Clouds :
How to audit, how to certify?
Clouds:
Wie prüfen? Wie zertifizieren?
Sven Thomsen
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 2
5-Minuten-Agenda
• Kurz-Vorstellung ULD
(entfällt! Info...
www.datenschutzzentrum.de
Warum prüfen?
• Konzept der Verantwortlichkeit der Daten
verarbeitenden Stelle
• Verantwortlichk...
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• orientiert an Schichten
 Infrastrukturebene:
Räume, Gebäude...
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• Virtualisierungsschicht
-> Tja… Hmmm…
Hypervisor-Sicherheit ...
www.datenschutzzentrum.de
Wiederverwendung von Prüfergebnissen?
• Prüfungen sind aufwändig
 erste Erfahrungen des ULD: Pr...
www.datenschutzzentrum.de
Bisheriger Ansatz: Zertifizierungen
• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,
…
...
www.datenschutzzentrum.de
Idee: „Elektronische Prüfsiegel“
• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)
• Maschine...
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabh...
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabh...
Upcoming SlideShare
Loading in …5
×

Sven Thomsen - Clouds - How to audit, how to certify?

412
-1

Published on

Clouds - How to audit, how to certify? CloudCamp Hamburg 2010

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
412
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sven Thomsen - Clouds - How to audit, how to certify?

  1. 1. Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen
  2. 2. www.datenschutzzentrum.de Clouds: Wie prüfen? Wie zertifizieren? 2 5-Minuten-Agenda • Kurz-Vorstellung ULD (entfällt! Infos: http://www.datenschutzzentrum.de/) • Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen? • Wie prüft man einen Dienst in einer Cloud? • Wie zertifiziert man aktuell einen Cloud-Dienst? • Wie sollte man einen Cloud-Dienst zertifizieren?
  3. 3. www.datenschutzzentrum.de Warum prüfen? • Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle • Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden • Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen • „Vertrauen“ gibt es im Bereich Datenschutz und Datensicherheit nicht • an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon Clouds: Wie prüfen? Wie zertifizieren? 3
  4. 4. www.datenschutzzentrum.de Wie prüft man einen Cloud-Dienst? • orientiert an Schichten  Infrastrukturebene: Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise, vgl. Trusted Site Infrastructure, Uptime Data Center Tiers  Netzwerkebene : Router, Switches, Paketfilter, Proxies etc. -> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme  Basis-Systeme -> Best-Practices und Security-Guides der Hersteller, CommonCriteria-evaluierte Konfigurationen Clouds: Wie prüfen? Wie zertifizieren? 4
  5. 5. www.datenschutzzentrum.de Wie prüft man einen Cloud-Dienst? • Virtualisierungsschicht -> Tja… Hmmm… Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen  Sicherheitsmanagement -> etablierte Standards ISO27001, BSI-Standards 100-1 bis 100-4 Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop! Clouds: Wie prüfen? Wie zertifizieren? 5
  6. 6. www.datenschutzzentrum.de Wiederverwendung von Prüfergebnissen? • Prüfungen sind aufwändig  erste Erfahrungen des ULD: Prüfung einer kleinen, private Cloud (IaaS) ~ 10 PT • Wie kann man die Investition in eine Überprüfung mehrfach nutzen?  als Aufsichtsbehörde? unter Aufsichtsbehörden?  als Anbieter eines cloud-basierten Dienstes?  als potentieller Kunde? Clouds: Wie prüfen? Wie zertifizieren? 6
  7. 7. www.datenschutzzentrum.de Bisheriger Ansatz: Zertifizierungen • ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel, …  öffentliches Kurzgutachten, detaillierte Beschreibung des Target Of Evaluation (ToE)  regelmäßige Rezertifizierung, regelmäßige Prüfung während der Laufzeit des Audits  Qualitätsmanagement über vergebene Zertifikate, interne Fortbildung der Prüfer • Aber immer noch: „aufwändige Prüfung der Prüfung“  Kenntnis des Prüfstandards  Prüfung des ToE Clouds: Wie prüfen? Wie zertifizieren? 7
  8. 8. www.datenschutzzentrum.de Idee: „Elektronische Prüfsiegel“ • Maschinenlesbare Prüfkataloge (Was ist zu prüfen?) • Maschinenlesbare Prüfberichte (Was wurde geprüft?) • Maschinenlesbare Bewertungen (Mit welchem Ergebnis?) • Maschinenlesbare Nachweise (Womit nachgewiesen?) • Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?) Ziele: • Durchgeführte Prüfungen und Zertifizierungen elektronisch verwertbar machen • Nachweise automatisiert führen • Sicherheitsniveau cloud-basierter Dienste nachvollziehbar gestalten Clouds: Wie prüfen? Wie zertifizieren? 8
  9. 9. www.datenschutzzentrum.de Clouds: Wie prüfen? Wie zertifizieren? 9 Vielen Dank für Ihre Aufmerksamkeit! Kontaktdaten Unabhängiges Landeszentrum für Datenschutz Sven Thomsen Holstenstraße 98 24103 Kiel 0431-988-1211 uld3@datenschutzzentrum.de
  10. 10. www.datenschutzzentrum.de Clouds: Wie prüfen? Wie zertifizieren? 9 Vielen Dank für Ihre Aufmerksamkeit! Kontaktdaten Unabhängiges Landeszentrum für Datenschutz Sven Thomsen Holstenstraße 98 24103 Kiel 0431-988-1211 uld3@datenschutzzentrum.de
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×