Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen

Die Seite wird erstellt Arvid Reuter
 
WEITER LESEN
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Cloud Computing ist die Zukunft
        – aber sicher!
    14. ComIn talk - Essen
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Das EuroCloud Netzwerk aktuell
 EuroCloud Europe wurde gegründet am 22.Januar, 2010
  in Paris
 Stand heute ist EuroCloud in 27 europäischen Ländern
  präsent

                                         Romania
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Eurocloud Deutschland_eco e.V.

Kompetenzgruppen:

   Cloud Gütesiegel
   Recht und Compliance
   Interoperabilität & Standards
   Cloud Managed Services

                                                                 3
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

eco und Eurocloud Deutschland_eco
im europäischen Kontext
                                                  EuroCloud
      Euro-IX               EuroISPA

                 eco e.V.            EuroCloud
                               Deutschland_eco
                                           e.V.

                                                        eco
                                               IT Service &
  de-cix GmbH     eco Service GmbH          Beratung GmbH

     Frankfurt                  Köln                  Berlin

                                                                                            4
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Cloud Computing Bezugsarten
                       Software
   Fachlich           als Dienst
                    (Kollaboration,
                 Fachanwendungen,
               Unternehmenssteuerung)

                      Plattform           Management
                      als Dienst            als Dienst
              (Datenbanken, Middleware,   (Archivierung,
                    Basisprozesse)        Überwachung,
                                           Abrechnung)

                    Infrastruktur
                     als Dienst
  Generisch       (Datenspeicher,
                  Rechenleistung)
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Cloud Computing Betriebsarten

 Hybride Cloud

  Public Cloud
                      Community Cloud

  Private Cloud
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Die Entwicklung der Cloud
            Bis 2015 wird der wichtigste Treiber von Cloud-Workload unverändert Software-as-a-Service (in allen
            Formen, einschließlich Business Apps, Social Computing und mobile Lösungen) bleiben.
            Der Einflussfaktor wechselt von “besser, schneller und billiger” zur „Umgestaltung des Unternehmens” .

                                                   Der Aufstieg von Cloud IT und Cloud Business
                     SaaS 1.0                                               SaaS 2.0                                                  Cloud IT Aera
               Welle I: 2001-2006                   Welle II: 2005-2010                 Welle III: 2008-2013                          Welle IV: 2011-2016
                 Kostengünstige                         Integrierte                      Workflow-gestützte                          Messbare, überwachte,
                     Software                       Business-Lösungen                  Business Transformation                   steuerbare Geschäfts-Prozesse
                                                                                                            Cloud IT
                                                                                                             Reife                “Nach-SaaS” Adoption
 Adoption

                                                                                                            Periode               • End-to-End Geschäftsprozesse
                                                                                  Allgegenwertige SaaS Adoption                   • Intelligent Hubs und Linking Plattformen
                                                                                                         • SaaS bewegt sich
                                                                                  • Fokus auf Business Transformation             • Virtualization mobiler Devices
                                              Mainstream SaaS Adoption                                    zum Schwerpunkt.
                                              • Integriert mit dem Business
                                                                                  • ISVs zum SaaS Enablement                      • Elastische Cloud Infrastrukturen
            Frühe SaaS Adoption               • SaaS Integrations-Plattformen     • Server und Applikation• PaaS
                                                                                                            Virtualization
                                                                                                                    noch nicht    • Standards für Workload Portability
            • Stand-alone Anwendungen         • Business Marktplätze und SaaS     • SaaS Development Plattformen      (PaaS)      • SLAs für verbundene Service Angebote
            • Multi-Tenancy
                                                                                                              Mainstream.
                                                 Ecosysteme                       • Public Cloud Infrastrukture (IaaS)            • Support auf Geschäftsprozess-Level
            • Eingeschränkte                  • Kunden-Anpassungsfähigkeit                                   • IaaS an den
                                                                                  • Cloud Collaboration Plattformen
              Konfigurierbarkeit              • Fokus auf Integration             • Customized, Personalized Grenzen.
                                                                                                                Workflow
            • Fokus auf TCO/schnelle
              Implementierung                                                                              • Momentum
                                                                                                          wächst mit den
                                                                                                              großen
                                                                                                          Unternehmen.

            2003         2004          2005       2006        2007         2008      2009        2010        2011        2012        2013        2014        2015         2016
                                                                                                                                                 Source: Saugatuck Technology
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Cloud Computing heute

 http://www.computerwoche.de/management/cloud-computing/2493264/
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Cloud Computing in Deutschland

    IDC-Studie: Cloud Computing in Deutschland nicht mehr zu bremsen
Cloud Computing ist die Zukunft - aber sicher! - ComIn talk - Essen
EuroCloud Deutschland_eco e.V.

Hindernisse bei Cloud Computing
 Statement: Sicherheitsbedenken ist das Hauptargument gegen Cloud Computing

                        14%
                                                                      The biggest issue for me
         7%                                                           when it comes to cloud
                                                Stimme voll zu        computing is obscurity. It not
                                                Stimme zu             exactly about the lack of
                                                                      security measures, but the
                                                Unentschieden         total lack of transparency.
                                                Stimme nicht zu       All we got was SAS70 report
 16%
                                                Stimme gar nicht zu   which did not comply with our
                                                                      security controls. Additional
                                                                      security audits were not
                                                                      permittet by the vendor so
                                     49%                              we decided to depend on
                                                                      our internal IT for the time
                                                                      being. Our internal IT is far
                                                                      from perfect but at least I
        14%                                                           know what out weaknesses
                                                                      are.“
                                                                      CISO of a firm in the
                                                                      industrial markets sector

 Source KPMG the Netherlands, 2010
EuroCloud Deutschland_eco e.V.

Hauptbedenken bei der Nutzung von
Cloud Services
                         Sicherheit

                       Rechtsfragen

                        Compliance

                        Datenschutz

                 Integrationsaufwand

                      Verfügbarkeit

                  Lock In Situation

Ungenügend wirtschaftliche Vorteile
        Unzureichende Performance

       Unzureichende Funktionalität

         Unausgereifte Technologie

                                      0%   10%   20%   30%   40%   50%   60%   70%   80%

  Source KPMG the Netherlands, 2010
EuroCloud Deutschland_eco e.V.
EuroCloud Deutschland_eco e.V.

Hauptrisiken gemäß ENISA Report

                                                                                                              List of Contributors:
                                                                                                              • Symantec
                                                                                                              • IBM
                                                                                                              • Kaspersky
                                                                                                              • RSA
                                                                                                              • Cloudsecurity.org
                                                                                                              • British Telecom
                                                                                                              • National Health Service
                                                                                                                (NHS) UK
                                                                                                              • Google
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport   • Microsoft
EuroCloud Deutschland_eco e.V.

ENISA Report Cloud Security
                                                                                       ENISA benennt :

                                                                                       35 Riskobereichen davon
                                                                                       8 Bereiche mit hohem Risiko

                                                                                       In

                                                                                       • organistorischen
                                                                                       • technischen
                                                                                       • rechtlichen und
                                                                                       • cloud unspezifischen

                                                                                       Bereichen.

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
EuroCloud Deutschland_eco e.V.

ENISA – R.1 Vendor Lock In
R.1 LOCK-IN
Wahrscheinlichkeit Hoch                                                        Vergleich Standard IT: Höher

Auswirkung                   Mittel                                            Vergleich Standard IT: Gleich

Schwachstellen               V13. Unzureichende Standards
                             V46. Unzureichender Anbieterauswahl
                             V47. Geringe Anzahl vergleichbarer Anbieter
                             V31. Unvollständige und intransparente Nutzungsvereinbarungen

Bertroffene                  A1. Firmenreputation
Bereiche                     A5. Personenbezogene Daten mit besonders schutzbedürftigen Attributen
                             A6. Personenbezogene Daten
                             A7. Kritische Daten
                             A9. Serviceerbringung Echtzeit
                             A10. Serviceerbringung generell

Risiko                       Hoch

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
EuroCloud Deutschland_eco e.V.

Rechtssicherheit?

                                            3. Security and Data Privacy.
2.1 To the Service Offerings. We may        3.1 AWS Security. ….we will implement
change, discontinue, or deprecate any       reasonable and appropriate measures
of the Service Offerings (including the     designed to help you secure Your Content
Service Offerings as a whole) or            against accidental or unlawful loss, access or
change or remove features or                disclosure.
functionality of the Service Offerings      3.2 Data Privacy. We participate in the safe
from time to time. We will notify you of    harbor programs described in the Privacy
any material change to or discontinuation   Policy. You may specify the AWS regions in
of the Service Offerings.                   which Your Content will be stored and
                                            accessible by End Users.
EuroCloud Deutschland_eco e.V.

Risikobereiche
                                                                                Isabel Münch – BSI:
                                                                       80 % der Sicherheitsvorfälle kommen
                                                                               aus dem Innenbereich
                                                                     Quelle: WDR5 – Heiter bis wolkig 15.6.2011

                                                                            •Klar definierte Exit Regeln –
                                                                          Die Daten gehören dem Kunden,
                                                                          nicht dem Cloud Service Provider.
                                                                        •Standardisierung und Interoperabilität

                                                                    •Prüfung der gesamten Cloud Lieferkette notwendig.
                                                                      •Wo befinden sich die Daten und wer hat Zugriff?
                                                                         •Nachvollziehbarkeit der technischen und
                                                                        organisatorischen Maßnahmen in Bezug auf
                                                                             Datensicherheit und Datenschutz

Quelle: Jörg Asma, KPMG
http://www.kes.info/archiv/material/cloudsec2011/cloudsec2011.pdf
EuroCloud Deutschland_eco e.V.

Zusammenfassung gesetzliche
Regelungen zur Informationssicherheit
 »   Die bestehenden Regelungen mit Auswirkungen auf die
     Informationssicherheit in Organisationen sind vielfältig:

      –    Gesetzliche Regelungen zur Informationssicherheit
      –    Regulatorischen Vorgaben
      –    Branchenspezifische Vorgaben
      –    Regelungen befinden sich in stetigem Wandel
      –    Regelungen müssen interpretiert und adaptiert
           werden
      –    Die Umsetzung, Einhaltung und Berichterstattung
           muss sichergestellt werden

                                                                 Quelle: IT Compliance Journal, Volume 2, Winter 2006,
                                                                 Seite c2 – abgeändert auf IT Compliance

          Erreichung der „Compliance“ zu den Regelungen ist kein Selbstläufer
EuroCloud Deutschland_eco e.V.

Wir lichten den Nebel…
EuroCloud Deutschland_eco e.V.

…mit dem EuroCloud Star Audit SaaS
» Aussage zur Professionalität des Anbieters und der Zulieferer
» Prüfung der besonderen Vetragselemente hinsichtlich
     » Auftragsdatenverarbeitung
     » Datenschutzbestimmungen
     » Buchhaltungsvorgaben
» Technischer Betrieb
» Lock-In-Situation and Wechselmöglichkeiten
» Training and Support
» Interoperabilität
EuroCloud Deutschland_eco e.V.

Expertise für die Kriterienerstellung
                    ENISA Cloud   Cloud Computing
                    Risk Report      Sicherheit         Security
                                  Eckpunktepapier       Guidance
                                                    Cloud Computing

          IT                                                   ISPRAT Studie
    Prüfstandards                                            Cloud Computing

         Expertengruppe                             Wirtschaftsprüfer
             Recht

                                    SaaS Anbieter
EuroCloud Deutschland_eco e.V.

 EuroCloud Star Audit SaaS
Auditierungsumfang

bis 
Trusted Cloud
High Available

bis 
Trusted Cloud
Advanced

bis 
Trusted Cloud

 Unternehmens-   Recht &      Datenschutz &     Rechenzentrums-   Betriebsprozesse   Anwendungs-
 profil          Compliance   Datensicherheit   Infrastruktur                        Implementierung
EuroCloud Deutschland_eco e.V.

Aussagen zum Gütesiegel - BMWi
                Der zentrale Punkt ist, dass wir
                Rahmenbedingungen zu Themen wie
                Standards, Rechtskonformität und Sicherheit
                schaffen. Nutzer und Anbieter müssen wissen,
                woran sie sich halten müssen. Und vor allem –
                das ist der Kern der gesamten Debatte – muss
                Vertrauen in die Sicherheit der Cloud
                entstehen. Nur wer Vertrauen in die Sicherheit
                moderner Dienstleistungen hat, wird diese auch
                nutzen. Ein Weg dahin könnten dabei z.B.
                auch Gütesiegel sein – wie sie etwa vom
                europäischen Branchenverband EuroCloud
                vorgeschlagen und eingeführt wurden.
EuroCloud Deutschland_eco e.V.

Aktueller Leitfaden BME
                                                                                Der Bundesverband
                                                                                Materialwirtschaft, Einkauf und
                                                                                Logistik (BME), 1954 gegründet,
                                                                                ist Dienstleister für 8.000 Einzel-
                                                                                und Firmenmitglieder, darunter
                                                                                Mittelständler sowie
                                                                                Großunternehmen. Als
                                                                                Netzwerkgestalter fördert der BME
                                                                                den Erfahrungsaustausch für
                                                                                Unternehmen und Wissenschaft,
                                                                                für die Beschaffungs- und für die
                                                                                Anbieterseite. Der Verband ist
                                                                                offen für alle Branchen (Industrie,
                                                                                Handel, öffentliche Auftraggeber,
                                                                                Banken/Versicherungen) und
                                                                                Unternehmensformen.
                                                                                1,25 Billionen Euro – so hoch ist
                                                                                das Einkaufsvolumen der im
                                                                                BME vertretenen
                                                                                Mitgliedsunternehmen. Der Wert
                                                                                der vom Einkauf zugekauften
                                                                                Waren, Güter und Leistungen liegt
                                                                                bei 42 Prozent des
                                                                                Unternehmensumsatzes.

        http://www.bme.de/BME-Praxisleitfaden-Cloud-Computing.10052958.0.html
EuroCloud Deutschland_eco e.V.

www.eurocloud.de
Leitfaden Recht: leitfaden-recht@eurocloud.de

Vielen Dank
für Ihre Aufmerksamkeit
Noch Fragen?
EuroCloud Deutschland_eco e.V.

Weiterführende Links
» EuroCloud Deutschland
    •   http://www.eurocloud.de
» EuroCloud Europe
    •   http://www.eurocloud.org
» EuroCloud Star Audit
    •   http://www.saas-audit.de/
» eco Data Center Star Audit und Data Center Expert Group
    •   http://www.dcaudit.de/lang/de/dceg/
» EuroCloud Leitfaden Recht, Datenschutz und Compliance
    •   http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/
» BSI Eckpunktepapier
    •   https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Mindestanforderungen-
        Cloud-Computing-Dienste_10052011.html
» ENISA Cloud Risk
    •   http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
    •   http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-
        governmental-clouds
» BMWi – Trusted Cloud
    •   http://www.trusted-cloud.de
Sie können auch lesen