Clouds - How to audit, how to certify? CloudCamp Hamburg 2010

1. Clouds :
How to audit, how to certify?
Clouds:
Wie prüfen? Wie zertifizieren?
Sven Thomsen

2. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 2
5-Minuten-Agenda
• Kurz-Vorstellung ULD
(entfällt! Infos: http://www.datenschutzzentrum.de/)
• Warum muss ich einen Dienst in der Cloud _vor_ der
Nutzung prüfen?
• Wie prüft man einen Dienst in einer Cloud?
• Wie zertifiziert man aktuell einen Cloud-Dienst?
• Wie sollte man einen Cloud-Dienst zertifizieren?

3. www.datenschutzzentrum.de
Warum prüfen?
• Konzept der Verantwortlichkeit der Daten
verarbeitenden Stelle
• Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines
cloud-basierten Dienstes übertragen werden
• Angebote vorab auf angemessene
Sicherheitsmaßnahmen prüfen
• „Vertrauen“ gibt es im Bereich Datenschutz und
Datensicherheit nicht
• an die Stelle von Vertrauen treten Nachweise einer
ordnungsgemäßen Datenverarbeitung schon
Clouds: Wie prüfen? Wie zertifizieren? 3

4. www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• orientiert an Schichten
 Infrastrukturebene:
Räume, Gebäude, Klima, Brandschutz etc.
-> klassische Vorgehensweise, vgl. Trusted Site
Infrastructure, Uptime Data Center Tiers
 Netzwerkebene :
Router, Switches, Paketfilter, Proxies etc.
-> etablierte Prüfmethoden zur Perimetersicherheit und
Trennung interner Datenströme
 Basis-Systeme
-> Best-Practices und Security-Guides der Hersteller,
CommonCriteria-evaluierte Konfigurationen
Clouds: Wie prüfen? Wie zertifizieren? 4

5. www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• Virtualisierungsschicht
-> Tja… Hmmm…
Hypervisor-Sicherheit ist relativ neu, VMWare und Xen
momentan Vorreiter, für AppEngine , Azure etc. keine
etablierten Vorgehensweisen
 Sicherheitsmanagement
-> etablierte Standards
ISO27001, BSI-Standards 100-1 bis 100-4
Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste
anwenden, brauchen aber spezielle Prüfkriterien für die
Virtualisierungsschicht. Ideen? Wenn ja: Workshop!
Clouds: Wie prüfen? Wie zertifizieren? 5

6. www.datenschutzzentrum.de
Wiederverwendung von Prüfergebnissen?
• Prüfungen sind aufwändig
 erste Erfahrungen des ULD: Prüfung einer kleinen,
private Cloud (IaaS) ~ 10 PT
• Wie kann man die Investition in eine Überprüfung mehrfach
nutzen?
 als Aufsichtsbehörde? unter Aufsichtsbehörden?
 als Anbieter eines cloud-basierten Dienstes?
 als potentieller Kunde?
Clouds: Wie prüfen? Wie zertifizieren? 6

7. www.datenschutzzentrum.de
Bisheriger Ansatz: Zertifizierungen
• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,
…
 öffentliches Kurzgutachten, detaillierte Beschreibung
des Target Of Evaluation (ToE)
 regelmäßige Rezertifizierung, regelmäßige Prüfung
während der Laufzeit des Audits
 Qualitätsmanagement über vergebene Zertifikate,
interne Fortbildung der Prüfer
• Aber immer noch: „aufwändige Prüfung der Prüfung“
 Kenntnis des Prüfstandards
 Prüfung des ToE
Clouds: Wie prüfen? Wie zertifizieren? 7

8. www.datenschutzzentrum.de
Idee: „Elektronische Prüfsiegel“
• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)
• Maschinenlesbare Prüfberichte (Was wurde geprüft?)
• Maschinenlesbare Bewertungen (Mit welchem Ergebnis?)
• Maschinenlesbare Nachweise (Womit nachgewiesen?)
• Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)
Ziele:
• Durchgeführte Prüfungen und Zertifizierungen elektronisch
verwertbar machen
• Nachweise automatisiert führen
• Sicherheitsniveau cloud-basierter Dienste nachvollziehbar
gestalten
Clouds: Wie prüfen? Wie zertifizieren? 8

9. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de

10. www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
uld3@datenschutzzentrum.de