Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud...

14
Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 1 Workloads kennen und verstehen Ermittlung des Schutzbedarfs von Cloud-Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit

Transcript of Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud...

Page 1: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 1

Workloads kennen und verstehen Ermittlung des Schutzbedarfs von Cloud-Services

Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit

Page 2: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 2

Unterscheidung Cloud-Modelle

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Definition von Cloud-Services

Private Cloud

Public Cloud

Community Cloud Hybrid

Cloud

Page 3: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 3

Unterscheidung der Dienste

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Definition von Cloud-Services

Applikation

Daten

Middleware

Laufzeit

OS

Virtualisierung

Server

Storage

Netzwerk

On-Premise

Applikation

Daten

Middleware

Laufzeit

OS

Virtualisierung

Server

Storage

Netzwerk

Infrastructure as a Service

Applikation

Daten

Middleware

Laufzeit

OS

Virtualisierung

Server

Storage

Netzwerk

Platform as a Service

Applikation

Daten

Middleware

Laufzeit

OS

Virtualisierung

Server

Storage

Netzwerk

Software as a Service

Eigene Verantwortung

Fremde Verantwortung

Page 4: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 4

Gründe für und gegen den Einsatz von Cloud-Services

• Daraus resultiert: individuelle Betrachtung aller Risiken und Chancen notwendig (→ Risikoanalyse)

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Pro • Skalierbarkeit /

Flexibilität • Betriebssicherheit • Zugriff von überall und

jederzeit • Kalkulierbare Kosten • Nachhaltigkeit • Verfügbarkeit • Aktualität

Cont

ra

• Abhängigkeit von einem Anbieter

• Die „Insel“ – Schnittstellen zu Lösungen, die nicht in derselben Cloud liegen

• Datensicherheit • Datenschutz • Fehlende Individualität • Fehlende Internet-

Bandbreite

Page 5: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 5

Schutzmodell nach ISO 27001/27017/BSI IT-Grundschutz

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Confidentiality

Integrity Availability

Page 6: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 6

Schutzmodell nach ISO 27001/27017/BSI IT-Grundschutz

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Vertraulichkeit

Integrität Verfügbarkeit

Authentizität Vertrauen

Akzeptanz Individualität

Rückkehr

Schutzmodell (erweitert)

Page 7: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 7

Individuelles Schutzmodell

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Daten •Datensicherheit •Datenschutz •Datenmissbrauch •Backup •Datenwiederherstellung

System •Verfügbarkeit • Stabilität •Performance •Reaktionszeiten/SLAs • Skalierbarkeit

Umfeld •Ausstiegsszenario •Daten Ownership •Abhängigkeiten vom Anbieter •Vertrauen zum Anbieter •Widerstände im Unternehmen

Individualisierung •Personalisierung • Interfaces/Schnittstellen •Trennung in

Mehrmandantensystemen

Page 8: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 8

Bewertung im individuellen Schutzmodell – Szenario Testumgebung (mit verfremdeten Daten)

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Daten •Datensicherheit •Datenschutz •Datenmissbrauch •Backup •Datenwiederherstellung

System •Verfügbarkeit • Stabilität •Performance •Reaktionszeiten/SLAs • Skalierbarkeit

Umfeld •Ausstiegsszenario •Daten Ownership •Abhängigkeiten vom Anbieter •Vertrauen zum Anbieter •Widerstände im Unternehmen

Individualisierung •Personalisierung • Interfaces/Schnittstellen •Trennung in

Mehrmandantensystemen

Page 9: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 9

Bewertung im individuellen Schutzmodell – Szenario Warenwirtschaft

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Daten •Datensicherheit •Datenschutz •Datenmissbrauch •Backup •Datenwiederherstellung

System •Verfügbarkeit • Stabilität •Performance •Reaktionszeiten/SLAs • Skalierbarkeit

Umfeld •Ausstiegsszenario •Daten Ownership •Abhängigkeiten vom Anbieter •Vertrauen zum Anbieter •Widerstände im Unternehmen

Individualisierung •Personalisierung • Interfaces/Schnittstellen •Trennung in

Mehrmandantensystemen

Page 10: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 10

Individuelles Schutzmodell – Risikoanalyse

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Risikobeschreibung: Risikoklasse

Datensicherheit bei der Nutzung eines Cloud-Dienstes für die Warenwirtschaft <> Risiko Mögliche Schadensszenarien/ Risiken

Risikomindernde Maßnahmen Maßnahme Wirkung Termin

Risikoeinschätzung durch Externe inkl. Quellenangabe

Eigene Risikoeinschätzung Wirtschaftliche Auswirkungen Einfluss auf die Einhaltung von gesetzlichen Vorschriften

Page 11: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 11

Individuelles Schutzmodell – Risikoanalyse

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Eintrittswahrscheinlichkeit 1 sehr selten (z.B. seltener als 1 x in 10 Jahren)

2 selten (z.B. alle 5 - 10 Jahre)

3 erhöht (z.B. alle 2 – 5 Jahre) 4 häufig (z.B. spätestens alle 2 Jahre) Schadenshöhe

1 gering niedrig / gering, noch unmittelbar kompensierbar (0 - a €)

2 mittel

moderat / mittel, innerhalb eines Jahres kompensierbar (a - b €)

3 hoch

hoch, innerhalb mehrerer Jahre kompensierbar, Gewinnausweis nicht mehr möglich und Rückgriff auf Reserven nötig (b - c €)

4 sehr hoch gravierend / sehr hoch, irreparabler Schaden >c € Risikokennziffer

<Punkte> Multiplikation aus Eintrittswahrscheinlichkeit und Schadenshöhe

Page 12: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 12

Individuelles Schutzmodell – Risikoanalyse

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Risikoklasse gemäß Risikomatrix

<Klasse>

Reduktion - X %

Durch die beschriebenen Maßnahmen reduziert sich das Risiko um die angegebene Prozentzahl

Empfehlung Risikobehandlung: vermeiden, versichern, vermindern, tragen

Überprüfung der Risikoanalyse alle 1 Jahre

Page 13: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 13

Individuelles Schutzmodell – Gesamtrisikokarte

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services

Page 14: Workloads kennen und verstehen - IT-Sicherheitstag · Ermittlung des Schutzbedarfs von Cloud -Services Jörg Zimmer IT Südwestfalen AG, Leiter IT-Sicherheit . Jörg Zimmer IT Südwestfalen

Jörg Zimmer IT Südwestfalen AG, Kalver Str. 23, 58515 Lüdenscheid 14

Vielen Dank für Ihre Aufmerksamkeit!

Workloads kennen und verstehen – Schutzbedarf von Cloud-Services Cloud-Services