Vertragsgestaltung und Datenschutz beim Cloud Computing Flashcards

1
Q

Was ist Cloud Computing?

A
  • Entkoppelung vom Speicherplatz
  • Anforderungen an Informationsschutz (Integrität, Vertraulichkeit, Verfügbarkeit) steigen an
  • Cloud Anbieter muss evaluiert und überwacht
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

wichtige vom Cloud Anbieter zu implementierende Maßnahmen

A
  • festgelegte Regelwerke und Vorgensweisen zum Schutz sensibler Daten
  • Einhaltung Standards, Zertifizierung
  • Kenntnis Vorgehensweise des Cloud-Anbieters beim Einrichtungen virtueller Maschinen
  • Separierung sensibler Unternehmensdaten und Anwendung Verschlüsselung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Schutzmaßnahmen im Unternehmen

A
  • starke Authentifizierung
  • beim Endgerät “End Point Security” (Virenscanner, Firewall, sichere Grundkonfiguration
  • Mobile Device Management
  • aktuelle Patches und Updates für Client-Betriebssystem + Brwoser
  • regelmäßige AUdits und Risikomanagement bzgl. Zugänge zur Cloud
    Security Polisy muss auf Cloud Computing abgestimmt mit gestgelegten Vereinbarungen mit Anbieter bzgl. Ausgestaltung und Überprüfung Sicherheitsmaßnahmen (insb. adäquater Zugriffsschutz) + Konsequenzen bei Nichteinhaltung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

unterschiedliche Cloud-Modelle

A

private Clouds
- IT-Infrastruktur mit virtuellem Server, Speicher, Netzwerke, Applikationen
- nur exklusiv für Unternehmen
- Zugriff über Intranet
- über SLAs mit Anbieter Regelwerk für Zugriffskontrolle, Compliance, Sicherheit

Community Clouds
- ähnlich wie oben
- wird von Anbieter wenigen Kunden mit Geschäftsbeziehungen zueinander exklusiv zur Verfügung gestellt

Public Clouds
- von externem Anbieter vorgegeben und überwacht
AGBs

Hybrid Clouds
- Mischform

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Sicherheitsanalyse beim Cloud Computing

A
  • achten auf Garantien von Übertragungsbandbreiten, Verfügbarkeit, Zuverlässigkeit, Verzögerungszeiten
  • Sicherheitsanalyse sollte vor Vertragsabschluss, damit nicht Kontrolle und Know How über eigenes System verloren geht

Inhalt Sicherheitsanalyse
- Indetifikation der Sicherheitsobjekte: welche Objekte müssen geschützt? (z.B. Kunden- oder Patientendaten, Logs für Zugriffsdaten, Authentifizierungsdaten); welche Eigenschaften müssen überwacht?
- Bedrohungsanalyse: welche Szenarien nach Wahrscheinlichkeit und Auswirkung relevant
- Identifikation von praxistauglichen Schutzmaßnahmen + wie Wirksamkeit überprüfen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Katalog von Sicherheitsmaßnahmen, die vertraglich vereinbart werden sollten

A
  • Dokumentation der Zugangskontrolle zu den Rechenzentren des Cloud-Anbieters, (Videoüberwachung, Brandmelder, Sensoren für Umgebungssicherheit, Sicherheitspersonal etc.)
  • Funktionsbeschreibung der Fernadministrationsmöglichkeiten für Katastrophenfälle
  • Maßnahmen zur Netzwerksicherheit, die beim Cloud-Anbieter installiert sind
  • SPAM-Filter bei dem Bezug von E-Mail-Diensten
  • Vorkehrungen gegen Distributed Denial of Service (DDoS)-Attacken
  • Betrieb von aktuellen Intrusion Prevention und Detection-Systemen
  • Betrieb von aktuellen Malware-Scannern, Server-Sicherheit mit Logfile-Analyse beim Cloud-Anbieter
  • Dokumentierte Härtung von Betriebssystemen
  • Betrieb von serverbasierten Firewalls und Intrusion Prevention / Detection,
  • Nachweis qualitätsgesicherter Images für virtuelle Betriebssysteme (Entwicklung - Test/Qualitätssicherung Produktion)
  • nachvollziehbares Patch- und Konfigurationsmanagement
  • Qualitätsgesicherte Updates
  • Überprüfung und Überwachung der IT-Sicherheit des Cloud-Anbieters durch interne Audits und Überprüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen
  • Überprüfung der Einhaltung von Sicherheitsstandards (z.B. ISO 27001)
  • Regelmäßige Auswertung von LOG-Dateien
  • Realisierung eines Vier-Augen-Prinzips bei sicherheitsrelevanten administrativen Aufgaben (z.B. Einrichtung von privilegierten Accounts (“Administratoren-Konten”), Anpassung der Regelbasis von
    hostbasierten Firewalls); zwei “Augen” sollten zum Kunden gehören
  • Regelmäßige Sicherheits-Reports (Abwehr Viren bzw. Trojaner, Update der Virenscanner, Firewall Reports etc.)
  • regelmäßige Vulnerability Tests (= Tests auf Schwachstellen)
  • Programmierrichtlinien für Kunden und Überwachung ihrer Einhaltung
    vertragliche Vereinbarung und Überwachung der Hardware-Separierung von Kundendaten
  • Separierung der Netzwerke durch Multiprotocol Label Switching (MPLS), VPNs, VLANs und interne Firewalls
  • Verwendung von starker Kryptographie (Implementierung, Schlüsselmanagement etc.),
  • Separierung auf der Anwendungsschicht (z.B. Einrichtung von Mandanten),
  • Evaluierung der beim Cloud-Anbieter implementierten Maßnahmen zur Gewährleistung der vertraglich vereinbarten Verfügbarkeit
  • engmaschige Überwachung der vereinbarten Verfügbarkeit auf Kundenseite, dokumentierte Notfallplanung bzw. Desaster Management für Ausfälle der Cloud auf Anbieter- und Kundenseite
  • Public Clouds nicht für “mission critical”-Applikationen (= Anwendungen, die höchstens für eine sehr kurze vordefinierte Zeitspanne ausfallen dürfen; dazu zählen beispielsweise Steuerungen für Produktionsstraßen) verwenden,
  • Überprüfbarkeit der geforderten Zertifizierungen (z.B. Sarbanes-Oxley) des Cloud-Anbieters,
  • Überprüfbare geografische Einschränkungen - EU-Datenschutz, wenn der Ort der Datenspeicherung und der Verarbeitung nicht in einem unsicheren Drittland sein darf
  • strikte Erfüllung von Compliance für gesetzliche und regulatorische Vorgaben (beispielsweise BDSG bei einer Personaldatenverarbeitung in der Cloud, Sarbanes-Oxley Act bei Prozessen zur Bilanzerstellung in der Cloud) durch den Cloud-Anbieter (Nachweis!)
  • Datenarchivierung nach Gesetzen und Vorgaben,
  • Möglichkeit der Verschlüsselung von Daten mit vollständiger Kontrolle über das Schlüsselmanagement,
  • Nachweis des Information Life Cycle (Generierung, Verarbeitung, Ausgabe, Vernichtung),
  • sicheres Löschen der Daten,
  • dokumentierte sichere Entsorgung von Datenträgern,
  • Rechte- und Zugriffsänderungen auf die Cloud-Dienste innerhalb der vertraglich vereinbarten Frist durch
  • den Cloud-Anbieter, z.B. bei Organisationsänderungen beim Kunden (Versetzung, Entlassung, Ruhestand etc.),
  • Bericht über Sicherheitsverstöße, die von Mitarbeitern des Kunden innerhalb der Cloud verursacht werden, an die benannten Verantwortlichen auf Kundenseite
  • Sind alle Anwendungen der Cloud vollständig einem angepassten Risk-Management-Prozess unterzogen worden?
  • Wo genau werden die übertragenen Daten gespeichert?
  • Wo genau werden die Daten verarbeitet?
  • Welche rechtlichen Bestimmungen (z.B. für den Datenschutz) bestehen dort?
  • Wie sieht Qualität und Verfügbarkeit der Serviceerbringung aus; existieren vertragliche Service Level
  • Agreements (SLA)?
  • Wie sieht das Sicherheitsmanagement des Cloud-Anbieters aus? Wie, von wem und wann wird es überprüft?
  • Welche Zertifizierungen kann der Anbieter vorweisen?
  • Wer genau ist für welche Dienste der Servicepartner? Welche Dienste werden von welchen Subkontraktoren erbracht?
  • Welche Authentifizierungsformen werden beim Zugriff auf welche Dienste verwendet?
  • Wie wird die Verfügbarkeit zu welchem Niveau garantiert? Wie sieht das Notfall-Management und die Business Continuity-Planung (= Geschäftsfortführung) für die Services aus?
  • Handelt es sich um einen individuellen Vertrag oder ist es ein Auftrag nach AGB?
  • Wie sehen Service Levels, MTPDs (= Maximum Tolerable Period of Disruption, Tolerierbare Höchstdauer einer Störung) und Haftungsregelungen aus?
  • Ist die personelle Sicherheit nach ISO 27001 (Clearing des Personals) des Cloud-Anbieters gegeben?
  • Welche Sicherheitsvorgaben werden bei der Verarbeitung eingehalten?
  • Kann die Sicherheit noch an die eigenen Vorgaben des Unternehmens angepasst werden?
  • Ist die sichere Datenlöschung bei Providerausfall und Providerwechsel gewährleistet?
  • Wie erfolgt die Kontrolle bzw. Überwachung der Cloud-Services: Selbsterklärungen des Anbieters,
  • Nachweise oder Protokolle, Prüfungen bzw.Inspektionen durch den Auftraggeber, Audit durch einen Dritten? Oder liegt eine ISO oder BSI-Zertifizierung vor?
How well did you know this?
1
Not at all
2
3
4
5
Perfectly