Upload
symposia-360
View
524
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
PUBLIC CLOUD:SICHERHEIT UND DATENSCHUTZ
EIN KURZER ÜBERBLICK
Roberto Valerio, CloudSafe GmbH
11. August 2011SecTXL
Roberto Valerio
Gründer CloudSafe.com
Programmierung : 20 Jahre
IT-Projekte: 10 Jahre
Startup-Erfahrung: 5 Jahre
CloudSafe GmbH
Verschlüsselte Cloud StorageVerschlüsselte Kommunikation
Gründung November 2009
Online Plattform: cloudsafe.com
PUBLIC CLOUD
๏ Public Cloud Services
๏ Einfacher Auftragsdatenverarbeiter nach §§ 9, 11 BDSG?
๏ Funktionsübertragung: Werden die Daten bearbeitet?
๏ I. Datenschutz
๏ Vorgaben, Pflichten, Umsetzung
๏ II. Sicherheit
๏ Technische & organisatorische Kriterien
Übersicht
I. DATENSCHUTZ
๏ Abgrenzung der Daten nach dem BDSG:
๏ Personenbezogene Daten: Einer natürlichen Person zugeordnet, z.B. Kunden- und Personaldaten
๏ Besondere personenbezogen Daten: Ethnische Herkunft, Gesundheit, Politische Ansichten & Religion und weitere (§ 3 Abs. 9 BDSG)
๏ Daten mit Sonderregelungen: Finanzdienstleistungen, Telekommunikation, steuerrechtlich relevante und berufsstandbezogene Daten
๏ Einfacher Personenbezug kann jederzeit durch Anonymisierung aufgehoben werden.
๏ Nutzer von Cloud Services bleiben verantwortlich für den Umgang mit den anvertrauten Daten!
PFLICHTEN
๏ Pflichten für die Auslagerung von personenbezogenen Daten:
๏ "Sorgfältige" Auswahl:
๏ Nutzer muß selber überprüfen, ob der Anbieter in der Lage ist, den Datenschutz nach BDSG zu gewährleisten.
๏ Regelmäßige Überprüfung
๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.
๏ Gleiches gilt für implizite Bestandteile der Verträge (AGB).
๏ Bußgelder bis 50.000 Euro möglich.
Datenschutz
VERTRAGSGESTALTUNG
๏ Schriftform
๏ Gegenstand der Datenverarbeitung
๏ "Welche Daten werden wie verarbeitet?"
๏ Sub-Unternehmerschaft
๏ "Erfüllen eventuelle Subunternehmer des Anbieters die gleichen Kriterien wie der Anbieter?"
๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die Haftung für alle personenbezogenen Daten beim Nutzer.
Datenschutz
EXKURS: AUSLAND
๏ Überlassung von personenbezogenen Daten ohne explizite Erlaubnis der betroffenen Person ist möglich, aber nur innerhalb der EU/EWR.
๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR nur nach ergänzender Vertraglichen Regelung.
๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die Überprüfung, faktisch kaum möglich.
๏ Alternative: Die Daten werden innerhalb des gültigen Raumes verschlüsselt oder anonymisiert
Datenschutz
ZUSAMMENFASSUNG
๏ Auswahl Daten: Welche Daten möchte ich extern verarbeiten?
๏ Auswahl Anbieter : Sorgfältige Erstauswahl, regelmäßige Überprüfung.
๏ Vertragliche Anforderungen klären: Leistungen, Haftung, Subunternehmerschaften.
๏ Pro Anwendungsfall entscheiden, notfalls Daten und Prozesse nicht auslagern.
Datenschutz
II. SICHERHEIT
๏ Erster Schritt ist die Information:
๏ BSI - Bundesamt für Sicherheit in der Informationstechnik
๏ "Mindestanforderungen an Cloud Computing"
๏ EuroCloud e.V.
๏ "Leitfaden Recht, Datenschutz & Compliance"
๏ BITKOM e.V.
๏ "Leitfaden Cloud Computing – Was Entscheider wissen müssen" (Kapitel 4)
TECHNISCHE KRITERIEN
๏ Transport der Daten:
๏ Sind die Transportwege der Daten gegenüber Dritten ausreichend verschlüsselt?
๏ Ablage und Bearbeitung der Daten:
๏ Daten redundant abgelegt? Ausfallsicherheit? Netzsicherheit?
๏ Sicherheit innerhalb der Multi-Tenant Umgebung gewährleistet, z.B. durch Verschlüsselung?
๏ Entstehen Risiken durch die Bearbeitung der Daten?
๏ Identitäts- und Zugriffsverwaltung beim Anbieter
๏ Werden administrativen Vorgänge überwacht und mitgeschrieben?
Sicherheit
ORGANISATORISCHE KRITERIEN
๏ Sicherheitsmanagement des Anbieters
๏ ITIL, ISO 27002
๏ Mitarbeiterkontrolle
๏ Incident Management, Notfallmanagement
๏ Kontinuität des Anbieters
Sicherheit
ZUSAMMENFASSUNG
๏ Überprüfen Sie den Anbieter, bevor Sie personenbezogene Daten übermitteln.
๏ Halten Sie sich bei der Überprüfung des Sicherheitskonzepts an Standards
๏ BITKOM, BSI, eco
๏ Bewerten Sie den Anbieter nach den gleichen Kriterien, die Sie für die Bewertung einer internen Lösung verwenden würden.
Sicherheit
VIELEN DANKfür Ihre Aufmerksamkeit