Cloud Computing Wohin geht die Reise?

Transkript

1 Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen

2 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten der Bundesregierung BSI-Aktivitäten Fazit Isabel Münch Folie 2

3 Einleitung Cloud Computing hat in den letzten Jahren weltweit stark an Bedeutung gewonnen Quelle: A Global Cloud Computing Study, redshift research, sponsored by AMD, June 2011 Isabel Münch Folie 3

4 Einleitung Quelle: World Quality Report 2011/12, Capgemini, Sogeti, HP Isabel Münch Folie 4

5 Einleitung Weltweites Marktvolumen für Cloud Computing (laut Gartner) 68,3 Milliarden Dollar im Jahr ,8 Milliarden Dollar im Jahr 2014 In Deutschland Steigerung der Umsätze von 1,14 Milliarden 2010 auf 8,2 Milliarden Euro im Jahr 2015 (BITKOM, Experton) Isabel Münch Folie 5

6 Warum ist Cloud Computing interessant? Flexibilität bei der Buchung, Nutzung und Stilllegung von Rechenzentrenkapazitäten je nach aktuellem und ggf. auch nur kurzfristigem Bedarf Einfacher Erwerb, verbrauchsabhängige Bezahlung Einsparpotential im Bereich Anschaffung, Betrieb und Wartung der IT-Systeme Ubiquitäre Verfügbarbeit von Geschäftsanwendungen Konzentration auf das Kerngeschäft.. Isabel Münch Folie 6

7 Was sind die Risiken? Quelle: World Quality Report 2011/12, Capgemini, Sogeti, HP Isabel Münch Folie 7

8 Was sind die Risiken? (Public Cloud) Verlust der Kontrolle über die Daten und Anwendungen Verletzung geltender Vorgaben und Richtlinien (z.b. Datenschutzanforderungen) Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur. Risiko einer Verletzung der Grundwerte der Informationssicherheit steigt Daten bzw. Anwendungen werden über das Internet genutzt, so dass ein Ausfall der Internetverbindung den Zugriff unmöglich macht Isabel Münch Folie 8

9 Was sind die Risiken? (Public Cloud) Zunahme von verteilten Denial-of-Service Angriffen auf Cloud-Computing-Plattformen Missbrauch von Cloud-Computing-Plattformen Unsichere Schnittstellen Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen (Dienstausfall, Datenverlust, etc.) Angriffe/Fehler durch Mitarbeiter des Providers Vendor Lock-In. Isabel Münch Folie 9

10 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten der Bundesregierung BSI-Aktivitäten Einschätzung der Entwicklung Isabel Münch Folie 10

11 Initiativen der Bundesregierung Cloud Computing ist eine zentrale Komponente in der IKT-Strategie der Bundesregierung Deutschland Digital 2015 Cloud Computing wurde im IT-Gipfel-Prozess als bedeutendes Thema für die nationale Technologie- und Standortpolitik identifiziert Aktionsprogramm Cloud Computing wurde am vom Bundesminister für Wirtschaft und Technologie gestartet Handlungsfelder u.a. Trusted Cloud Quelle: IKT-Strategie der Bundesregierung Deutschland Digital 2015 Isabel Münch Folie 11

12 Trusted Cloud Eckdaten Trusted Cloud ist ein Technologieprogramm des BMWi Ziel des Programms ist es, innovative, sichere und rechtskonforme Cloud Computing-Lösungen zu entwickeln Insbesondere mittelständische Unternehmen sollen davon profitieren Eckdaten Laufzeit der Aktivitäten: September 2011 Ende 2014 Fördervolumen: 50. Mio. Euro, Gesamtvolumen: 100 Mio. Euro 14 Projekte werden gefördert Isabel Münch Folie 12

13 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten der Bundesregierung BSI-Aktivitäten Fazit Isabel Münch Folie 13

14 Internationale Aktivitäten BSI EuroCloud Star Audit SaaS BITKOM Cloud Security Alliance (CSA) National Institute of Technology (NIST) ISO (SC 27 - Sicherheit) und (SC 38 - Interoperabilität) Isabel Münch Folie 14

15 Was macht das BSI? Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Isabel Münch Folie 15

16 Was macht das BSI? Einarbeitung der Cloud-Thematik in den IT-Grundschutz Prüfung der Möglichkeiten zur Zertifizierung von Cloud- Computing-Plattformen nach IT-Grundschutz Erstellung einer Kurzstudie zu Private Cloud Computing Enger Austausch mit Marktteilnehmern Mitarbeit in den Standardisierungsgremien (z. B. ISO) Isabel Münch Folie 16

17 Notwendige Sicherheitsmaßnahmen? Eckpunkte! Sicherheitsmanagement beim Cloud-Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Kontrollmöglichkeit für Nutzer Monitoring und Security- Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance Isabel Münch Folie 17

18 Referenzarchitektur Isabel Münch Folie 18

19 Sicherheitsmanagement beim Anbieter Isabel Münch Folie 19

20 Sicherheitsarchitektur Konzeption und Implementierung einer durchgängigen Sicherheitsarchitektur Rechenzentrumssicherheit Serversicherheit: Host- und Servervirtualisierung (CC- Zertifizierung) Netzsicherheit (Virenschutz, Verschlüsselung, DDoS- Mitigation, etc.) Anwendungs- und Plattformsicherheit (SDLC, Patchen, etc.) Datensicherheit im Lebenszyklus (Datensicherung, Datenlöschung) Verschlüsselung und Schlüsselmanagement Isabel Münch Folie 20

21 Vertragsgestaltung Transparenz Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Transparenz über staatliche Eingriffs- und Einsichtrechte Isabel Münch Folie 21

22 Vertragsgestaltung Service Level Agreement (SLA) Isabel Münch Folie 22

23 Datenschutz / Compliance Gewährleistung des Datenschutzes nach deutschem Recht Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Außerhalb der EU oder eines Vertragsstaats des EWR, wenn ein angemessenes Datenschutzniveau gewährleistet werden kann z. B. durch: Entscheidung der EU-Kommission (Argentinien) Beitritt zum Safe-Harbor-Agreement (USA) EU-Standardvertragsklauseln Genehmigung der Aufsichtsbehörde Isabel Münch Folie 23

24 Ausblick Cloud Computing hat das Potential, die Bereitstellung und Nutzung von IT nachhaltig zu verändern Jedoch müssen Verlässlichkeit/Sicherheit und Interoperabilität gewährleistet sein Die Erarbeitung und Etablierung von Standards für Interoperabilität und Informationssicherheit wird eine der zentralen Aufgaben in den kommenden Jahren sein Allgemein anerkannte Zertifikate setzen Maßstäbe und schaffen Vertrauen Isabel Münch Folie 24

25 Fragen und Diskussion??????? Isabel Münch Folie 25

26 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Neu: XING-Forum IT-Grundschutz Isabel Münch Folie 26