1. Cloud ComputingRisiken und Massnahmen Marc Ruefwww.scip.ch22. November 2011Datenschutz-Forum Zrich, Schweiz

2. Agenda | Cloud ComputingIntroWer?Was? Einfhrung2 min Risiken Was ist Cloud Computing 2 min TransparenzVermengung Implementierungen 5 min Kontrolle Sicherheitsprobleme10 min Backup/RestoreAbhngigkeit Zusammenfassung 2 min Migration Fragen4 min Jur. KonflikteVerantwortungKnowhowZentralisierungAbschlussZusammenfassungFragenDatenschutz-Forum 20112/21 3. Einfhrung | Wer bin ich Intro Wer? Was?Name Marc Ruef RisikenBerufMitinhaber / CTO, scip AG, Zrich Transparenz VermengungPrivate Webseite http://www.computec.chKontrolleLetztes Buch Die Kunst des Penetration Testing,Backup/Restore Computer & Literatur Bblingen, Abhngigkeit Migration ISBN 3-936546-49-5 Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen bersetzungDatenschutz-Forum 2011 3/21 4. Einfhrung | Aus dem Hype wird ein TrendIntroWer?Was?RisikenTransparenzVermengungKontrolleBackup/RestoreAbhngigkeitMigrationJur. KonflikteVerantwortungKnowhowZentralisierungAbschlussZusammenfassungFragen Datenschutz-Forum 2011 4/21 5. Einfhrung | Definition von Cloud ComputingIntro Wer? Was? Risiken Transparenz Vermengung Kontrolle[Cloud Computing ist] ein modulares System, in demBackup/Restorefr Nutzer die Ressourcen transparent sowieAbhngigkeitdynamisch zugewiesen, verarbeitet und verrechnet Migration Jur. Konfliktewerden. Verantwortung Knowhow Zentralisierung scip AG Abschluss Zusammenfassung FragenDatenschutz-Forum 2011 5/21 6. Einfhrung | VertriebsmodelleIntro Wer? Was? Risiken Transparenz Software as a VermengungServiceKontrolle Backup/Restore Abhngigkeit Platform as a Migration Jur. KonflikteServiceVerantwortung Knowhow Zentralisierung InfrastructureAbschlussas a Service Zusammenfassung FragenDatenschutz-Forum 2011 6/21 7. Einfhrung | Infrastrukturmodelle IntroWer?Was?RisikenHybride Transparenz CloudVermengungKontrolleBackup/Restoreffentliche Private AbhngigkeitMigrationCloudCloudJur. KonflikteVerantwortungKnowhowZentralisierungAbschluss KundeZusammenfassungFragenDatenschutz-Forum 20117/21 8. Risiken | Fehlende TransparenzIntroWer? UnbekannteWas?Risiken ProzesseTransparenz AblufeVermengung Die sehen Vorgaben Kontrolle *nie*, was wir UmsetzungenBackup/Restore machen Weiterschlafen Abnahmen Abhngigkeit! Migration SicherheitJur. Konflikte Verantwortung Beispiel Fragen:Knowhow Werden Versprechen Zentralisierungeingehalten?Abschluss Ist die gewhrte ZusammenfassungSicherheit annehmbar? FragenDatenschutz-Forum 20118/21 9. Risiken | Vermengung von Objekten IntroWer? Branchen Was?Risiken FinanzunternehmenTransparenz BehrdenVermengung Industrie Kontrolle Backup/Restore Kunden AbhngigkeitMigration Bank Swiss AGJur. Konflikte Bank USA Ltd. VerantwortungHaben keine Banque France SAKnowhow Hardware Zentralisierungmehr. Lassmal ein paar Datentypen AbschlussKunden aufZusammenfassung der ffentliche DatenFragen *gleichen* Interne DatenMaschine laufen! Kundendaten Datenschutz-Forum 2011 9/21 10. Risiken | Verlust der KontrolleIntro Wer? Weiterverarbeitung Was? Risiken Unternehmensdaten Transparenz Uups! Ich MitarbeiterdatenVermengung dachte, wi Kontrolle r seien*sicher* Weitergabe Backup/RestoreAbhngigkeit Persnliche Daten Migration Statistische Daten Jur. Konflikte Verantwortung WeiterverkaufKnowhow Kundeninformationen Zentralisierung Geschfts-geheimnisse Abschluss Zusammenfassung FragenDatenschutz-Forum 201110/21 11. Risiken | Backup und Restore Intro Wer? Keine klaren, einheitlichen, Was?offenen Schnittstellen Risiken Transparenz Eigene Prozesse bleiben Vermengung Waserforderlich mssenKontrolle wir alles Komplexe Anbindung Backup/Restore sichern? Keine mglichAbhngigkeitAhnung.Lass Migration einfach Jur. Konflikte mal irgendwas Verantwortungkopieren.Knowhow Zentralisierung Abschluss Zusammenfassung FragenDatenschutz-Forum 201111/21 12. Risiken | Abhngigkeit vom AnbieterIntro Wer? Prsenz Was? RisikenDeine Frau will einen Existenz (Insolvenz) neuen Swimmingpool? Transparenz Lass uns mal die Preise Lokation (Wegzug)Vermengung*modifizieren* Erreichbarkeit Kontrolle PreiseBackup/Restore AufwandAbhngigkeit Migration Ressourcen Jur. Konflikte Spesen Verantwortung ArbeitKnowhow AngebotZentralisierung Umfang Abschluss Zusammenfassung Qualitt Fragen Datenschutz-Forum 2011 12/21 13. Risiken | Schwierigkeit bei MigrationIntro Wer? Eventuell fehlende Was?Untersttzung durch denRisikenPartnerTransparenz Vermengung Inkompatible Mechanismen Kontrolle MangelhafteBackup/RestoreIch kannIhnen einenDeckungsgleichheit AbhngigkeitWegzugunterschiedlicher Angebote Migration *nicht*empfehlen. Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung FragenDatenschutz-Forum 201113/21 14. Risiken | Juristische Konflikte Intro Wer? z.B. Datenschutz muss Was? gewahrt bleiben (DSG) Risiken Transparenz Unterschiedliche nationale Vermengung Gesetzgebungen Kontrolle Data Protection Act 1998 Backup/RestoreUK Abhngigkeit Privacy Act of 1974 USAMigration Lnderbergreifende Jur. Konflikte AbkommenVerantwortung EuropischeKnowhow DatenschutzkonventionZentralisierung forse!AbschlussYes, w Internationalee canZusammenfassung Rechtshilfebegehren Fragen ! langwierig komplex aufwendig Datenschutz-Forum 2011 14/21 15. Risiken | Juristische Eigenverantwortung Intro Wer? Das Unternehmen bleibt Was?trotzdem haftbar fr:Risiken Was heisst Transparenzhier, sie Vorgaben waren Vermengung sicher? RichtlinienKontrolle Prozesse Backup/Restore AblufeAbhngigkeit Angebote Migration Jur. Konflikte Daten Verantwortung InfrastrukturKnowhow Handlungen Zentralisierung MitarbeiterAbschluss Zusammenfassung FragenDatenschutz-Forum 201115/21 16. Risiken | Einbusse bei Knowhow Intro Wer? Interne Mitarbeiter kennen Was? Durch einetechnische HintergrndeRisikentemporreWas heisst Race-Condition hier, sie nicht mehr Transparenzim TCP/IP-Stackwaren Vermengung konnte einsicher? Externer (Cloud-)Partner hat KontrolleInteger-Wissensvorsprung OverflowBackup/Restore erzwungen Verhandlungen undAbhngigkeit werden. DieDiskussionen werden darauf folgende Migration Speicherschutz schwierigerJur. Konflikte verletzung hat den Heap Probleme knnen nicht mehr Verantwortung partiell selber angegangen werden Knowhowberschriebenund zum totalen AbhngigkeitZentralisierung Ausfall der TrgheitAbschluss neuen Zusammenfassung tokenbasiertenAuthentisierungFragen gefhrt. Sorry.Datenschutz-Forum 201116/21 17. Risiken | Zentraler AngriffspunktIntro Wer? Die Cloud an sich istWas?grundlegender Single Point Risikenof Failure (SPOF)Transparenz Vermengung Die Cloud wird zentrale KontrolleAnlaufstelle fr Angriffe Backup/Restore Hey, was VertrauensbeziehungenAbhngigkeitmachen wirdenn heuteinnerhalb der Cloud sind MigrationAbend?gefhrlich Jur. Konflikte VerantwortungDasselbe Knowhowwie jeden Abend: WirZentralisierung versuchen,Abschlussdie Cloudan uns zuZusammenfassung reissen!FragenDatenschutz-Forum 201117/21 18. ZusammenfassungIntro Wer? Was? Cloud Computing ist ein neuer Name fr ein altes Konzept Risiken(Outsourcing, Grid Computing, ASP, ) Transparenz Es handelt sich um einen marketing-getriebenen HypeVermengung(Beginn ca. Q1-2008) Kontrolle Backup/Restore Es gibt verschiedene Anstze und Produkte des Cloud AbhngigkeitComputing (SaaS, PaaS, IaaS, )Migration Eine wohlberlegte Migration kann durchaus VorteileJur. Konflikteerlangen lassenVerantwortung Knowhow Aber eine Vielzahl an sicherheitstechnischen Zentralisierungberlegungen sprechen gegenAbschlussOutsourcing, Virtualisierung und Cloud Computing Zusammenfassung Fragen Datenschutz-Forum 2011 18/21 19. Literatur IntroWer?Was? Die Sicherheit von Cloud Computing,Risikenhttp://www.scip.ch/?labs.20111110Transparenz 10 sicherheitsrelevante Grnde gegen Cloud Computing, Vermengunghttp://www.scip.ch/?labs.20091127 KontrolleBackup/RestoreAbhngigkeitMigrationJur. KonflikteVerantwortungKnowhowZentralisierungAbschlussZusammenfassungFragenDatenschutz-Forum 2011 19/21 20. FragenIntroWer?Was?RisikenTransparenzVermengungKontrolleBackup/RestoreAbhngigkeitMigrationJur. KonflikteVerantwortungKnowhowZentralisierungAbschlussZusammenfassungFragen Datenschutz-Forum 201120/21 21. Security is our Business!Intro Wer? Was?scip AG RisikenBadenerstrasse 551 TransparenzCH-8048 Zrich Vermengung Kontrolle Backup/RestoreTel +41 44 404 13 13 AbhngigkeitFax +41 44 404 13 14 Migration Jur. KonflikteMailinfo@scip.ch VerantwortungWeb http://www.scip.ch KnowhowTwitter http://twitter.com/scipagZentralisierung Abschluss Zusammenfassung Strategy| Consulting Fragen Auditing| Testing Forensics | AnalysisDatenschutz-Forum 201121/21