Cloud-System zur technischen Dokumentation PDF_neu/Vortrag Maschinenrechtstag... · 4. Lokal...
Transcript of Cloud-System zur technischen Dokumentation PDF_neu/Vortrag Maschinenrechtstag... · 4. Lokal...
Cloud-System zur technischen DokumentationDr. Eike SchmidtCTO at Brainloop AG
Fashion Supply Chains[http://www.zoesfashionfix.com/interviews-1/2016/7/19/k2bv0p6osqr662l9i5r5ped2pbrdh1]
Komplexe Supply Chains
Digitalisierung> Immer und überall verfügbar• Beliebig viele Kopien
> Immer aktuell und vollständig• Revisionssicherheit
> Compliance durchs System unterstützt• Aufbewahrungsfristen• Löschfristen• Zugangskontrolle• Nachweise
> Platzsparende Archivierung
> Datensicherung
3
[http://aibsinc.com/what-we-do/back-office-services/digitization-services/]
Datensicherheit > Spionage, Sabotage, Diebstahl
> Jährlicher Schaden in D von 55 Milliarden Euro
> Schutzziele (“CIA”):• Vertraulichkeit / Confidentiality• Integrität / Integrity• Verfügbarkeit / Availability
4[https://www.teletracnavman.co.uk/gps-tracking-resources/faqs/telematics-data-security]
Vertraulichkeit> Schutz vor klassischem Datendiebstahl
> Naheliegendstes Schutzanliegen
> In jedem sechsten Unternehmen wurden in den
vergangenen zwei Jahren Daten gestohlen
• Auch bei Papier! Handyfoto ist schnell gemacht…
• Z.B. „Clean Desk Policy“
> Nur in 11% der Fälle R&D Daten
> ABER: erhebliches Schadenspotential
• „Dieselgate“
5
https://landesarchiv.hessen.de/nutzung/reproduktionen
Verfügbarkeit> Anforderung der Richtlinie: 10 Jahre vorhalten
> Potentiell großer Vorteil der Digitalisierung
• Papier geht verloren…
> Angriffe: z.B. jüngst durch Krypto-Trojaner
• FedEx und Maersk berichten über Schaden von bis zu
300 Millionen Euro durch “Net Petya”
> Aber auch klassische Themen des Rechnerbetriebs
• Stichwort: “downtime”
> Daten müssen in unterschiedlichen Ständen redundant
vorgehalten werden
6
[http://www.incontact.com/blog/customer-experience-new-battleground/][http://aibsinc.com/what-we-do/back-office-services/digitization-services/]
Integrität
> Abwesenheit von Verfälschungen
> 28% der Unternehmen sind bereits Opfer von
Integritätsangriffen geworden
> Bsp.: Modifikation von Kontodaten lenkt
Zahlungsströme um
> Besonders tückisch: Angriffe werden häufig
spät entdeckt
• Wiederherstellung und Folgenbekämpfung
erschwert
7 [https://www.storage-insider.de/ransomware-bedroht-die-datensicherung-und-die-datenintegritaet-a-600708/]
Ab in den TresorAbschottung> Ausschluss des unerlaubten Zugriffs
Authentifizierung> Sicherstellen der Identität des Nutzers
Autorisierung> Prüfung der Zugriffsrechte
Protokollierung> Nachvollziehbarkeit
8
[http://www.bz-berlin.de/media/feuerwehr-befreit-musiker-aus-banktresor-2]
AbschottungWie man einen Tresor baut
Sicherheitsarchitektur> Der Tresor ist nur so stark wie das schwächste GliedKryptographische Standardverfahren (und Implementierungen)> Z.B. RSA2048, AES256, SHA256, X.509Secure Development ProcessSpezialisten: Entwickler, Architekten + Training, Training, TrainingBegutachtungenSimulierte Angriffe (“Penetration Tests”) durch wechselnde externe Unternehmen
9http://www.ssdev.axs.de/wissen/tresor_schloss/index.htm
ShieldingUser Shielding> Benutzer sehen sich nicht gegenseitig
Administrator Shielding> Der Admin kann Daten der Nutzer nicht einsehen
Operator Shielding> Der Betreiber kann keine Daten einsehen
10
[http://www.history.com/topics/great-wall-of-china]
AuthenifizierungSicherstellen der Identität
11
Stichwort: 2. Faktor!> Was ich weiß + was ich habe
Für jedes Dokument wählbar:> Login + Passwort> E-Mail> SMS> Zertifikat > Zentraler Identitätsserver (“SAML”)> QR-Code> Zeitbasiertes Einmalpasswort (“TOTP”)
https://www.shutterstock.com/
AutorisierungAbgestufter Zugriff
12
Hierarchisches Rechtekonzept> Pro Verzeichnisebene bzw. Dokument> Benutzergruppen und Einzelnutzer
1. Unsichtbar2. Sichtbar, aber nicht lesbar3. Lesbar, aber nicht druckbar/speicherbar (DRM)4. Lokal speicherbar, aber gekennzeichnet (Watermark, eindeutige ID)5. Lokal speicherbar als PDF6. Lesbar im Original7. Schreibbar
Zugriff
13 Benutzer
Dokumenten-bearbeitungMS Office
Dokumenten-versand
MS Outlook
Fach-anwendungen
Windows Desktop
Zugriff ohneInstallation
Web Browser
Unterwegs/Im MeeetingMobile Apps
DedizierteAnwendung
Web API
Wer wusste wann was?Logging, Forensik, Audit, Trigger
14
Frage: Was weiß VW darüber, was die Ermittlungsbehörden wissen?
Protokollierung ALLER Zugriffe
> Explizit auch: lesende Zugriffe
Audits
> Rechtssichere (und geheime) Zugriffsgewährung zu
Ermittlungszwecken
Benachrichtigungsregeln
> Z.B. „versiegelter Umschlag“
[Salzburger Nachrichten]
Cloud vs. On PremiseCloud> Zugriff immer und überall> Kein komplexer eigener Rechnerbetrieb• Skalierung• Redundanz / Backup
> Experten in Sachen Sicherheit
On Premise> In den eigenen vier Wänden• Die meisten Angriffe kommen “von innen”• Vielfältige Türen müssen geöffnet werden
> Klarheit zum geltenden Recht> Schutz vor (ausländischen) Nachrichtendiensten
15
Fazit> komplexe Wertschöpfungsketten erfordern effizienten
Austausch technischer Dokumentation
> Dieser Vorgang hat höchste Sicherheitsanforderungen
> Moderne Systeme setzen (analog zum Tresor) eine Vielzahl von Sicherungsmaßnahmen um
> Sorgfältige Auswahl des Cloud-Anbieters notwendig
16
[http://www.incontact.com/blog/customer-experience-new-battleground/]
Brainloop AG HauptsitzFranziskanerstr. 14 | 81669 München | GermanyT +49 89 444 699 0 | F +49 89 444 699 99
Brainloop Austria GmbHGonzagasse 19/3 | 1010 Wien | AustriaT+43 1 361 99 79 0 | F +43 1 361 99 79 99
Brainloop Switzerland AGBaarerstr. 125 | 6300 Zug | SwitzerlandT +41 44 720 3737 | F +41 44 720 3735
Brainloop Limited4th Floor | 33 Cannon Street | London | EC4M 5SB | UKP +44 207 183 8285
Brainloop France SAS46 Rue Saint-Antoine | 75004 Paris | FranceT +33 1 76 48 42 96
brainloop.com
17