sven thomsen - clouds - how to audit, how to certify?
DESCRIPTION
Clouds - How to audit, how to certify? CloudCamp Hamburg 2010TRANSCRIPT
![Page 1: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/1.jpg)
Clouds :How to audit, how to certify?
Clouds:Wie prüfen? Wie zertifizieren?
Sven Thomsen
![Page 2: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/2.jpg)
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 2
5-Minuten-Agenda
• Kurz-Vorstellung ULD (entfällt! Infos: http://www.datenschutzzentrum.de/)
• Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen?
• Wie prüft man einen Dienst in einer Cloud?
• Wie zertifiziert man aktuell einen Cloud-Dienst?
• Wie sollte man einen Cloud-Dienst zertifizieren?
![Page 3: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/3.jpg)
www.datenschutzzentrum.de
Warum prüfen?
• Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle
• Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden
• Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen
• „Vertrauen“ gibt es im Bereich Datenschutz und Datensicherheit nicht
• an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon
Clouds: Wie prüfen? Wie zertifizieren? 3
![Page 4: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/4.jpg)
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• orientiert an Schichten Infrastrukturebene:
Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise, vgl. Trusted Site Infrastructure, Uptime Data Center Tiers
Netzwerkebene :Router, Switches, Paketfilter, Proxies etc.-> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme
Basis-Systeme -> Best-Practices und Security-Guides der Hersteller, CommonCriteria-evaluierte Konfigurationen
Clouds: Wie prüfen? Wie zertifizieren? 4
![Page 5: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/5.jpg)
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• Virtualisierungsschicht -> Tja… Hmmm…Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen
Sicherheitsmanagement-> etablierte StandardsISO27001, BSI-Standards 100-1 bis 100-4
Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop!
Clouds: Wie prüfen? Wie zertifizieren? 5
![Page 6: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/6.jpg)
www.datenschutzzentrum.de
Wiederverwendung von Prüfergebnissen?
• Prüfungen sind aufwändig erste Erfahrungen des ULD: Prüfung einer
kleinen, private Cloud (IaaS) ~ 10 PT• Wie kann man die Investition in eine Überprüfung
mehrfach nutzen? als Aufsichtsbehörde? unter Aufsichtsbehörden? als Anbieter eines cloud-basierten Dienstes? als potentieller Kunde?
Clouds: Wie prüfen? Wie zertifizieren? 6
![Page 7: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/7.jpg)
www.datenschutzzentrum.de
Bisheriger Ansatz: Zertifizierungen
• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,… öffentliches Kurzgutachten, detaillierte
Beschreibung des Target Of Evaluation (ToE) regelmäßige Rezertifizierung, regelmäßige
Prüfung während der Laufzeit des Audits Qualitätsmanagement über vergebene
Zertifikate, interne Fortbildung der Prüfer• Aber immer noch: „aufwändige Prüfung der
Prüfung“ Kenntnis des Prüfstandards Prüfung des ToE
Clouds: Wie prüfen? Wie zertifizieren? 7
![Page 8: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/8.jpg)
www.datenschutzzentrum.de
Idee: „Elektronische Prüfsiegel“
• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)• Maschinenlesbare Prüfberichte (Was wurde geprüft?)• Maschinenlesbare Bewertungen (Mit welchem
Ergebnis?)• Maschinenlesbare Nachweise (Womit nachgewiesen?)• Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)Ziele:• Durchgeführte Prüfungen und Zertifizierungen
elektronisch verwertbar machen• Nachweise automatisiert führen• Sicherheitsniveau cloud-basierter Dienste
nachvollziehbar gestaltenClouds: Wie prüfen? Wie zertifizieren? 8
![Page 9: Sven Thomsen - Clouds - How to audit, how to certify?](https://reader036.vdocument.in/reader036/viewer/2022082420/55592ceed8b42a543d8b4771/html5/thumbnails/9.jpg)
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für DatenschutzSven ThomsenHolstenstraße 9824103 Kiel