaaS) ~ 10 PT </li></ul></ul><ul><li>Wie kann man die Investition in eine Überprüfung mehrfach nutzen? </li></ul><ul><ul><li>als Aufsichtsbehörde? unter Aufsichtsbehörden? </li></ul></ul><ul><ul><li>als Anbieter eines cloud-basierten Dienstes? </li></ul></ul><ul><ul><li>als potentieller Kunde? </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  7. 7. Bisheriger Ansatz: Zertifizierungen <ul><li>ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel ,… </li></ul><ul><ul><li>öffentliches Kurzgutachten, detaillierte Beschreibung des Target Of Evaluation (ToE) </li></ul></ul><ul><ul><li>regelmäßige Rezertifizierung, regelmäßige Prüfung während der Laufzeit des Audits </li></ul></ul><ul><ul><li>Qualitätsmanagement über vergebene Zertifikate, interne Fortbildung der Prüfer </li></ul></ul><ul><li>Aber immer noch: „ aufwändige Prüfung der Prüfung “ </li></ul><ul><ul><li>Kenntnis des Prüfstandards </li></ul></ul><ul><ul><li>Prüfung des ToE </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  8. 8. Idee: „Elektronische Prüfsiegel“ <ul><li>Maschinenlesbare Prüfkataloge (Was ist zu prüfen?) </li></ul><ul><li>Maschinenlesbare Prüfberichte (Was wurde geprüft?) </li></ul><ul><li>Maschinenlesbare Bewertungen (Mit welchem Ergebnis?) </li></ul><ul><li>Maschinenlesbare Nachweise (Womit nachgewiesen?) </li></ul><ul><li>Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?) </li></ul><ul><li>Ziele: </li></ul><ul><li>Durchgeführte Prüfungen und Zertifizierungen elektronisch verwertbar machen </li></ul><ul><li>Nachweise automatisiert führen </li></ul><ul><li>Sicherheitsniveau cloud-basierter Dienste nachvollziehbar gestalten </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  9. 9. Vielen Dank für Ihre Aufmerksamkeit! <ul><li>Kontaktdaten </li></ul><ul><li>Unabhängiges Landeszentrum für Datenschutz </li></ul><ul><li>Sven Thomsen </li></ul><ul><li>Holstenstraße 98 </li></ul><ul><li>24103 Kiel </li></ul><ul><li>0431-988-1211 </li></ul><ul><li>[email_address] </li></ul>Clouds: Wie prüfen? Wie zertifizieren?

×