CAST-Workshop

Cloud Security

Termin: 22.06.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstr. 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Michael Herfert
Fraunhofer SIT
Michael Herfert
10:10
Heiner Teigeler
Universität Kassel
Heiner Teigeler
Kontinuierliche Zertifizierung aus Sicht der Cloud-Service-Provider

Um das Vertrauen in angebotene Cloud-Services zu erhöhen und deren Transparenz zu steigern werden zunehmend Cloud-Service-Zertifizierungen eingesetzt. Aktuell werden Zertifizierungsverfahren eingesetzt, die zu einem initialen Zeitpunkt den Dienst zertifizieren und die Einhaltung des Zertifikats erst durch jährliche Audits erneut überprüfen. Aufgrund der hohen Dynamik von angebotenen Cloud-Services sind diese Verfahren jedoch nicht optimal und sollten durch eine kontinuierliche Zertifizierung ergänzt bzw. ersetzt werden.

Da kontinuierliche Zertifizierungen sich noch in der Entwicklungsphase befinden, haben wir in einer Akzeptanzstudie die Chancen und Herausforderungen aus Sicht von Cloud-Service-Providern untersucht. In einer quantitativen Studie wurden internationale Anbieter von Cloud-Services hinsichtlich Ihrer Einstellung gegenüber dem neuartigen Konzept der kontinuierlichen Zertifizierung von Cloud-Services befragt. Die daraus resultierenden Erkenntnisse ergeben Implikationen zur Gestaltung von kontinuierlichen Zertifizierungsansätzen. Hierzu zählen zum Beispiel die Vorteile gegenüber bereits bestehenden Zertifizierungsverfahren als Treiber zur Adoption des neuartigen Konzepts. Jedoch schrecken die hohe Komplexität und der damit verbundene Aufwand viele Cloud-Service-Provider aktuell noch ab.

10:45
Jens Müller
Ruhr-Universität Bochum
Sicherheit und Privatsphäre im Cloud Printing

Das papierlose Büro wurde seit mehr als drei Jahrzehnten prophezeit.

Dennoch sind Drucker auch heute noch unverzichtbare Geräte in vielen Unternehmen und Haushalten. Anstatt sie abzuschaffen, haben sich Drucker von einfachen Maschinen zu komplexen Computersystemen gewandelt, die direkt ins Firmennetzwerk integriert sind und sensible Informationen verarbeiten. Dies macht sie zu einem attraktiven Ziel für Angreifer.

Viele neuere Modelle sind ständig mit der Cloud verbunden, um Druckaufträge von überall anzunehmen. Im Vortrag wird anhand von Google Cloud Printing demonstriert, welche Auswirkungen dies auf die Privatsphäre von Nutzern haben kann und welche Angriffe gegen Cloud Server sowie gegen cloudfähige Endgeräte durchgeführt werden können.

11:20 Kaffeepause
11:50
Sebastian Zickau
TU Berlin
Sebastian Zickau
Datenschutz – Paradise lost?

Im Rahmen der Neuregulierung des europäischen Datenschutzes wird auch eine Neuausrichtung in Deutschland stattfinden. Die aktuelle Berichterstattung weist auf ein gewolltes Herabsetzen des deutschen Datenschutzniveaus hin. Auch das Privacy Shield ist weiterhin in der Kritik. Im Rahmen des Forschungsprojekts PARADISE wird über die aktuelle Diskussion referiert.

12:25
Michael Adelmeyer
Universität Osnabrück
IT-Risikomanagement im Cloud Computing: Status Quo und aktuelle Entwicklungen

Cloud Computing bietet Unternehmen durch die flexible Bereitstellung von Ressourcen vielfältige Vorteile. Die Auslagerung von Unternehmensdaten oder –prozessen in eine Cloud geht jedoch mit Risiken einher, wie bspw. für die Verfügbarkeit, Sicherheit und den Schutz der Daten. Je nach zugrundeliegendem Service- oder Bereitstellungsmodell können die Risiken zudem variieren. Die Überwachung und Kontrolle der durch eine Auslagerung in die Cloud entstehenden Risiken bedingt somit ein funktionierendes IT-Risikomanagement in auslagernden Unternehmen sowie bei deren Dienstleistern. Durch gesetzliche Vorschriften zur IT-Sicherheit oder zum Datenschutz entstehen zudem erhöhte Anforderungen an den Betrieb der IT und die Sicherheit und den Schutz gewisser Daten, welche ebenfalls im Rahmen des IT-Risikomanagements adäquat berücksichtigt werden müssen. Insbesondere durch das am 12. Juni 2015 verabschiedete IT-Sicherheitsgesetz ergeben sich für die betroffenen Kritischen Infrastrukturen und deren Dienstleister Herausforderungen im Rahmen des IT-Risikomanagements, wie z. B. die Einhaltung des geforderten Stands der Technik oder die Risikokommunikation im Rahmen des vorgeschriebenen Meldewesens.

Im Rahmen des Vortrages wird der aktuelle Stand des IT-Risikomanagements im Cloud Computing betrachtet sowie ein Ausblick auf aktuelle Entwicklungen gegeben, wie z. B. das IT-Sicherheitsgesetz oder die EU-Datenschutzgrundverordnung.

13:00 Mittagsbuffet
14:05
Andrzej Debski
Linde AG
Andrzej Debski
Erfahrungen mit Cloud-Sicherheit aus Unternehmenssicht

Cloud und Cloud-Dienste sind inzwischen zum festen Bestandteil der Unternehmens-IT geworden, Tendenz steigend. Cloud-Anbieter werden professioneller und Angebote attraktiver. Neben den funktionalen und kommerziellen Aspekten (Lizenzmodelle, Preise, etc.) spielen Risikobetrachtung und Sicherheit eine wichtige Rolle sowohl bei der Auswahl von potentiellen Cloud-Anbietern als auch bei der Auswahl und Gestaltung von Cloud-basierten Diensten. Vertrauensbildung, Verantwortungsteilung und Risikoabwägung, unter besonderer Berücksichtigung von IT-Risiken, stellen wichtige Schritte auf dem Weg zur effektiven und zufriedenstellenden Nutzung der Cloud-Dienste in einem Unternehmen dar. Allerdings, es wird oft deutlich, dass Cloud-Anbieter und Cloud-Nutzer nicht immer die gleichen Ziele, Taktiken und Methoden zur Gewährleistung der Sicherheit der Daten und Funktionen in der Cloud verfolgen. Die Geschäftsinteressen sind eben unterschiedlich. Darüber hinaus, das inzwischen breit gewordene Spektrum und die Komplexität der angebotenen sicherheitsrelevanten Funktionen und Optionen (zumindest bei großen und etablierten Anbietern) stellt viele Unternehmen oder Abteilungen vor die Frage, was angebracht, was notwendig, was sinnvoll, oder was compliance-adäquat ist. Der Beitrag skizziert kurz das unternehmens-relevante Cloud Eco-System (vorwiegend SaaS, hybrid), Relationen zwischen den kooperierenden Parteien (Anbieter, Partner, Kunden, Regulierer, Auditoren), typische Verantwortungsteilung im Kontext des gewählten Service-Modells, gängige Geschäfts- und IT-Risiken und entsprechende organisatorische und technische Gegenmaßnahmen. Im abschließenden Teil werden Schlussfolgerungen aus der sicherheitsrelevanten Befragung von Cloud-Anbietern vorgestellt, die das Unternehmen bei der Realisierung seiner bisherigen Cloud-Projekte engagiert hat. Es wird dabei deutlich, dass bestimme Unternehmensanforderungen, z.B. bezüglich der Transparenz der angewandten Prozesse und Techniken zum Schutz von Unternehmensdaten und Funktionen in der Cloud, der Darstellung der Datenströme, der Einsicht in interne Abläufe und Sicherheitskontrollmechanismen des Cloud-Anbieters, oder bezüglich der Test- und Prüfvorgänge (z.B. Anwendungs-Penetrationstests) kaum oder nur erschwert erfüllt werden können.

14:40
Sebastian Rohr
accessec GmbH
Sebastian Rohr
Sichere Zertifikatsvergabe: Die Cloud in die Tasche stecken!

Die Nutzung mobiler Endgeräte hat nahezu einen Sättigungspunkt erreicht und eine Vielzahl der IT-Nutzer im Unternehmen verfügen über ein privates oder dienstliches Smartphone. Die Anmeldung am dienstlichen PC oder Laptop wird bereits in vielen Unternehmen mittels Smartcard durchgeführt, dies hat jedoch einige kommerzielle und organisatorische Nachteile. Es liegt nahe, das allseits vorhandene Mobiltelefon als zweiten Faktor zu verwenden, jedoch bieten die vorhandenen Systeme lediglich auf Software Apps basierende Sicherheit, die leicht zu unterwandern ist.

Die Nutzung von sicheren Hardware Elementen (embedded SIM) würde eine solche Lösung erheblich sicherer machen, der Zugriff ist aber stark reglementiert. Der Vortrag zeigt auf, welche Cloud Service Mechanismen verwendet werden können, um sicher Zertifikate auf embedded SIMS zu bringen und diese lokal zu nutzen, sowie die Gültigkeit der Zertifikate online zu prüfen.

15:15 Kaffeepause
15:50
Detlef Hühnlein
ecsec GmbH
Detlef Hühnlein
Starke Authentisierung in der Cloud? - mit Sicherheit eine gute Idee!

Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit geraumer Zeit zum Einsatz starker Authentisierungsmechanismen rät und inzwischen auch zahlreiche Europäische Regularien teilweise explizit den Einsatz von starken Authentisierungsmechanismen fordern, erfolgt das Login im Internet in der Regel noch mit Benutzername und Passwort. Dass dies mit Sicherheit keine gute Idee ist, wird durch die zahlreichen im letzten Jahr bekannt gewordenen Sicherheitsvorfälle bei Anbietern von Online-Diensten, die millionenfachen Identitätsdiebstahl beklagen mussten, äußerst eindrucksvoll belegt.

Vor dem Hintergrund hat sich kürzlich eine verbandsübergreifende Arbeitsgruppe "Starke Authentisierung - jetzt!" gegründet, die darauf abzielt, den praktischen Einsatz von starken Authentisierungsmechanismen im Internet durch Sensibilisierung von Nutzern und Anbietern von Online-Diensten zu fördern und den Weg zum Einsatz geeigneter Authentisierungsverfahren im Internet zu ebnen.

Der vorliegende Beitrag stellt erste Zwischenergebnisse dieser für alle interessierten Personen und Organisationen offenen und gemeinnützigen Initiative vor und ruft gleichzeitig zur Mitwirkung sowie zur aktiven Nutzung von starken Authentisierungsmechanismen im Internet auf.

16:25
Annika Selzer
Fraunhofer SIT
Annika Selzer
Die Zukunft von Auftragsverarbeitungskontrollen

Das Bundesdatenschutzgesetz regelt in § 11 Abs. 2 Satz 4, dass sich der Auftraggeber einer Auftragsdatenverarbeitung vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragsdatenverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Diese Kontrollen im Zeitalter des Cloud Computing zu bewältigen, stellt Auftraggeber vor große Herausforderungen. Problematisch ist hierbei u. a. die mögliche geographische Distanz zwischen beiden Parteien, wenn die Kontrolle in Form einer persönlichen Vor-Ort-Kontrolle durchgeführt werden soll. Die europäische Datenschutzgrundverordnung, die ab dem 25.05.2018 in allen Mitgliedstaaten unmittelbar gelten wird, versieht Datenschutzzertifizierungen erstmals breitenwirksam mit einer konkreten Rechtsfolge und stellt u. a. klar, dass der Auftraggeber einer Auftragsdatenverarbeitung durch eine Zertifizierung des Auftragsdatenverarbeiters seinen Kontrollpflichten nachkommen kann. Der Vortrag stellt sowohl die aktuelle Situation als auch die mit der Datenschutzgrundverordnung eingehenden Neuerungen bei Auftragsdatenverarbeitungskontrollen im Cloud-Umfeld vor.

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Michael Herfert
Fraunhofer SIT
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Wichtige Links

Veranstaltungen von CAST-Mitgliedern

30.11.2017
12. Darmstädter Informationsrechtstag