Cloud-System zur technischen DokumentationDr. Eike SchmidtCTO at Brainloop AG

Fashion Supply Chains[http://www.zoesfashionfix.com/interviews-1/2016/7/19/k2bv0p6osqr662l9i5r5ped2pbrdh1]

Komplexe Supply Chains

Digitalisierung> Immer und überall verfügbar• Beliebig viele Kopien

> Immer aktuell und vollständig• Revisionssicherheit

> Compliance durchs System unterstützt• Aufbewahrungsfristen• Löschfristen• Zugangskontrolle• Nachweise

> Platzsparende Archivierung

> Datensicherung

3

[http://aibsinc.com/what-we-do/back-office-services/digitization-services/]

Datensicherheit > Spionage, Sabotage, Diebstahl

> Jährlicher Schaden in D von 55 Milliarden Euro

> Schutzziele (“CIA”):• Vertraulichkeit / Confidentiality• Integrität / Integrity• Verfügbarkeit / Availability

4[https://www.teletracnavman.co.uk/gps-tracking-resources/faqs/telematics-data-security]

Vertraulichkeit> Schutz vor klassischem Datendiebstahl

> Naheliegendstes Schutzanliegen

> In jedem sechsten Unternehmen wurden in den

vergangenen zwei Jahren Daten gestohlen

• Auch bei Papier! Handyfoto ist schnell gemacht…

• Z.B. „Clean Desk Policy“

> Nur in 11% der Fälle R&D Daten

> ABER: erhebliches Schadenspotential

• „Dieselgate“

5

https://landesarchiv.hessen.de/nutzung/reproduktionen

Verfügbarkeit> Anforderung der Richtlinie: 10 Jahre vorhalten

> Potentiell großer Vorteil der Digitalisierung

• Papier geht verloren…

> Angriffe: z.B. jüngst durch Krypto-Trojaner

• FedEx und Maersk berichten über Schaden von bis zu

300 Millionen Euro durch “Net Petya”

> Aber auch klassische Themen des Rechnerbetriebs

• Stichwort: “downtime”

> Daten müssen in unterschiedlichen Ständen redundant

vorgehalten werden

6

[http://www.incontact.com/blog/customer-experience-new-battleground/][http://aibsinc.com/what-we-do/back-office-services/digitization-services/]

Integrität

> Abwesenheit von Verfälschungen

> 28% der Unternehmen sind bereits Opfer von

Integritätsangriffen geworden

> Bsp.: Modifikation von Kontodaten lenkt

Zahlungsströme um

> Besonders tückisch: Angriffe werden häufig

spät entdeckt

• Wiederherstellung und Folgenbekämpfung

erschwert

7 [https://www.storage-insider.de/ransomware-bedroht-die-datensicherung-und-die-datenintegritaet-a-600708/]

Ab in den TresorAbschottung> Ausschluss des unerlaubten Zugriffs

Authentifizierung> Sicherstellen der Identität des Nutzers

Autorisierung> Prüfung der Zugriffsrechte

Protokollierung> Nachvollziehbarkeit

8

[http://www.bz-berlin.de/media/feuerwehr-befreit-musiker-aus-banktresor-2]

AbschottungWie man einen Tresor baut

Sicherheitsarchitektur> Der Tresor ist nur so stark wie das schwächste GliedKryptographische Standardverfahren (und Implementierungen)> Z.B. RSA2048, AES256, SHA256, X.509Secure Development ProcessSpezialisten: Entwickler, Architekten + Training, Training, TrainingBegutachtungenSimulierte Angriffe (“Penetration Tests”) durch wechselnde externe Unternehmen

9http://www.ssdev.axs.de/wissen/tresor_schloss/index.htm

ShieldingUser Shielding> Benutzer sehen sich nicht gegenseitig

Administrator Shielding> Der Admin kann Daten der Nutzer nicht einsehen

Operator Shielding> Der Betreiber kann keine Daten einsehen

10

[http://www.history.com/topics/great-wall-of-china]

AuthenifizierungSicherstellen der Identität

11

Stichwort: 2. Faktor!> Was ich weiß + was ich habe

Für jedes Dokument wählbar:> Login + Passwort> E-Mail> SMS> Zertifikat > Zentraler Identitätsserver (“SAML”)> QR-Code> Zeitbasiertes Einmalpasswort (“TOTP”)

https://www.shutterstock.com/

AutorisierungAbgestufter Zugriff

12

Hierarchisches Rechtekonzept> Pro Verzeichnisebene bzw. Dokument> Benutzergruppen und Einzelnutzer

1. Unsichtbar2. Sichtbar, aber nicht lesbar3. Lesbar, aber nicht druckbar/speicherbar (DRM)4. Lokal speicherbar, aber gekennzeichnet (Watermark, eindeutige ID)5. Lokal speicherbar als PDF6. Lesbar im Original7. Schreibbar

Zugriff

13 Benutzer

Dokumenten-bearbeitungMS Office

Dokumenten-versand

MS Outlook

Fach-anwendungen

Windows Desktop

Zugriff ohneInstallation

Web Browser

Unterwegs/Im MeeetingMobile Apps

DedizierteAnwendung

Web API

Wer wusste wann was?Logging, Forensik, Audit, Trigger

14

Frage: Was weiß VW darüber, was die Ermittlungsbehörden wissen?

Protokollierung ALLER Zugriffe

> Explizit auch: lesende Zugriffe

Audits

> Rechtssichere (und geheime) Zugriffsgewährung zu

Ermittlungszwecken

Benachrichtigungsregeln

> Z.B. „versiegelter Umschlag“

[Salzburger Nachrichten]

Cloud vs. On PremiseCloud> Zugriff immer und überall> Kein komplexer eigener Rechnerbetrieb• Skalierung• Redundanz / Backup

> Experten in Sachen Sicherheit

On Premise> In den eigenen vier Wänden• Die meisten Angriffe kommen “von innen”• Vielfältige Türen müssen geöffnet werden

> Klarheit zum geltenden Recht> Schutz vor (ausländischen) Nachrichtendiensten

15

Fazit> komplexe Wertschöpfungsketten erfordern effizienten

Austausch technischer Dokumentation

> Dieser Vorgang hat höchste Sicherheitsanforderungen

> Moderne Systeme setzen (analog zum Tresor) eine Vielzahl von Sicherungsmaßnahmen um

> Sorgfältige Auswahl des Cloud-Anbieters notwendig

16

[http://www.incontact.com/blog/customer-experience-new-battleground/]

Brainloop AG HauptsitzFranziskanerstr. 14 | 81669 München | GermanyT +49 89 444 699 0 | F +49 89 444 699 99

Brainloop Austria GmbHGonzagasse 19/3 | 1010 Wien | AustriaT+43 1 361 99 79 0 | F +43 1 361 99 79 99

Brainloop Switzerland AGBaarerstr. 125 | 6300 Zug | SwitzerlandT +41 44 720 3737 | F +41 44 720 3735

Brainloop Limited4th Floor | 33 Cannon Street | London | EC4M 5SB | UKP +44 207 183 8285

Brainloop France SAS46 Rue Saint-Antoine | 75004 Paris | FranceT +33 1 76 48 42 96

brainloop.com

17