Cloud Computing.

Standortbestimmung, Sicherheit,

Prüfverfahren.

Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Entwicklung. Gegebenheiten unserer Zeit für die Cybersecurity.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland2

1998

2007

2000

Bevölkerung 7,3 Mrd.

15 Mrd. Endgeräte

3 Mrd. Internetnutzer

Bevölkerung 7,8 Mrd.

41 Mrd. Endgeräte

4 Mrd. Internetnutzer

2020

Google

iPhone

2016

Datenvolumen: 8,6 Tsd. Exabyte

Cloud Umsatz: 183 Mrd. USD

Datenvolumen: 40 Tsd. Exabyte

Cloud Umsatz: 500 Mrd. USD

Bevölkerung 6,3 Mrd.

390 Mio. Internetnutzer

Mail Verschlüsselung, FW

1.000 Malware Exemplare

Mobility & BYOD – „Was ist das?“

Cloud Computing. Marktsituation in Deutschland.

03.02.20163 2. Tag der IT-Sicherheit - IHK Saarland

30%

Marktwachstum von 2015 auf

2016

65%

Interviewte Personen:

Nachgewiesene Compliance ist

ein MUSS.

90%

Interviewte Personen:

Die Nachweisfähigkeit muss

verbessert werden.

Was ändert sich durch die aktuelle Jurisdiktion zu Safe Harbor?

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland4

DIE UNWIRKSAMKEIT VON

VERTRÄGEN AUF GRUNDLAGE

VON SAFE HARBOR HAT „NUR“

RECHTLICHE IMPLIKATIONEN

Sicherheit in der Cloud. Auswahl wesentlicher Elemente.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland6

1 Auswahlprozess

2 Sichere Architektur

3 Vertrauen und Kontrolle

Cloud entlässt den Cloud Nutzer nicht aus der Verantwortung für die Sicherheit. Ein Beispiel.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland7

Data Center Infrastructure

Compute

Compute

Storage

Storage

Network

Network

Database

Database

Virtuelle

Infrastruktur

Physische

Infrastruktur

Public Cloud

Provider

verantwortlich

für Sicherheit

und Betrieb

Virtua-

lisierungOS

Virtuelle

Netzwerke

Virtuelle

Firewalls

Betrieb und

Konfiguration

Cloud Nutzer

verantwortlich

für Sicherheit

und Betrieb der

eigenen

Infrastruktur in

der Public Cloud

Applikationen

Daten

Sichere Architektur, Verschlüsselung, Zugriffssicherheit, Härtung, Überwachung

Der Einsatz von Cloud Services. Sicherheitsmanagement als Steuerungs- und Kontrollfunktion.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland8

Infrastruktur

Sicherheit und Verfügbar-

keit der Cloud Service

Infrastruktur.

1

Datensicherheit

Architektur des Cloud

Services. Sicherheit des

Netzwerks, der Systeme

und Virtualisierung.

2

Organisation

Rollen, Verantwortlich-

keiten und Kompetenzen

für Betrieb und Entwick-

lung des Cloud Services.

3

Compliance

Effektives Management

von vertraglichen und

gesetzlichen Ver-

pflichtungen.

4

Prozesse

Service Prozesse für das

kontinuierliche Manage-

ment der Erbringung des

Cloud Services.

5

Betrieb

Definition und Belastbar-

keit der Betriebsprozesse

für den Cloud Service.

6

Untersuchung der Architektur-

anforderungen an Cloud Services

und Konzeption der Architektur

Auswahl der richtigen Cloud

Services unter gleichzeitiger

Berücksichtigung von funktionalen

Anforderungen, Performance und

Kapazität sowie Sicherheit und

Compliance

Plan

Einsatz von passenden Sicherheits-

lösungen im Umfeld von Monitoring,

Access Management und Ver-

schlüsselung zur Absicherung des

Cloud Einsatzes

Implementierung der Sicherheits-

lösungen in Verbindung mit belast-

baren Sicherheitskonzepten

Build

Steuerung der Serviceerbringung

über den Interlock mit dem Provider

– integriertes Risk- und Compliance-

Management, KPIs, Service

Reports, Meldewesen,

Kontrolle der Serviceerbringung auf

die Einhaltung von Sicherheits- und

Complianceanforderungen

Manage

Betrieb von Sicherheitslösungen im

produktiven Betrieb von Cloud Ser-

vices an der Schnittstelle zwischen

Cloud Service, onpremise IT und

Cloud User

Run

Belastbare Auswahl von Cloud Services. Auswahlprozess entscheidet über den Erfolg.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland9

Identifizierung von

generellen Anforderungen

sowie für spez. IT-Services

hins. IT-Sicherheit und

Compliance

Ableitung eines

Anforderungsprofils

Zusammenfassung der

Anforderungen in

Bewertungsprofile

Klassifizierung und

Gewichtung von Kriterien,

einschl. k.o.-Kriterien

Analyse des Cloud

Services gegenüber dem

Bewertungsprofil

Bewertung der Sicherheits-

funktionen und –merkmale

des Cloud Services hins.

Customizing Fähigkeit

Ableitung von

Empfehlungen für den

Einsatz des untersuchten

Cloud Services

Chancen und Risiken des

Cloud Einsatzes

Anforderungserhebung Bewertungskriterien Analyse Cloud Service Empfehlung

Sicherheit in der Cloud impliziert operative Sicherheitsverantwortung des Cloud Nutzers.

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland10

Cloud

Owner

Shared Storage

Shared Virtualization

Cloud

resources

@supplier

Application stack Database stack

Management

process monitoring

Management

process encryption

Reliable security and compliance management

Incident

response

Security Information and Event Management

Trust and Secure Authentication – monitoring access

Cloud Anforderungskatalog. Prüfung von Qualität aus Sicht des Serviceversprechens.

03.02.201611

Interviews DokumentenprüfungTechnische Analyse

(Penetration Tests)Bewertung

Infrastruktur

Sicherheit und

Verfügbarkeit der

Cloud Service

Infrastruktur

1

Datensicherheit

Architektur des

Cloud Services.

Sicherheit des

Netzwerks, der

Systeme und

Virtualisierung.

2

Organisation

Rollen, Verant-

wortlichkeiten und

Kompetenzen für

Betrieb und

Entwicklung des

Cloud Services

3

Compliance

Effektives

Management von

vertraglichen und

gesetzlichen

Verpflichtungen

4

Prozesse

Service Prozesse

für das kontinuier-

liche Management

der Erbringung

des Cloud

Services

5

Betrieb

Definition und

Belastbarkeit der

Betriebsprozesse

für den Cloud

Service

6

2. Tag der IT-Sicherheit - IHK Saarland

Benchmark der Sicherheit bei komplexen Anforderungen. Unterschiede in der Belastbarkeit

03.02.201612 2. Tag der IT-Sicherheit - IHK Saarland

Datensicherheit

Compliance

Prozesse

Zugriffssicherheit

Systemsicherheit …

Datenschutz

Exportkontrolle

IKS

…

Betrieb

Monitoring

ServiceNetzwerksicherheit

Designprüfung Implementierungsprüfung Effektivitätsprüfung.

Schwache Aussage

Aussage zu Fähigkeiten

Detaillierte Aussage

Interviews

Cloud Anforderungskatalog. Elemente einer belastbaren Prüfung.

13

Konfigurationsreviews

Bewertung der Effektivität von Maßnahmen

Qualität und Belastbarkeit von Prozessen

Dokumentenprüfung

Architekturreview

Policy- und Prozessreview

Technische Analyse

Penetration test gegen Cloud Schnittstellen

Widerstandsfähigkeiten gegenüber Attacken

03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland

TÜV Rheinland.

03.02.201614

STARKE REPUTATION ALS

FÜHRENDER UNABHÄNGIGER

ANBIETER DER INFORMATIONS-

SICHERHEIT

HOHER ERFAHRUNGS-

SCHATZ UND VIELZAHL AN

KOMPETENZEN FÜR CLOUD SERVICE

PRÜFUNGEN

HOHE VERTRAUENS-

STELLUNG IN VERBINDUNG MIT

BREITER ANERKENNUNG IM

EUROPÄISCHEN CLOUD MARKT

2. Tag der IT-Sicherheit - IHK Saarland

Fragen?

03.02.201615

Hendrik A. Reese

Principal Consultant

TÜV Rheinland i-sec GmbH

Am Grauen Stein

Telefon: +49 221 56783 278

Mobil: +49 174 1880252

E-Mail: hendrik.reese@i-sec.tuv.com

2. Tag der IT-Sicherheit - IHK Saarland

Auf allen Kontinenten zuhause.

Kennzahlen 2014

Umsatz in Mio. € 1.731

Auslandsanteil (in %) 49,0

EBIT (in %) 6,4

Mitarbeiter (-innen) 19.320

Auslandsanteil (in %) 60,0

Standorte:

Über

500 in 69Ländern

03.02.2016 TÜV Rheinland i-sec GmbH16

Umsatz nach Geschäftsbereichen.

29%

22%24%

11%

7%

7% Industrie

Service

Produkte

Mobilität

ICT & Business

Solutions

Systeme

Academy

& Life Care

03.02.2016 TÜV Rheinland i-sec GmbH17

Die Welt von ICT & Business Solutions.

Umsatz 2014:

Circa

123 Mio. €

Geschäftsfelder

IT Services & Cyber

Security

Telco Solutions, Business

& Engineering Services

Management Consulting

R&D Management

Weltweite Standorte

03.02.2016 TÜV Rheinland i-sec GmbH18

TÜV Rheinland i-sec. Informations- und IT-Sicherheit.

03.02.2016 TÜV Rheinland i-sec GmbH19

Führender unabhängiger Dienstleister

für Informationssicherheit in Deutschland

Beratungs- und Lösungskompetenz in

ganzheitlicher Informationssicherheit –

von der Steuerungsebene bis ins

Rechenzentrum inkl. betriebsunter-

stützender Leistungen

Exzellente Technologie-Expertise,

umfassendes Branchen-Know-how,

Partnerschaften mit Marktführern

International zählen wir im Verbund

mit OpenSky zu den wichtigsten

unabhängigen Anbietern

Zertifiziert nach ISO 27001

TÜV Rheinland i-sec GmbH. Fakten und Zahlen.

03.02.2016 TÜV Rheinland i-sec GmbH20

Finanzen

Automobil

Telekommunikation

Int. Mischkonzerne

Transport/Logistik

Energiewirtschaft

Militär

Öffentlicher Dienst

Chemie/Pharma

IT-Dienstleister

Handel

Touristik

15 x Sales

20 x Security Engineering

60 x Management Beratung

45 x Professional Service und Betrieb

Standorte

Deutschland

Köln (HQ)

München

Gelnhausen

Saarbrücken

Fachliches

Kompetenz-

team

Branchen und

Sitz unserer Kunden

Deutschland

Österreich

Schweiz

Frankreich

Projekteinsatz an 25.000 Tagen in 2014!

Lösungskompetenz. Informations- und IT-Sicherheit.

03.02.2016 TÜV Rheinland i-sec GmbH21

Zielsetzung

und Strategie

Steuerung

und Planung

Konzeption

und Implementierung

Betrieb Prüfung1 2 3 4 5

Businessanforderung

Strategie

Steuerungsprozesse

Management

der Informationssicherheit

Datenschutz und

Datensicherheit

IT Risikomanagement nach

ISO 31000 und 27005

ISMS, BCM und GRC

Toolauswahl/-einführung

Sichere Architekturen und

Prozesse für Netzwerke,

Rechenzentren, Mobil

Anwendungssicherheit

Sicherheit

im Betrieb

Betrieb und Support von IT

Security Lösungen

Security Incident Response

Team (SIRT)

Sicherheitsaudits

Zertifizierung von

Prozessen und Diensten

Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung!