Vertragsgestaltung und Datenschutz beim Cloud Computing Flashcards
Was ist Cloud Computing?
- Entkoppelung vom Speicherplatz
- Anforderungen an Informationsschutz (Integrität, Vertraulichkeit, Verfügbarkeit) steigen an
- Cloud Anbieter muss evaluiert und überwacht
wichtige vom Cloud Anbieter zu implementierende Maßnahmen
- festgelegte Regelwerke und Vorgensweisen zum Schutz sensibler Daten
- Einhaltung Standards, Zertifizierung
- Kenntnis Vorgehensweise des Cloud-Anbieters beim Einrichtungen virtueller Maschinen
- Separierung sensibler Unternehmensdaten und Anwendung Verschlüsselung
Schutzmaßnahmen im Unternehmen
- starke Authentifizierung
- beim Endgerät “End Point Security” (Virenscanner, Firewall, sichere Grundkonfiguration
- Mobile Device Management
- aktuelle Patches und Updates für Client-Betriebssystem + Brwoser
- regelmäßige AUdits und Risikomanagement bzgl. Zugänge zur Cloud
Security Polisy muss auf Cloud Computing abgestimmt mit gestgelegten Vereinbarungen mit Anbieter bzgl. Ausgestaltung und Überprüfung Sicherheitsmaßnahmen (insb. adäquater Zugriffsschutz) + Konsequenzen bei Nichteinhaltung
unterschiedliche Cloud-Modelle
private Clouds
- IT-Infrastruktur mit virtuellem Server, Speicher, Netzwerke, Applikationen
- nur exklusiv für Unternehmen
- Zugriff über Intranet
- über SLAs mit Anbieter Regelwerk für Zugriffskontrolle, Compliance, Sicherheit
Community Clouds
- ähnlich wie oben
- wird von Anbieter wenigen Kunden mit Geschäftsbeziehungen zueinander exklusiv zur Verfügung gestellt
Public Clouds
- von externem Anbieter vorgegeben und überwacht
AGBs
Hybrid Clouds
- Mischform
Sicherheitsanalyse beim Cloud Computing
- achten auf Garantien von Übertragungsbandbreiten, Verfügbarkeit, Zuverlässigkeit, Verzögerungszeiten
- Sicherheitsanalyse sollte vor Vertragsabschluss, damit nicht Kontrolle und Know How über eigenes System verloren geht
Inhalt Sicherheitsanalyse
- Indetifikation der Sicherheitsobjekte: welche Objekte müssen geschützt? (z.B. Kunden- oder Patientendaten, Logs für Zugriffsdaten, Authentifizierungsdaten); welche Eigenschaften müssen überwacht?
- Bedrohungsanalyse: welche Szenarien nach Wahrscheinlichkeit und Auswirkung relevant
- Identifikation von praxistauglichen Schutzmaßnahmen + wie Wirksamkeit überprüfen
Katalog von Sicherheitsmaßnahmen, die vertraglich vereinbart werden sollten
- Dokumentation der Zugangskontrolle zu den Rechenzentren des Cloud-Anbieters, (Videoüberwachung, Brandmelder, Sensoren für Umgebungssicherheit, Sicherheitspersonal etc.)
- Funktionsbeschreibung der Fernadministrationsmöglichkeiten für Katastrophenfälle
- Maßnahmen zur Netzwerksicherheit, die beim Cloud-Anbieter installiert sind
- SPAM-Filter bei dem Bezug von E-Mail-Diensten
- Vorkehrungen gegen Distributed Denial of Service (DDoS)-Attacken
- Betrieb von aktuellen Intrusion Prevention und Detection-Systemen
- Betrieb von aktuellen Malware-Scannern, Server-Sicherheit mit Logfile-Analyse beim Cloud-Anbieter
- Dokumentierte Härtung von Betriebssystemen
- Betrieb von serverbasierten Firewalls und Intrusion Prevention / Detection,
- Nachweis qualitätsgesicherter Images für virtuelle Betriebssysteme (Entwicklung - Test/Qualitätssicherung Produktion)
- nachvollziehbares Patch- und Konfigurationsmanagement
- Qualitätsgesicherte Updates
- Überprüfung und Überwachung der IT-Sicherheit des Cloud-Anbieters durch interne Audits und Überprüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen
- Überprüfung der Einhaltung von Sicherheitsstandards (z.B. ISO 27001)
- Regelmäßige Auswertung von LOG-Dateien
- Realisierung eines Vier-Augen-Prinzips bei sicherheitsrelevanten administrativen Aufgaben (z.B. Einrichtung von privilegierten Accounts (“Administratoren-Konten”), Anpassung der Regelbasis von
hostbasierten Firewalls); zwei “Augen” sollten zum Kunden gehören - Regelmäßige Sicherheits-Reports (Abwehr Viren bzw. Trojaner, Update der Virenscanner, Firewall Reports etc.)
- regelmäßige Vulnerability Tests (= Tests auf Schwachstellen)
- Programmierrichtlinien für Kunden und Überwachung ihrer Einhaltung
vertragliche Vereinbarung und Überwachung der Hardware-Separierung von Kundendaten - Separierung der Netzwerke durch Multiprotocol Label Switching (MPLS), VPNs, VLANs und interne Firewalls
- Verwendung von starker Kryptographie (Implementierung, Schlüsselmanagement etc.),
- Separierung auf der Anwendungsschicht (z.B. Einrichtung von Mandanten),
- Evaluierung der beim Cloud-Anbieter implementierten Maßnahmen zur Gewährleistung der vertraglich vereinbarten Verfügbarkeit
- engmaschige Überwachung der vereinbarten Verfügbarkeit auf Kundenseite, dokumentierte Notfallplanung bzw. Desaster Management für Ausfälle der Cloud auf Anbieter- und Kundenseite
- Public Clouds nicht für “mission critical”-Applikationen (= Anwendungen, die höchstens für eine sehr kurze vordefinierte Zeitspanne ausfallen dürfen; dazu zählen beispielsweise Steuerungen für Produktionsstraßen) verwenden,
- Überprüfbarkeit der geforderten Zertifizierungen (z.B. Sarbanes-Oxley) des Cloud-Anbieters,
- Überprüfbare geografische Einschränkungen - EU-Datenschutz, wenn der Ort der Datenspeicherung und der Verarbeitung nicht in einem unsicheren Drittland sein darf
- strikte Erfüllung von Compliance für gesetzliche und regulatorische Vorgaben (beispielsweise BDSG bei einer Personaldatenverarbeitung in der Cloud, Sarbanes-Oxley Act bei Prozessen zur Bilanzerstellung in der Cloud) durch den Cloud-Anbieter (Nachweis!)
- Datenarchivierung nach Gesetzen und Vorgaben,
- Möglichkeit der Verschlüsselung von Daten mit vollständiger Kontrolle über das Schlüsselmanagement,
- Nachweis des Information Life Cycle (Generierung, Verarbeitung, Ausgabe, Vernichtung),
- sicheres Löschen der Daten,
- dokumentierte sichere Entsorgung von Datenträgern,
- Rechte- und Zugriffsänderungen auf die Cloud-Dienste innerhalb der vertraglich vereinbarten Frist durch
- den Cloud-Anbieter, z.B. bei Organisationsänderungen beim Kunden (Versetzung, Entlassung, Ruhestand etc.),
- Bericht über Sicherheitsverstöße, die von Mitarbeitern des Kunden innerhalb der Cloud verursacht werden, an die benannten Verantwortlichen auf Kundenseite
- Sind alle Anwendungen der Cloud vollständig einem angepassten Risk-Management-Prozess unterzogen worden?
- Wo genau werden die übertragenen Daten gespeichert?
- Wo genau werden die Daten verarbeitet?
- Welche rechtlichen Bestimmungen (z.B. für den Datenschutz) bestehen dort?
- Wie sieht Qualität und Verfügbarkeit der Serviceerbringung aus; existieren vertragliche Service Level
- Agreements (SLA)?
- Wie sieht das Sicherheitsmanagement des Cloud-Anbieters aus? Wie, von wem und wann wird es überprüft?
- Welche Zertifizierungen kann der Anbieter vorweisen?
- Wer genau ist für welche Dienste der Servicepartner? Welche Dienste werden von welchen Subkontraktoren erbracht?
- Welche Authentifizierungsformen werden beim Zugriff auf welche Dienste verwendet?
- Wie wird die Verfügbarkeit zu welchem Niveau garantiert? Wie sieht das Notfall-Management und die Business Continuity-Planung (= Geschäftsfortführung) für die Services aus?
- Handelt es sich um einen individuellen Vertrag oder ist es ein Auftrag nach AGB?
- Wie sehen Service Levels, MTPDs (= Maximum Tolerable Period of Disruption, Tolerierbare Höchstdauer einer Störung) und Haftungsregelungen aus?
- Ist die personelle Sicherheit nach ISO 27001 (Clearing des Personals) des Cloud-Anbieters gegeben?
- Welche Sicherheitsvorgaben werden bei der Verarbeitung eingehalten?
- Kann die Sicherheit noch an die eigenen Vorgaben des Unternehmens angepasst werden?
- Ist die sichere Datenlöschung bei Providerausfall und Providerwechsel gewährleistet?
- Wie erfolgt die Kontrolle bzw. Überwachung der Cloud-Services: Selbsterklärungen des Anbieters,
- Nachweise oder Protokolle, Prüfungen bzw.Inspektionen durch den Auftraggeber, Audit durch einen Dritten? Oder liegt eine ISO oder BSI-Zertifizierung vor?