Sven Thomsen - How to audit, how to certify?

Clouds :How to audit, how to certify?

Clouds:Wie prüfen? Wie zertifizieren?

Sven Thomsen

www.datenschutzzentrum.de

Clouds: Wie prüfen? Wie zertifizieren? 2

5-Minuten-Agenda

• Kurz-Vorstellung ULD (entfällt! Infos: http://www.datenschutzzentrum.de/)

• Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen?

• Wie prüft man einen Dienst in einer Cloud?

• Wie zertifiziert man aktuell einen Cloud-Dienst?

• Wie sollte man einen Cloud-Dienst zertifizieren?


Warum prüfen?

• Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle

• Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden

• Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen

• „Vertrauen“ gibt es im Bereich Datenschutz und Datensicherheit nicht

• an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon



Wie prüft man einen Cloud-Dienst?

• orientiert an Schichten Infrastrukturebene:

Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise, vgl. Trusted Site Infrastructure, Uptime Data Center Tiers

Netzwerkebene :Router, Switches, Paketfilter, Proxies etc.-> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme

Basis-Systeme -> Best-Practices und Security-Guides der Hersteller, CommonCriteria-evaluierte Konfigurationen



Wie prüft man einen Cloud-Dienst?

• Virtualisierungsschicht -> Tja… Hmmm…Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen

Sicherheitsmanagement-> etablierte StandardsISO27001, BSI-Standards 100-1 bis 100-4

Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop!



Wiederverwendung von Prüfergebnissen?

• Prüfungen sind aufwändig erste Erfahrungen des ULD: Prüfung einer

kleinen, private Cloud (IaaS) ~ 10 PT• Wie kann man die Investition in eine Überprüfung

mehrfach nutzen? als Aufsichtsbehörde? unter Aufsichtsbehörden? als Anbieter eines cloud-basierten Dienstes? als potentieller Kunde?



Bisheriger Ansatz: Zertifizierungen

• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,… öffentliches Kurzgutachten, detaillierte

Beschreibung des Target Of Evaluation (ToE) regelmäßige Rezertifizierung, regelmäßige

Prüfung während der Laufzeit des Audits Qualitätsmanagement über vergebene

Zertifikate, interne Fortbildung der Prüfer• Aber immer noch: „aufwändige Prüfung der

Prüfung“ Kenntnis des Prüfstandards Prüfung des ToE



Idee: „Elektronische Prüfsiegel“

• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)• Maschinenlesbare Prüfberichte (Was wurde geprüft?)• Maschinenlesbare Bewertungen (Mit welchem

Ergebnis?)• Maschinenlesbare Nachweise (Womit nachgewiesen?)• Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)Ziele:• Durchgeführte Prüfungen und Zertifizierungen

elektronisch verwertbar machen• Nachweise automatisiert führen• Sicherheitsniveau cloud-basierter Dienste

nachvollziehbar gestaltenClouds: Wie prüfen? Wie zertifizieren? 8



Vielen Dank für Ihre Aufmerksamkeit!

Kontaktdaten

Unabhängiges Landeszentrum für DatenschutzSven ThomsenHolstenstraße 9824103 Kiel

[email protected]

Sven Thomsen - How to audit, how to certify?

Documents

Transcript of Sven Thomsen - How to audit, how to certify?