Browse: Home / , / SecTXL – Cloud Computing und Sicherheit

SecTXL – Cloud Computing und Sicherheit

By Roland on 2011/08/18


Das Thema Cloud Computing wird immer wieder in Verbindung mit den Fragen nach der Sicherheit und Verfügbarkeit diskutiert. Die SecTXL wollte daher am 11.8.2011 in Hamburg das Thema Cloud Computing Sicherheit aus technischer und juristischer Sicht beleuchten. Veranstaltet wurde der Event von den beiden Cloud-Experten René Büst (@renebuest) und Björn Böttcher (@doitdistributed), deren Ruf ca. 60 Interessierte aus verschiedensten Bereichen in die Bucerius Law School folgten. Die Redner-Liste umfasste eine bunte Mischung aus Juristen, Datenschützern, Anbietern und Consultants, die im Laufe der ganztägigen Veranstaltung ihre Ansätze und Ideen zum Thema vorstellten.

Im Gegensatz zu den meisten kommerziellen Kongressen, die überwiegend aus Werbevorträgen der Sponsoren bestehen, wurden die Vortragenden im Vorfeld per Code of Conduct auf die Werbefreiheit ihre Vorträge verpflicht. Eine Bedingung deren Einhaltung der wie immer gut gelaunte und diskussions-freudige Cloud-Experte Mark Masterson (@mastermark) überwachte und auch tatsächlich in einen Fall per virtueller gelber Karte aktiv durchsetzte. Dieses Konzept war der Grundstein für eine rundum gelungene Veranstaltung, deren Agenda die wichtigsten Aspekte des Thema Technische und Juristische Sicherheit des Cloud Computings abdeckte. Vor allem die konstruktiven Diskussionen, die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. Die Vorträge sollen demnächst auch Online gestellt werden. Bitte wendet Euch in der Zwischenzeit bei Interesse an den Slides an die Organisatoren unter  sectxl@symposia360.com .

Zusammengefasst bleibt festzuhalten: Cloud Computing und Datenschutz sind vereinbar, man muss es nur richtig machen!

Folgende Aussagen blieben bei mir durch die Vorträge und Diskussionen hinweg hängen:

Analyse der Anwendungen/Daten/Prozesse

Nicht alle Daten, die man in der Cloud speichern möchte, unterliegen dem Bundesdatenschutzgesetz (BDSG). Dieses greift insbesondere nur dann, wenn man personenbezogene Daten speichern möchte. Die theoretische Möglichkeit des Einholens einer Einwilligung der Betroffenen ist wenig praktikabel, da die ja jederzeit widerrufen werden könnte. In jedem Fall sollte jedoch geprüft werden, ob die zu speichernden Daten anderen Bestimmungen (HGB etc.) unterliegen. Gerade vor dem Hintergrund von Verfügbarkeit und Performance sollte man sich die betreffenden Anwendungen und Prozesse anschauen und überlegen, an welcher Stelle Cloud Computing Vor- oder Nachteile bietet. Vor allen sollte man sich möglichst vorher mit den Themen Risikomanagement und – bei größeren Institutionen – mit dem Thema Governance auseinandersetzen.

Analyse der Verträge

Hauptproblem bei einer geschäftlichen Nutzung von Cloud-Angeboten ist die Tatsache, das die meisten großen Public-Cloud-Anbieter lediglich Standard-Verträge mit für den Kunden meist sehr ungünstigen Konditionen anbieten. Hervorzuheben sind hier vor allem Themen Verfügbarkeit, Sperr- und Kündigungs-Rechte durch die Provider und dabei auch die Frage nach der Datenherausgabe, aber auch die Schadenersatz-Regelungen, von denen die Provider ja gerade auch bei den jüngsten Ausfällen Gebrauch machten (z. B. 30 Tage Gebühren-Gutschrift bei mehrtägigem Ausfall Datenverlust).

Große Kunden sollten die Anbieter nach Individualverträgen fragen, hier besteht je nach Kundengröße wohl seitens Amazon und Microsoft ein gewisser Verhandlungsspielraum.

Anbieterauswahl

Lässt sich der personenbezug nicht ausschliessen, so muss man entweder mit Verschlüsselung arbeiten (was generell immer empfehlenswert ist) oder es ist ein Anbieter zu wählen, mit dem man einen Vertrag zur Auftragsdatenverarbeitung (ADV) abschliessen kann, dieser erfordert jedoch teilweise umfangreiche Pflichten wie z.B. Auditierbarkeit und Kontrollplichten, die bei der Umsetzung eine gewisse Herausforderung darstellen.

Besonders bei Anbietern, die nicht aus der EU bzw. dem EWR stammen, oder die Tochtergesellschaften von US-Firmen sind, gelten einige besondere Punkte zu beachten: Im Fokus stehen dabei das Safe Harbor-Abkommen sowie die Regelungen nach dem USA Patriot Act. Das von vielen Anbietern als Sicherheits-Argument bemühte Safe Harbor-Abkommen, dessen Konformität die Hersteller im Rahmen einer Selbsterklärung bestätigen, ist aber in den meisten Fällen nicht ausreichend.

Das zweite Thema ist nicht Cloud Computing spezifisch, sondern gilt auch für bestehende Outsourcing-Verträge: Der USA Patriot Act war gerade in den letzten Wochen im Fokus einiger Presseberichte: Diese im Rahmen des Antiterror-Kampfes erlassenen US Gesetze, ermöglichen unter anderem den US Strafverfolgungsbehörden Zugriff auf Kundendaten bei US-Providern. Dies gilt allerdings auch für deren europäische oder deutsche Tochter-Gesellschaften und für Daten, die auf europäischen Servern liegen. Obwohl diese Gesetze z. B. gegen geltende Europäische oder auch nationale Gesetze verstößt, machten große Provider wie Google und Microsoft angeblich Gebrauch von diesen Bestimmungen und leiteten Kundendaten in die USA weiter.

Datensicherheit

Hier gibt es – bzw. gab es auch schon vor Cloud Computing – noch viel Raum für Verbesserungen. Gerade beim Thema Authentifizierung existieren mittlerweile modernere Ansätze wie OpenID, die das Konzept eines Identity Service Providers einführen, wodurch die individuellen Profil-Daten nicht mehr auf der jeweiligen Anbieter-Website gespeichert werden müssen und damit sinnvollen Möglichkeiten bieten, um z. B. Biometrische Verfahren einzuführen. Spannend war auch die Darstellung der möglichen aktuellen Bedrohungs-Szenarien, die so sicher nicht jedem bekannt sein dürften. Einige Hersteller nehmen sich dem Thema aber auch schon selbst unter Nutzung von Cloud Computing Verfahren und Vertrauen auch auf Crowdsourcing-Ansätze um der Fülle an neuen Bedrohungen Herr zu werden.

Zertifizierung/Standards

Leider reichen die heutigen Standards für den Sonderfall Cloud Computing nicht aus. Hier sind sowohl Politik, Anbieter und Verbände gefordert sich bei der Schaffung von Standards und Zertifizierungen weiter in stärkerem Maße zu engagieren, um den Kunden eine einfachere Auswahl von zuverlässigen Anbietern zu erleichtern. Hier wurden als sinnvolle Grundlagen die ISO 27001 sowie das BSI Grundschutz-Handbuch genannt, die jedoch derzeit noch nicht auf die Anforderungen des Cloud Computings angepasst sind. Einen guten Ansatz stellt derzeit das Eurocloud Saas-Gütesiegel dar, welches zumindest die heute am meisten verbreiteten SaaS-Angebote abdeckt. An dieser Stelle sind auch die Kunden gefordert, entsprechende Zertifizierungen und die Einhaltung von Standards zu prüfen und einzufordern.

 

Digg This
Reddit This
Stumble Now!
Buzz This
Vote on DZone
Share on Facebook
Bookmark this on Delicious
Kick It on DotNetKicks.com
Shout it
Share on LinkedIn
Bookmark this on Technorati
Post on Twitter
Google Buzz (aka. Google Reader)

Flattr this!

Posted in , | Tagged ,


Warning: Illegal string offset 'echo' in /www/htdocs/w009d5c7/blog/wp-content/themes/social/library/extensions/custom-field-series.php on line 79

2 responses to “SecTXL – Cloud Computing und Sicherheit”

  1. Nachlese: SecTXL ’11 | Hamburg | Symposia 360° Blog
    Nachlese: SecTXL ’11 | Hamburg | Symposia 360° Blog
    2011/09/05 at 17:22 |

    […] die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. – Referenz Getagged mit11.08.11 • SecTXL • SecTXL '11 • SecTXL '11 Hamburg  […]

  2. Warum zur SecTXL ’11 | Frankfurt gehen? Lesen Sie die Stimmen zu unserer SecTXL ’11 in Hamburg! | Symposia 360° Blog
    Warum zur SecTXL ’11 | Frankfurt gehen? Lesen Sie die Stimmen zu unserer SecTXL ’11 in Hamburg! | Symposia 360° Blog
    2011/10/12 at 11:48 |

    […] Unsere SecTXL kommt noch in diesem Jahr nach Frankfurt, warum Sie dort teilnehmen sollten? Wir lassen dazu am besten unsere Referenten und Teilnehmer der SecTXL ’11 in Hamburg sprechen… sven_thomsen: Ha! Hier werden Sales Pitches tatsächlich abgebrochen. Sehr gut. #nosalespitches #sectxl – Referenz Simone Winkler: “Das war wirklich eine hochinteressante Veranstaltung! Vielen Dank an die Redner und die Veranstalter!” – Referenz Andreas Weiss: “Die SecTXL 11 in Hamburg war eine gelungene Veranstaltung!” – Referenz: (Über Xing) Ulf Feger: “Thanks for the very interesting day @ SecTXL’11, Bucerius Law School, Hamburg” – Referenz: (Über Xing) Roland Judas: Im Gegensatz zu den meisten kommerziellen Kongressen, die überwiegend aus Werbevorträgen der Sponsoren bestehen, wurden die Vortragenden im Vorfeld per Code of Conduct auf die Werbefreiheit ihre Vorträge verpflicht. Eine Bedingung deren Einhaltung der wie immer gut gelaunte und diskussions-freudige Cloud-Experte Mark Masterson (@mastermark) überwachte und auch tatsächlich in einen Fall per virtueller gelber Karte aktiv durchsetzte. Dieses Konzept war der Grundstein für eine rundum gelungene Veranstaltung, deren Agenda die wichtigsten Aspekte des Thema Technische und Juristische Sicherheit des Cloud Computings abdeckte. Vor allem die konstruktiven Diskussionen, die um die meist 15 bis 20 Minuten langen Vorträge entstanden, hatten es in sich. – Referenz […]

Leave a Reply

« »