CAST-Workshop

Cloud Security

Termin: 21.06.2018
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstraße 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Michael Herfert
Fraunhofer SIT
10:10
Elmar Eperiesi-Beck
eperi GmbH
Elmar Eperiesi-Beck
Cloud Data Protection 3.0 – Daten-Verschlüsselung ohne Kompromisse

Immer mehr Unternehmen nutzen vielfältige Cloud-Anwendungen, um ihre Prozesse flexibler und effizienter zu gestalten. Ob CRM-Anwendungen, Datenspeicher oder HR-Software – Cloud-Dienste bieten eine leistungsfähige und kostengünstige Infrastruktur. Doch wie kann man gewährleisten, dass interne und externe Compliance-Richtlinien zum Schutz sensibler personenbezogener Daten auch automatisch eingehalten werden, wenn sie in verschiedenen Cloud-Anwendungen gespeichert und verarbeitet werden?

In unserem Vortrag stellen wir Ihnen einen Ansatz vor, der Unternehmen und Organisationen des öffentlichen Sektors die Möglichkeit bietet, die alleinige Kontrolle über ihre sensiblen Daten in der Cloud für alle Anwendungen von einem einzigen Kontrollpunkt aus zu behalten und warum es wichtig ist, diese Kontrolle nicht aus der Hand zu geben. Sie erfahren, warum eine korrekt implementierte Verschlüsselung und Pseudonymisierung von sensiblen Informationen wichtig ist und wie trotz Verschlüsselung wichtige Cloud-Anwendungsfunktionen wie das Suchen oder Sortieren in verschlüsselten Daten sicher umgesetzt wird.

10:45
Young-Hwan Kim
accessec GmbH
Young-Hwan Kim
Vertrauenswürdige Identitäten durch sichere Validierung von Ausweisdokumenten auf Basis eines Cloud Service

Die Überprüfung und Validierung von Personen und Ihren Identitäten sind für Unternehmen teure und aufwendige Prozesse. Eine Identifizierung in einer Postfiliale oder per Video-Ident sind verbunden mit hohen Fixkosten und somit unattraktive. Wir haben versucht aus einer On-Premise Lösung eine sicheren und skalierbaren Cloud Service zu konzipieren. Durch die Verarbeitung von personenbezogenen Daten mittels Cloud Services ist der Faktor Datensicherheit und sichere Prozessgestaltung von besonderer Bedeutung.

11:20 Kaffeepause
11:50
Manuel Wiesche
TU München
Manuel Wiesche
Michael Lang
TU München
Michael Lang
Sicherheit über Clouds: Zur Bewertung technischer, rechtlicher und organisatorischer Maßnahmen und den Möglichkeiten einer dynamischen Zertifizierung

Für viele Unternehmen ist die Nutzung von Cloud-Diensten ein wesentlicher Bestandteil zur Digitalisierung ihrer Unternehmensabläufe, die Vorteile im Bereich der Kosten, der Unternehmenssteuerung und in der Wettbewerbsfähigkeit bietet. Allerdings schrecken Unternehmen vor der Investition in Cloud Computing zurück, weil die Einhaltung von Datenschutz und Datensicherheit ungewiss ist. Auch bestehende Zertifikate zum Nachweis der Einhaltung von Datenschutz- und Datensicherheitskriterien sind nicht ausreichend, da sie aufgrund der hohen Dynamik der Cloud-Technologien zu unflexibel sind.

Die Herausforderung der Dynamik des Markts kann durch die zurückblickende Perspektive bestehender Zertifikate nicht gelöst werden. Bestehende Zertifikate beziehen sich immer nur auf einen Zustand, der in der Vergangenheit liegt - haben aber zugleich einen Gültigkeitszeitraum von einem bis drei Jahren. Weiterhin werden Cloud-Services in vielen Fällen als Lieferkette mehrerer Dienstleistungen (Co-Lokation, Managed Service Anbieter, Cloud Anbieter, etc.) erbracht. Die Komplexität der Bündelung mehrerer Dienste erhöht die Wahrscheinlichkeit technischer, organisatorischer oder rechtlicher Änderungen, die Auswirkungen auf die jeweiligen Zertifikatsaussagen haben können. Zudem sind für den Anwender die Zertifikate mit unterschiedlichen Schwerpunkten und Ausrichtungen oft nicht transparent und kaum vergleichbar.

Um diesen aktuellen Herausforderungen von Cloud-Service-Zertifikaten zu begegnen, ist es erforderlich, dass Datenschutz- und Datensicherheitsanforderungen (teil-) automatisiert und kontinuierlich überprüft sowie anschließend zertifiziert werden. Hier setzt der Vortrag an, zeigt mögliche Lösungskomponenten auf und diskutiert die Potenziale einer dynamischen Zertifizierung.

12:25
Oliver Knodel
TU Dresden
Oliver Knodel
Anwendungsmöglichkeiten rekonfigurierbarer Hardware zur Steigerung der Sicherheit in der Cloud

Rechenleistung und Skalierbarkeit sind essentielle Bestandteile moderner Cloud-Architekturen. Spezielle rekonfigurierbare Hardwarebeschleuniger wie FPGAs (Field Programmable Gate Arrays) stellen eine Möglichkeit dar, um sowohl Rechenleistung, als auch die Energieeffizienz zu steigern. FPGAs können ebenfalls für sicherheitskritische Anwendungen eingesetzt werden. Beispielsweise kann über einen FPGA ein unmittelbarer Zugang zum Cloud-System ermöglicht werden. Durch Anonymisierung von Nutzerdaten auf dem sicheren FPGA können Berechnungen in der nicht vertrauenswürdigen Cloud-Umgebung durchgeführt werden. Das Prinzip der homomorphen Verschlüsselung kann des Weiteren genutzt werden, um Anwendungsteile auf unsichere Komponenten innerhalb der Cloud auszulagern oder direkt im FPGA effizient zu verarbeiten. Dieser Vortrag stellt die aktuellen Ansätze zur Integration von FPGAs in Cloud Architekturen vor und zeigt unterschiedliche Einsatzmöglichkeiten von FPGAs für sicherheitsrelevante Anwendungsfälle.

13:00 Mittagsbuffet
14:05
Michael Adelmeyer
Universität Osnabrück
Michael Adelmeyer
Cloud Computing im Kontext des IT-Sicherheitsgesetzes und der EU-DSGVO

Cloud Computing bietet Unternehmen durch die flexible Bereitstellung von Ressourcen vielfältige Vorteile. Die Auslagerung von Unternehmensdaten oder –prozessen in eine Cloud geht jedoch mit Risiken einher, wie bspw. für die Verfügbarkeit, Sicherheit und den Schutz der Daten. Je nach zugrundeliegendem Service- oder Bereitstellungsmodell können diese Risiken zudem variieren. Als Grundlage zur Überwachung und Kontrolle von Cloud-Diensten können bestehende Standards und Kontrollframeworks dienen, wie beispielsweise die Cloud Controls Matrix der Cloud Security Alliance oder ISO/IEC 27001. Durch gesetzliche Vorschriften zur IT-Sicherheit oder zum Datenschutz entstehen zudem erhöhte Anforderungen an den Betrieb der IT und die Sicherheit und den Schutz von Daten. So werden durch das am 12. Juni 2015 verabschiedete IT-Sicherheitsgesetz von den betroffenen Kritischen Infrastrukturen und deren Cloud-Dienstleistern z. B. die Einhaltung des geforderten Stands der Technik oder die Risikokommunikation im Rahmen des vorgeschriebenen Meldewesens gefordert. Die EU-Datenschutzgrundverordnung birgt ebenfalls Auswirkungen auf den Betrieb und das IT-Risikomanagement von Clouds. Zu nennen sind hierbei insbesondere die risikoorientierte Umsetzung und das Monitoring der geforderten technisch-organisatorischen Maßnahmen, sowie Melde- und Rechenschaftspflichten.

14:40
Gunther Schiefer
Karlsruher Institut für Technologie (KIT)
Gunther Schiefer
PRIVACY-AVARE: Selbstdatenschutz für die Nutzung von Cloud-Diensten via Apps

Es ist das Grundrecht jeder natürlichen Person darüber zu bestimmen, wer welche personenbezogenen Daten über sie, zu welchem Zweck erhebt und verarbeitet und wie lange er diese speichert. Tatsächlich können viele cloudbasierte Dienste nur genutzt werden, wenn der Anwender dem Dienstanbieter eine umfassende Datenerfassung und -analyse erlaubt. Teils ist dies für die Kernfunktionalität erforderlich, teils jedoch „nur“ um ein auf den Daten basierendes Geschäftsmodell umzusetzen. Oftmals können die Anwender nur entscheiden, ob sie ihre Daten weitergeben und damit den Dienst nutzen können, oder den Dienst nicht zu nutzen. Die Weigerung, personenbezogene Daten zur Verfügung zu stellen, führt teilweise zu erheblichen Nachteilen für die soziale Interaktion. Deshalb glauben wir, dass es einen Bedarf an Tools zur einfachen und effektiven Kontrolle der eigenen Daten als Schutz vor wirtschaftlichen Interessen globaler Unternehmen und ihrer Cloud-Computing-Systeme (als Datensammler von Apps, Handys und Diensten) gibt. Gerade weil heutzutage jeder ständig mit verschiedenen Diensten und Geräten online ist, fehlen den Anwendern oft die Mittel, um den Zugriff auf ihre privaten Daten effektiv zu kontrollieren. Deshalb stellen wir einen Ansatz zur Verwaltung und Verteilung von Datenschutzeinstellungen vor: PRIVACY-AVARE soll es Anwendern ermöglichen, ihre Datenschutzeinstellungen zentral zu bestimmen und auf verschiedenen Geräten anzuwenden. So behalten Anwender bei der Nutzung von Diensten mehr die Kontrolle über ihre Daten. Der Vortrag stellt die Grundidee und erste prototypische Umsetzungen von PRIVACY-AVARE vor.

15:15 Kaffeepause
15:50
Hervais-Clemence Simo Fhom
Fraunhofer SIT
Cloud Computing als Enabler für Intrusion-Detection-Systeme in vernetzte Fahrzeuge? Konzepte und Herausforderungen für Privatheit und Cyber-Sicherheit
16:25
Andreas Weiss
EuroCloud Deutschland, eco e.V.
Andreas Weiss
Zero Trust Strategie in Zeiten vernetzter digitaler Plattformen
  • Basisschutz eigener Websysteme
  • Software Defined Perimeter
  • Monitoring von Cloud Diensten

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Michael Herfert
Fraunhofer SIT
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail: