Sven Thomsen - Clouds - How to audit, how to certify?
1. Clouds :
How to audit, how to certify?
Clouds:
Wie prüfen? Wie zertifizieren?
Sven Thomsen
2. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 2
5-Minuten-Agenda
• Kurz-Vorstellung ULD
(entfällt! Infos: http://www.datenschutzzentrum.de/)
• Warum muss ich einen Dienst in der Cloud _vor_ der
Nutzung prüfen?
• Wie prüft man einen Dienst in einer Cloud?
• Wie zertifiziert man aktuell einen Cloud-Dienst?
• Wie sollte man einen Cloud-Dienst zertifizieren?
3. www.datenschutzzentrum.de
Warum prüfen?
• Konzept der Verantwortlichkeit der Daten
verarbeitenden Stelle
• Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines
cloud-basierten Dienstes übertragen werden
• Angebote vorab auf angemessene
Sicherheitsmaßnahmen prüfen
• „Vertrauen“ gibt es im Bereich Datenschutz und
Datensicherheit nicht
• an die Stelle von Vertrauen treten Nachweise einer
ordnungsgemäßen Datenverarbeitung schon
Clouds: Wie prüfen? Wie zertifizieren? 3
4. www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• orientiert an Schichten
Infrastrukturebene:
Räume, Gebäude, Klima, Brandschutz etc.
-> klassische Vorgehensweise, vgl. Trusted Site
Infrastructure, Uptime Data Center Tiers
Netzwerkebene :
Router, Switches, Paketfilter, Proxies etc.
-> etablierte Prüfmethoden zur Perimetersicherheit und
Trennung interner Datenströme
Basis-Systeme
-> Best-Practices und Security-Guides der Hersteller,
CommonCriteria-evaluierte Konfigurationen
Clouds: Wie prüfen? Wie zertifizieren? 4
5. www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• Virtualisierungsschicht
-> Tja… Hmmm…
Hypervisor-Sicherheit ist relativ neu, VMWare und Xen
momentan Vorreiter, für AppEngine , Azure etc. keine
etablierten Vorgehensweisen
Sicherheitsmanagement
-> etablierte Standards
ISO27001, BSI-Standards 100-1 bis 100-4
Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste
anwenden, brauchen aber spezielle Prüfkriterien für die
Virtualisierungsschicht. Ideen? Wenn ja: Workshop!
Clouds: Wie prüfen? Wie zertifizieren? 5
6. www.datenschutzzentrum.de
Wiederverwendung von Prüfergebnissen?
• Prüfungen sind aufwändig
erste Erfahrungen des ULD: Prüfung einer kleinen,
private Cloud (IaaS) ~ 10 PT
• Wie kann man die Investition in eine Überprüfung mehrfach
nutzen?
als Aufsichtsbehörde? unter Aufsichtsbehörden?
als Anbieter eines cloud-basierten Dienstes?
als potentieller Kunde?
Clouds: Wie prüfen? Wie zertifizieren? 6
7. www.datenschutzzentrum.de
Bisheriger Ansatz: Zertifizierungen
• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,
…
öffentliches Kurzgutachten, detaillierte Beschreibung
des Target Of Evaluation (ToE)
regelmäßige Rezertifizierung, regelmäßige Prüfung
während der Laufzeit des Audits
Qualitätsmanagement über vergebene Zertifikate,
interne Fortbildung der Prüfer
• Aber immer noch: „aufwändige Prüfung der Prüfung“
Kenntnis des Prüfstandards
Prüfung des ToE
Clouds: Wie prüfen? Wie zertifizieren? 7
8. www.datenschutzzentrum.de
Idee: „Elektronische Prüfsiegel“
• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)
• Maschinenlesbare Prüfberichte (Was wurde geprüft?)
• Maschinenlesbare Bewertungen (Mit welchem Ergebnis?)
• Maschinenlesbare Nachweise (Womit nachgewiesen?)
• Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)
Ziele:
• Durchgeführte Prüfungen und Zertifizierungen elektronisch
verwertbar machen
• Nachweise automatisiert führen
• Sicherheitsniveau cloud-basierter Dienste nachvollziehbar
gestalten
Clouds: Wie prüfen? Wie zertifizieren? 8
9. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de
10. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de