Cloud Security

Termin: 30.06.2016
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstr. 75
64295 Darmstadt
Diese Veranstaltung wird als Weiterbildung im Sinne der T.I.S.P.-Rezertifizierung anerkannt

Programm

10:00
Moderation
Michael Herfert
Fraunhofer SIT
10:10
Johanna Hofmann
Universität Kassel
Neue europäische Regelungen zu Datenschutz und Datensicherheit
Anforderungen der Datenschutzgrundverordnung an das Cloud Computing

Das europäische Datenschutzrecht wurde grundlegend novelliert. Das gilt nicht zuletzt für die im Zusammenhang mit dem Cloud Computing bedeutende Auftragsdatenverarbeitung, die Verteilung der Verantwortlichkeiten, die Haftung sowie die Zuständigkeiten und Befugnisse der Aufsichtsbehörden. Ab Mai 2018 werden Technikentwickler, Dienstanbieter und Dienstnutzer innerhalb der EU aber auch solche, die in einem Drittstaat sitzen und ihre Tätigkeiten auf den europäischen Markt ausgeweitet haben, die Regelungen der Datenschutzgrundverordnung einhalten müssen. Die Verordnung beschränkt sich dabei nicht nur auf den Datenschutz, sondern macht zusätzlich auf dem Gebiet der Datensicherheit Vorgaben. Vorgaben, die selbst dann einzuhalten sind, wenn (noch) kein Personenbezog bei den zu verarbeitenden Daten besteht und Datenschutzrecht deshalb eigentlich gar keine Anwendung findet. Diese Vorgaben zur Datensicherheit sind allerdings sehr abstrakt und unterkomplex, wodurch Rechtsunsicherheit droht für Betroffene und Cloud-Verarbeiter zugleich droht. Nichts desto trotz stehen auf Verstöße gegen die Verordnung künftig empfindliche Bußgelder. Technikadäquate Konkretisierung der Vorgaben heißt folglich das Gebot der Stunde.

Der Vortrag wird diejenigen Regelungen der Datenschutzgrundverordnung aufzeigen, die im Rahmen des Cloud Computing zu beachten sind. Dabei werden neu eingeführte Konzepte, wie beispielsweise „Data Protection by Design and by Default“ sowie die Datenschutz-Folgenabschätzung umrissen und auf Möglichkeiten hingewiesen, wie die Befolgung der Anforderungen der Verordnung in Zukunft nachgewiesen werden kann.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
10:55
Sebastian Lins
Universität Köln
Vertrauen ist gut, Kontrolle ist besser!
Dynamische Zertifizierung von Cloud-Services

Die Nutzung von Cloud-Services ermöglicht es Unternehmen eine Vielzahl von finanziellen und technischen Vorteilen zu realisieren. Demgegenüber sehen sich Cloud-Service-Provider auch mit vielen Bedenken von potentiellen Nutzern hinsichtlich des Vertrauens in die angebotenen Services und deren Sicherheit konfrontiert. Es zeigt sich, dass Zertifizierungen zur Adressierung dieses Problems beitragen können, indem sie Vertrauen schaffen, die Transparenz im Cloud-Service-Markt erhöhen und es Providern ermöglichen, eingesetzte Systeme und Prozesse zu verbessern. Eine Vielzahl von Cloud-Service-Zertifizierungen, bspw. die „EuroCloud Star Audit“ von EuroCloud, wurde in den vergangenen Jahren entwickelt. Diese Zertifikate suggerieren ein hohes Maß an Sicherheit, Verfügbarkeit und Compliance, bei einer Gültigkeit von ein bis drei Jahren. Aufgrund der inhärenten Dynamik und der ständigen (technischen) Weiterentwicklung von Cloud-Services, werden jedoch hohe Anforderungen an Zertifizierungen gestellt. Daher ist eine langjährige Gültigkeit im Cloud-Computing Umfeld kritisch zu betrachten. Die Einhaltung bestimmter Anforderungen und Kriterien kann über diesen Zeitraum gefährdet sein, bspw. durch das Auftreten von schwerwiegenden Sicherheitsvorfällen oder Änderungen an der Konfiguration des Cloud-Services.

Um die Glaubwürdigkeit ausgestellter Zertifikate zu erhöhen, und um kontinuierlich sicherzustellen, dass Cloud-Services sicher und zuverlässig angeboten werden, hat das Bundesministerium für Bildung und Forschung fünf Projekte in dem Forschungsbereich „Sicheres Cloud Computing“ im Rahmen der Hightech-Strategie der Bundesregierung gefördert und initiiert. Das Projekt „Next Generation Certification“ (NGCert) beschäftigt sich mit der Forschung und Entwicklung dynamischer Zertifizierungen für Cloud-Services, die es ermöglichen kritische Anforderungen an Cloud-Services kontinuierlich und (teil-) automatisiert zu überprüfen. Das Team von Prof. Sunyaev entwickelt im Rahmen des Forschungsprojekts „Next Generation Certification“ (NGCert) Metriken, Messmethoden und Gestaltungsrichtlinien zur kontinuierlichen und (teil-)automatisierten Zertifizierung von Cloud-Services. Das Forschungsprojekt NGCert wird vom Bundesministerium für Bildung und Forschung mit einem Gesamtvolumen von 2,32 Mio. € gefördert. Neben der Universität Kassel wirken das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), die Technische Universität München, EuroCloud Deutschland, Fujitsu und die AKDB sowie weitere Feld- und Transferpartner an dem Projekt mit. Im Rahmen dieses Projektes sind bereits einige Publikationen, darunter eine Veröffentlichung im IEEE Transactions on Cloud Computing Journal mit dem Titel „Trust is Good, Control is Better: Creating Secure Clouds by Continuous Auditing“, sowie das Buch „Cloud-Service Zertifizierung - Ein Rahmenwerk und Kriterienkatalog zur Zertifizierung von Cloud-Services“ hervorgegangen.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
11:40 Kaffeepause
12:15
Hervais Simo
Fraunhofer SIT
Location-based Identification

Mobile Location Analytics (MLA) is enjoying increased attention. Typical businesses eager to exploit the opportunities off ered by this emerging form of location-based services are venues of various types and size including retail stores, shopping malls, airports, hotels, and theme parks. MLA relies on applying statistical inference methods to sensory data constantly generated by mobile devices of (potential) visitors or data collected by a variety of in-door sensors in order to generate useful insights into people's behavior and interests. While providing venue operators and (potential) customers with many benefits, MLA also raises signifi cant privacy concerns, given the sensitive nature of the data being collected and transferred to remote entities for further processing. In this paper, we off er a vision for building privacy and data protection into MLA. We argue for a holistic and user-centered approach, i.e., one enabling individuals whose data are collected and processed by MLA services to be aware of and understand the associated data flows, the resulting privacy risks, and appropriated options to restrict the access to and (downstream) usage of their data. The building blocks of our approach are highlighted.

Our proposal rests on a comprehensive set of privacy and data protection requirements which in turn is a result of a thorough analysis of attack surfaces available in the context of MLA, the associated threat model and the privacy risks they might entail. The compiled set of privacy and data protection requirements is tailored to the specific needs of embedded systems which are key enablers of MLA.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
13:00 Mittagsbuffet
14:10
Steffen Müller
Sicherheitszielkonflikte in Cloud-Storage-Systemen

Cloud-Storage-Dienste und NoSQL-Systeme werden zunehmend auch in sicherheitskritischen Kontexten verwendet, weshalb ein „Absichern“ dieser Systeme immer wichtiger wird. Da diese Cloud-Storage-Systeme jedoch ursprünglich auf hohe Performance, elastische Skalierbarkeit und hohe Verfügbarkeit ausgelegt wurden und Sicherheitsmechanismen in der Regel einen negativen Einfluss auf diese Eigenschaften haben, ergeben sich verschiedene Sicherheitszielkonflikte, die im Rahmen eines Security Engineering für Cloud-Storage-Systeme beachtet und behandelt werden müssen. Am Beispiel von zwei Sicherheitsmechanismen – Verschlüsselung von gespeicherten Daten sowie Verbindungsverschlüsselung auf Basis von Transport Layer Security – werden konkrete Sicherheitszielkonflikte zwischen Sicherheit und Performance näher besprochen sowie Konsequenzen und Lösungsmöglichkeiten in Cloud-Storage-Systemen aufgezeigt.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
14:55 Kaffeepause
15:30
Meiko Jensen
Fachhochschule Kiel
Wände in den Wolken - Trusted Virtual Domains in der Cloud

Dieser Vortrag analysiert die Einsatzmöglichkeiten hardwareunterstützter Sicherheitstechniken in Cloud-Umgebungen mit Mehrmandanten-Anforderungen. Am Beispiel der Erfassung von Smart-Meter-Daten wird aufgezeigt, wie sich Konzepte wie Trusted Virtual Domains effektiv in der Cloud umsetzen lassen.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:15
Elmar Eperiesi-Beck
eperi GmbH
Sicherheitsbedenken Cloud-Computing – ist ein „Cloud Access Security Broker (CASB)“ die Lösung?

Cloud-Anwendungen sind im Mainstream der Wirtschaft angekommen. Analysten gehen davon aus, dass in nur zwei Jahren über die Hälfte der Unternehmenssoftware Cloud-Lösungen sein werden. Bereits heute melden die meisten Firmen, dass eine ähnlich hohe Zugriffszahl auf interne Daten vom Home Office oder von reisendem Personal über mobile Endgeräte erfolgt wie von den Arbeitsplätzen im eigenen Unternehmen. SaaS, PaaS, IDaaS oder IaaS sind Stichworte, die Kosteneinsparungen und Produktivitätssteigerung versprechen – aber auch große Sicherheitsrisiken bergen.

Cloud Access Security Broker sind Lösungen für die oft unregulierte Nutzung von Cloud-Anwendungen in einem Unternehmen. Sie befinden sich zwischen dem Cloud-Nutzer und dem Cloud-Anbieter und regeln den Datenzugriff von außen, welcher Benutzer Zugang zu welchen Apps hat sowie seine Berechtigungen in diesen. Momentan werden für CASBs drei Verfahrensweisen verwendet:

  • ein Proxy-artiges, On-Premise-Gateway,
  • ein hostbasiertes Agentenmodell, oder
  • eine API-basierte, Cloud-eigene SaaS-Lösung.

Laut den IT-Analysten von Gartner profitieren Unternehmen vierfach von CASB:

  • Besseres Monitoring von genutzte Cloud-Apps im Unternehmen
  • Sichern der IT-Compliance führt zu höherer Rechtssicherheit
  • Verbesserte Krisenprävention durch genauere Kontrolle des Datenflusses
  • Zusätzlicher Sicherheitslayer für sensitive Firmendaten

Mit all diesen Stärken schaffen CASB mehr Sicherheit, Transparenz und Vertrauen – und senken damit die Einstiegsschwelle für viele Unternehmer, die Cloud-Lösungen aus Angst vor Fremdzugriffen auf sensitive Firmendaten bisher ablehnen.

Neben den theoretischen Betrachtungen wird anhand von Praxisbeispielen mit verschiedenen CASBs aufgezeigt, wo die technischen Fähigkeiten eines CASBs liegen und welche Limitationen dieser Ansatz mit sich bringt.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Michael Herfert
Fraunhofer SIT
E-Mail:

Administration

Simone Zimmermann
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

CAST/GI Promotionspreis IT-Sicherheit 2024 10.04.2024
Künstliche Intelligenz und Cybersicherheit 16.05.2024
23nd International Conference of the Biometrics Special Interest Group (BIOSIG 2024) 25.-27.09.2024
Forensik / Internetkriminalität 12.12.2024
ID:SMART Workshop 2025 19.-20.02.2025