Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Transkript

1 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012

2 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud Computing Service Layer Cloud Computing Delivery Model Wirtschaftlich: Was soll in die Cloud verlagert werden? Welche am Markt verfügbaren Services haben den höchsten Wertbeitrag? Welche Services kommen für eine Cloud Nutzung in Betracht? Compliance: Welches Risiko ist akzeptabel? Wie sensibel sind die Daten? Welche gesetzlichen und regulatorischen Anforderungen gibt es? 2012 BearingPoint 2

3 Als größte Herausforderung wird allgemein die Cloud Security angesehen insbesondere der Datenschutz Neben Sicherheit und Datenschutz sind weitere Fragen Anwender-/Anbieter-individuell zu beantworten, z.b.? Wie verhindere ich Abhängigkeit und Lock-In? Wie kann ich die Einhaltung der SLAs sicherstellen? Wie sind Verträge mit Cloud Anbietern zu gestalten? Wer haftet bei Datenverlust und wie beweise ich ihn? Welche Rechtsgrundlagen gelten (KWG, BDSG, etc.)? Welche lizenzrechtlichen Fragestellungen ergeben sich 2012 BearingPoint 3

4 Cloud Compliance Herausforderungen aus technischer Sicht Potenzielle Angriffsziele Legende: Potenzielles Risiko (z.b. Angriff auf IT-Systeme oder Weitergabe von Daten) Physikalische / technische Kommunikationsverbindung 2012 BearingPoint 4

5 Sicherheitsherausforderungen bei der Nutzung von Cloud Angeboten 1. Datenschutz/ Datentrennung Sichere Mandanten- und Ressourcentrennung 2. Governance Übergreifendes Identity und Access Mgmt., Logging/Monitoring Sicherheitsherausforderungen 5. Lock-In Gewährleistung Portabilität und Interoperabilität / Anbieterwechsel 3. Compliance Beachtung gültiger Rechtssprechung, Regularien / Vorgaben, SLAs 4. Erhöhtes Angriffspotenzial geöffnete Mgmt-Schnittstellen, High Value Target (Cloud Anbieter ggf Kritische Informationsinfrastruktur), Sicherheit virtueller OS und Hypervisors, Backup, Kommunikationswege, Verfügbarkeit 2012 BearingPoint 5

6 Strategien, Initiativen, Programme (Auszug) EU: European Cloud Strategy Entwurf der Europäischen Kommission zur Allgemeinen Europäischen Datenschutzverordnung (geplant in 2014) ENISA Managing security through SLAs zusammen mit OASIS, W3C, Secure software engineering zusammen mit OWASP Deutschland: BMI: BfDI, OH Cloud Computing BSI: Eckpunktepapier, IT-Grundschutz Bausteine BMBF: Forschungsprogramm für Sicheres Cloud Computing BMWi: Aktionsprogramm Cloud Computing Technologieprogramm Trusted Cloud 2012 BearingPoint 6

7 Trusted Cloud made in Deutschland I Das Technologieprogramm Ziele ist aus dem Aktionsprogramm Cloud Computing hervorgegangen und fördert innovative, sichere und rechtskonforme Forschungsprojekte zum Thema Cloud Computing. Fakten: Laufzeit von Projekte von 44 Unternehmen und 22 wissenschaftlichen Einrichtungen Breitenwirksame Nutzung der Ergebnisse für KMU und Öffentlichkeit Erschließung von Innovationsund Marktpotenzialen Beschleunigung der Entwicklung innovativer Cloud- Anwendungen Erprobung von Beispiellösungen für IaaS-, PaaS- und SaaS-Anwendungen Zielgruppen: Mittelstand, teilweise öffentlicher Sektor 2012 BearingPoint 7

8 Trusted Cloud made in Deutschland II Basistechnologien Industrie Forschungsprojekte Öffentlicher Sektor Gesundheit 2012 BearingPoint 8

9 Technologieprogramm und Kompetenzzentrum Trusted Cloud Projektcluster Entwicklung von Basistechnologien Anwendungen für den Industriesektor Anwendungen für den Gesundheitssektor Anwendungen im öffentlichen Sektor 2012 BearingPoint 9

10 Sicheres Cloud Computing als Chance für den Mittelstand Vorteile des Cloud Computing (IT-Sicherheit): Bessere IT-Sicherheitskompetenz Höhere Ausfallsicherheit Geringere Investitionen in IT-Sicherheit Stets aktuelle Sicherheitsupdates Zentrales Sicherheitsmanagement Security-as-a-Service Nachweisbare Sicherheit 2012 BearingPoint 10

11 Vielen Dank für Ihre Aufmerksamkeit. Caroline Neufert Senior Manager Governance-Risk-Compliance-Security BearingPoint GmbH Kurfürstendamm Berlin T (+49) M (+49) caroline.neufert@bearingpoint.com 2012 BearingPoint 11

12