Unabhängige Experten- und Marktplattform für die Schweiz.

Presenting-Partner

Presenting-Partner Logo bluewaysPresenting-Partner Logo blueways
Presenting-Partner Logo Digitale SchweizPresenting-Partner Logo Digitale Schweiz
Presenting-Partner Logo EcoCloudPresenting-Partner Logo EcoCloud
Presenting-Partner Logo HostpointPresenting-Partner Logo Hostpoint
Presenting-Partner Logo Interxion SchweizPresenting-Partner Logo Interxion Schweiz
Presenting-Partner Logo ISE AG Informatik Solutions EinsiedelnPresenting-Partner Logo ISE AG Informatik Solutions Einsiedeln

Q & A by Experts

In dieser Rubrik sammeln wir verschiedenste Fragen und Antworten rund um das Thema; «Experten nehmen zu Fragen Stellung». Diese sind lose und in keinem zeitlichen Kontext von Forschung und Entwicklung von Cloud-Computing zu betrachten. Auch nicht in Bezug auf die Entwicklung von Service-Modellen, Marktangeboten und -Reife. Die relevanten Links führen zu Quelle, Autoren, Berichte, Leitfäden und relevanten, weiterführenden Inhalten. Ein weiterer Vorteil dieser Variante von Q & A ist, dass die Experten vielfach das Thema nicht wie ein Lexikon, sondern mit Beispielen, Metaphern oder anhand konkreter Projekte besprechen, beschreiben und darlegen.

Alle anzeigen / Alle verbergen

Antwort auf/zuklappen

Was ist App-Härtung und warum ist sie wichtig?

Digitale Transformation bedeutet, den Nutzer so zu bedienen, wie er es möchte - das umfasst auch das Gerät seiner Wahl und damit eine Mobilitätsstrategie. Diese erfordert die Nutzung von Apps, in denen sensible Daten bereitgestellt werden. Die Ausführung findet dabei auf dem Privateigentum des Kunden statt, dem Smartphone. Der Sicherheitszustand privater Smartphones lässt sich jedoch nicht einschätzen. Das Risiko, dass das Smartphone und seine Apps zum Einfallstor für Cyber-Angriffe werden, ist demnach nicht abschätzbar. Unternehmen müssen ihre Apps daher als "Security-Endpoint" verstehen und diese absichern. Hier kommen Lösungen zur App-Härtung ins Spiel. Dabei handelt es sich um Softwaremodule, die von den App-Entwicklern in die App eingebaut werden und eine Vielzahl von Sicherheitsfunktionen bereitstellen. So geschützte Apps können sich selbstständig "verteidigen" und schützen sich proaktiv vor Malware, Trojanern und Hacker- Angriffen. Damit lassen sich die Daten der Kunden und Unternehmen mit viel höherer Sicherheit in der App verarbeiten und lagern und können nicht von Dritten abgezogen oder manipuliert werden. Der Einsatz von App-Härtung ist daher ein wichtiger Baustein in einem Sicherheits-Gesamtkonzept, um eine vollständige "360 Grad-Sicherheit" zu ermöglichen. Ziel sind sichere Apps, die den Best-Practice Empfehlungen der Behörden und Sicherheitsexperten folgen.

Antwort auf/zuklappen

What is the threat that creates the highest mobile risk for businesses?

The reality is that the threats targeting mobile devices have not changed. There are still two main causes of data loss on mobile devices: physical device loss and misuse of apps.

What has changed is the severity of the consequences. Mobile devices are now storing and accessing more-sensitive data. In healthcare, for example, an increasing number of physicians are using tablets to process sensitive data about their patients. In finance, brokers are using their smartphones to exchange sensitive information. In these scenarios, a device that falls in the wrong hands and does not have adequate protection can be the source of a major data breach.

As for users' misuse of apps, the problem is that the majority of apps are invasive. Many ask for permission to access the user's contact list, personal information and location. In addition, many employees use personal file sharing apps with corporate documents. Few of these apps are truly malicious, but the vast majority do not offer enterprise-grade security and are frequently the subject of credential leaks and other security incidents. This "bad hygiene" results in a multitude of enterprise data breaches, most of which go unreported.

Antwort auf/zuklappen

As threats get more advanced on mobile devices, how will mobile operating systems (OSs) provide better security?

If you have a speed limit of 120 km/h and you use three cars that can reach 150, 180 and 220 km/h, all three cars will take you from A to B. There will be preferences, there will be more convenient solutions, but the basics will be covered in the three cases.

We have a similar situation today regarding inherent security mechanisms across the mobile OS spectrum. While there are some security differences between mobile OSs, the basic security features such as integrity protection, encryption, app isolation and kernel protection are covered by all four main OSs.

What differentiates mobile security for enterprises is OS manageability and updates. IT leaders and CISOs need to ensure that they can granularly and consistently manage mobile devices, and have assurance from the device and/or OS vendor that there will be fast security updates for the lifetime of the devices.

Antwort auf/zuklappen

Too many organisations focus on protecting against malware. Are there other areas they should put emphasis on?

Mobile devices are seeing a rapid growth in malware attacks. Frequently used techniques are repackaging legitimate apps into malicious ones and apps that act as a man-in-the-mobile. However, those attacks are specifically targeting consumer apps that have transactional value.

In the last few months we have also witnessed the development of mobile attacks that can be applied across the enterprise, are more realistic, can be exploited remotely and can do greater damage. However, we have yet to see these attacks translate into actual damages for organizations.

IT leaders and CISOs should take some basic precautions to minimize the risks of mobile malware:

  • Require basic enterprise security policies. Define device passcodes including length and complexity as well as retry and timeout standards.
  • Specify the minimum and maximum versions allowed of platforms and OSs. Disallow models that cannot be updated or supported.
  • Ban jailbreaking and rooting, and restrict the use of unapproved third-party app stores. Require apps to be signed.

Organizations' emphasis should remain on preventing data leakage through physical loss or leaky apps.

Mr. Zumerle will further discuss security and privacy aspects for mobile devices at the Gartner Security & Risk Management Summit 2015, September 14-15 in London, U.K.

Antwort auf/zuklappen

Welche potenziellen Gefahren birgt die Cloud?

Unter Vorbehalt, dass Managen von Sicherheit, Legal und Compliance als Basis-Aufgaben eines jeden verantwortungsvollen IT-Governance verstanden wird – bringt Cloud keine Gefahren. Höchstens die, dass Unternehmen und Organisation diesen tiefgreifenden Wandel verpassen und so den Anschluss verlieren; an Ihre Kunden, an Mitbewerber und Märkte.


Cloud-Computing bedeutet in der Regel, dass Leistungen von Extern bezogen werden. Damit verbunden sind alle Risiken des Outsourcings: Abhängigkeit vom Anbieter, Kontrollverlust etc. Wenn der Anbieter im Ausland stationiert ist, können sich zusätzlich rechtliche und kulturbedingte Probleme ergeben.

Antwort auf/zuklappen

Welche Sicherheitsvorkehrungen kann man treffen?

Nicht alle Anwendungen bzw. Informationen eignen sich für die öffentliche Cloud. Bei entsprechender Kritikalität der Daten und Funktionen werden nur interne Anbieter oder nur solche aus der Schweiz berücksichtigt. Externe Anbieter haben die geforderten Sicherheitsnachweise zu erbringen. Zusätzlich
werden fallweise spezifische technische Massnahmen ergriffen (z.B. Verschlüsselung).

Antwort auf/zuklappen

Wichtigkeit von Datenschutz?

Datenschutz und -integrität sowie Datenzugriff und Schutz der vertraulichen Informationen sind schon beim klassischen IT-Betrieb sehr wichtige Themen und Funktionen. Umso wichtiger noch, wenn die IT und ihr Betrieb ausgelagert wird. Die Verantwortung dafür bleibt beim Auftraggeber. Also muss der Cloud-Provider die Verlässlichkeit, betriebliche Ausführung und das definierte Service-Level- und Security-Management gewährleisten – aber der Auftraggeber muss es kontrollieren.

Antwort auf/zuklappen

Wie sicher ist Cloud-Computing?

Eine IT, gut gemanaged und in die Cloud verlagert, bietet meistens mehr an Daten-, Informations- und Betriebssicherheit als herkömmliche KMU-IT-Infrastrukturen. Die Sicherheit ist also viel höher als in einem verstaubten Rack irgendwo im Betrieb. Zum anderen fehlt vielfach in solchen Organisationen die Datenklassierung. Man ist sich gar nicht bewusst, welchen Wert welche Daten für das Unternehmen darstellen. Buchhaltungsdaten werden ausgelagert, Kundendaten nicht – oder umgekehrt; Enscheidungen fallen also meist willkürlich. Andererseits gibt es zum Glück ITVerantwortliche die exakt wissen, worauf sie bei der Datensicherheit und beim Datenschutz achten müssen. Diese sind denn auch in der Lage, an ihren künftigen Cloud-Provider die richtigen Forderungen und Fragen zu stellen. Sie übernehmen bei der Projektumsetzung wie im Betrieb die Verantwortung und schenken diesen Themen gebührend Beachtung.

Antwort auf/zuklappen

«IAM as a Service» - Wie wird IAMaaS in der Praxis abgewickelt?

Mit IAMaaS wollen wir Unternehmen helfen, ein Identity & Access Management wirkungsvoll zu betreiben. Mit IAMaaS adressieren wir zwei Themen. Einerseits den schnellen Einstieg ins IAM mit «IAMnow», welcher klassisch oder auf Basis einer «onpremise»-Lösung erfolgen kann. Basis bildet dazu ein weitgehend standardisiertes und vordefiniertes IAM-System.

Mit unserer IAMnow-Lösung bieten wir eine Lösung mit integrierten Prozessen und Workflows, letztendlich Services für die Benutzer und Berechtigungsadministration, wie sie in allen Unternehmen vorkommen. Ähnlich dem Gedanken der Nutzung von Office365. Mit IAMaaS adressieren wir aber auch die Betriebsfragen. Viele Unternehmen bekunden Mühe, ihre IAM-Infrastruktur langfristig mit ausreichend Know-how zu betreiben. Oder man sieht IAM nicht als Kernkompetenz und sucht einen Partner, der den IAM-Applikationsbetrieb (SaaS) wie auch die Operations, d.h. das Tagesgeschäft, übernimmt. Hier haben wir mit unserem IAM-Operation-Team immer die passende Antwort auf die vielfältigen Interessen der Kunden.

Antwort auf/zuklappen

Anwendbares Recht?

Welches ist das anwendbare Recht?

Aus rechtlicher Sicht ist die erste und grundlegendste Frage, die sich bei Cloud-Computing stellt, jene nach dem anwendbaren Recht. Verschiedene Rechtsordnungen können nämlich mitunter sehr unterschiedliche Vorschriften zu den maßgeblichen Rechtsgebieten haben.

Antwort auf/zuklappen

Compliance?

Was ist für das Einhalten der Compliance von Relevanz?

Besonders relevant sind hier die branchenspezifischen Regelungen, welche nicht jeden Cloud-Nutzer betreffen, die Betroffenen aber umso intensiver. Zusammengefasst lässt sich sagen, dass, auch wenn keine länderübergreifend gültige Aussage getroffen werden kann, die Nutzung von Cloud-Computing-Dienstleistungen in den meisten Fällen zulässig ist, wenn auch mitunter mit gewissen Auflagen oder Einschränkungen.

Antwort auf/zuklappen

Datenschutz gewährleistet?

Wie werden Unternehmen mit dem Thema Datenschutz und Cloud umgehen? Ich meine damit nicht nur Datenschutz nach BDSG, sondern auch nach internen Richtlinien und externen Verträgen. Also wird eine Firma Ihre Bestanddaten oder Ihre Buchhaltungsdaten in die Cloud stellen?

Die meisten Unternehmen agieren im Moment zögerlich, was aber eher der Tatsache geschuldet ist, dass bei den Verwantwortlichen zu wenig Informationen über Cloud-Sicherheit zur Verfügung stehen. Mit ein wenig Know-how und einer Prise rechtlichen Beistands von (echten) Experten lässt sich in der Cloud ein sehr hohes Sicherheitsniveau erreichen. Nach einer Anfangsphase, in der sich nur Pioniere in die Cloud wagen wird es aber - ähnlich wie beim Online-Banking - dazu kommen, dass das Vertrauen und die Zuversicht langsam steigen und die Technologie sich auf lange Sicht durchsetzt. Es spricht einfach zu viel dafür um langfristig dagegen zu sein.

Antwort auf/zuklappen

Datensicherheit für Dokumente in der Cloud?

Kann ich auch Dokumente in der Cloud sichern?

Die Cloud ist unter anderem als Datenspeicher ausgelegt. Deshalb ist es kein Problem, wenn Sie dort Ihre Dokumente sichern. Im Gegenteil: Dies bringt nur Vorteile, da Cloud-Dienste deutlich mehr Ausfallsicherheit bieten, als Ihr heimischer PC. Die Cloud ist also vor allem als Backup-Lösung für kleines Geld einsetzbar. Wenn Sie nur einige wenige Dokumente und Dateien sichern wollen, reicht Ihnen möglicherweise auch der kostenlose Speicherplatz einiger Anbieter aus.

Antwort auf/zuklappen

Datensicherheit lokaler Daten?

Kann ich meine lokalen Dateien in der Cloud sichern?

Ja, die Cloud dürfen Sie sich wie ein gigantisches Rechenzentrum vorstellen. Dieses Rechenzentrum ist jedoch nicht dazu da, Webseiten oder dergleichen zu hosten. Die einzige Aufgabe besteht darin Ihre Inhalte sicher zu lagern und bei Bedarf bereitzustellen. Zahlreiche Cloud-Dienste bieten einen Synchronisierungsservice an. Dabei werden die Daten auf Ihrem PC mit denen in Ihrem Cloud-Account regelmäßig abgeglichen, sodass Sie online immer die aktuellste Version zur Verfügung haben. Egal, wo Sie sich gerade befinden.

Antwort auf/zuklappen

Datenübertragung gesichert?

Ist die Datenübertragung auch gesichert?

Diverse Cloud-Anbieter legen besonderen Wert darauf, dass auch bereits die Übertragung der Daten von den Servern zu Ihnen und umgekehrt verschlüsselt ist. Dabei kommt häufig ein hochwertiger Algorithmus zum Einsatz, der als unknackbar gilt. Vor allem wenn Sie sensible Daten übertragen, sollten Sie darauf achten, dass Ihr Anbieter eine verschlüsselte Datenübertragung ermöglicht.

Antwort auf/zuklappen

Die Compliance für Cloud-Computing?

Die Cloud Compliance?

Cloud Compliance bezeichnet die nachweisbare Einhaltung von Regeln zur Nutzung oder Bereitstellung von Cloud Computing. Cloud Compliance hat zum Ziel, Transparenz und Sicherheit für alle Anspruchsgruppen (Stakeholder) zu schaffen. Cloud Compliance unterstützt insoweit dabei, die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud Computing aufzulösen. Damit schafft Cloud Compliance eine wichtige Basis, um alle Vorteile des Cloud Computings für Anbieter und Provider vollumfänglich nutzbar zu machen. Bei der Beschäftigung mit Cloud Compliance sind insbesondere die folgenden Herausforderungen zu bewältigen: Die Neuartigkeit und die damit verbundene Komplexität des Themas, die Vielzahl von Service-Angeboten und Geschäftsmodellen der Anbieter mit derzeit oft noch unklaren bzw. sich widersprechenden Cloud Definitionen sowie die fehlenden Standards im Markt. Die Folgen bei Nichterfüllung von Compliance-Anforderungen sind hinsichtlich Art und Ausmaß unterschiedlich. Sie reichen von Strafen und Bußgeldern über die Erfüllung von Schadenersatzansprüchen bis hin zur Einschränkung des Zugangs zum Kapitalmarkt. Auch der Verlust von Marktanteilen aufgrund von Imageschäden oder dem Ausschluss von Ausschreibungsverfahren sind möglich. Der Umgang mit den oben genannten Zielen und Herausforderungen wird durch den Einsatz eines geeigneten Compliance Management Systems (CMS) unterstützt. Es kann gleichermaßen von Anbietern sowie von Nutzern des Cloud Computings eingesetzt werden. Die Ausführungen hier basieren auf einem CMS mit sieben Grundelementen. Diese lassen sich vereinfacht zu den Kernthemen „Anforderungen“, „Risiken“ und „Risikomaßnahmen“ zusammenfassen. Zur Erreichung einer adäquaten Cloud Compliance gehört es, die Anforderungen insgesamt zu kennen und hinsichtlich ihrer Bedeutung zu bewerten. Die Kategorisierung der Anforderungen kann schematisch nach primär externen Vorgaben (Gesetzen und externen Regelwerken) sowie primär internen Vorgaben (interne Verpflichtungen und Verträge) erfolgen. Die Identifikation als auch die Kategorisierung sollten sowohl Nutzer als auch Anbieter von Cloud Computing individuell für ihre Geschäftszwecke vornehmen. Allgemein kann hierfür festgehalten werden, dass für Cloud-Computing keine eigenen Regeln gelten und insoweit die allgemeinen IT-Compliance-Anforderungen Anwendung finden. Hinter den IT-Compliance-Anforderungen stehen insoweit in aller Regel Ziele zur adäquaten Behandlung klassischer IT-Risiken (Sicherheit, Verfügbarkeit, Vollständigkeit, Nachvollziehbarkeit, etc.). Diese verlangen jedoch in jedem Fall eine gesonderte Auseinandersetzung mit den für Cloud Computing spezifischen Risiken. Hinsichtlich der Risiken ist zu beachten, dass ein Service aus der Cloud neue Merkmale aufweist, die so in der klassischen IT kaum existierten. Dazu zählen z. B. der Applikationsbezug über das Internet, der hohe Grad an Virtualisierung, die Service-Orchestrierung, die Datenlokation sowie die Multi-Mandanten-Fähigkeit der Anwendungen. Damit gehen neue Risikosituationen einher, die wie folgt gekennzeichnet werden können:

  1. neue Risiken (denen mit neuen Maßnahmen begegnet werden muss),
  2. gleichbleibende Risiken (bekannte Risiken für ein neues Cloud-Merkmal, denen mit analogen Maßnahmen zu begegnen ist),
  3. reduzierte Risiken (denen aufgrund der besonderen Merkmale des Cloud Computings nunmehr geringere Bedeutung beizumessen ist).

Somit führt Cloud-Computing zu einem Mix an Anpassungsmaßnahmen im Risikoregister der Anwender und auch der Anbieter. In diese Betrachtungen ist sowohl die für die Cloud-Umgebung spezifische Ebene (IaaS, PaaS, SaaS) als auch die gewählte bzw. zu wählende Organisationsform (Private, Hybrid, Public) einzubeziehen. Bei allem Optimismus, die derzeit erkennbaren Risiken des Cloud Computings durch geeignete Maßnahmen zur Compliance zu steuern und damit die Chancen des Cloud-Computings auf breiter Ebene nutzbar zu machen, müssen aber auch die bestehenden Grenzen beachtet werden, bei denen Cloud Compliance nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. An der Lösung dieser Compliance-Herausforderungen muss heute schon gearbeitet werden. In erster Linie sind hier die Anbieter, die auf derartige Lösungen setzen, gefordert.   

Cloud-Computing – Was Entscheider wissen müssen. BITKOM

Antwort auf/zuklappen

Elemente der Aufklärung zum Datenschutz?

Was kann ihrer Meinung nach zur mehr Aufklärung der Unternehmen in Sachen Datenschutz bei der Nutzung von Cloudtechnologien zusätzlich unternommen werden?

In Bezug auf die "absolute Datensicherheit" wissen wir beide, dass die weder existiert noch in unserer Digitalen Welt machbar sein wird. Die Sicherheit muss vor allem durch die Förderung eines verantwortungsvollen Umgangs, also der Security-Awareness, angestrebt werden. Aber anders rum darf "online" nicht schärfere Bestimmungen als "offline" haben. Um sozusagen Datenschutz, Datensicherheit und dies besonders in Cloud-Umgebungen, als Kernkompetenz zu fordern, gilt für Regierungen wie die Wirtschaft gleichermassen; die Medienkompetenz der Nutzer zu fördern, internetgerechte Rechtsmassnahmen als Rahmen zu gestalten, den Datenschutz auch vor staatlichen Zugriffen zu schützen; respektive die Persönlichkeitsrechte gleich stark zu gewichten – und auch die Datenschutzbestimmungen zu garantieren und diese laufend weiter zu entwicklen. Wichtig dabei ist aber auch, dass die Datensicherheit nicht wirklich ein Cloud-Thema ist, sondern damit nur wieder an die Oberfläche gekommen ist. Sie ist ein grunsätzliches Thema aller verantwortungsvollen IT-Managements und muss – mit oder ohne Cloud – wahrgenommen und wirksam umgesetzt werden.

Antwort auf/zuklappen

Elemente eines Compliance Management Systems?

Welches sind die Elemente eines Compliance Management Systems?

Ziel eines CMS ist es, das regelkonforme Verhalten aller Beteiligten (also die Einhaltung der Regeln und die Verhinderung von Regelverstößen) durch entsprechende Maßnahmen sicherzustellen. Im Kern umfasst ein CMS die nachfolgend beschriebenen Grundelemente, die in die Unternehmensabläufe eingebunden sind: Compliance-Kultur, Compliance-Organisation, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Kommunikation, Compliance-Überwachung und Verbesserung.   

Cloud-Computing – Was Entscheider wissen müssen. BITKOM

Antwort auf/zuklappen

Experten-Empfehlung zur Einhaltung von Datenschutz in der Schweiz?

Mit Ihren Expertenangeboten beschreitet Cloud-Finder Schweiz den Weg, Berater aus den unterschiedlichsten Anbieterunternehmen zumindest zu listen. Gibt es eine Empfehlung oder Richtlinie Ihrerseits, die das Expertennetzwerk zur Einhaltung schweizer/deutscher Datensschutzrichtlinien anhält?

Zuerst müssen wir festhalten, dass bei den generellen erfolgskritischen Faktoren für die Cloud-Auswahl die Sicherheit weit hinten ansteht. Für die Integration von Cloud-Applikationen sind offene und standardisierte Programmierschnittstellen notwendig. Die Skalierbarkeit ist für viele Unternehmen im wichtig; denn dadurch kann flexibel auf Kundennachfragen reagiert werden. Datensicherheit und Datenschutz sind gemäss Entscheiderbefragungen eher am Schluss zu finden. Doch als Antwort auf Ihre Frage – kann man aus der Ditigalten Agenda zitieren.

"Jeder Schweizer weiss, dass seine Daten im Netz sicher sind und er sich ohne Risiko im Internet bewegen kann. Ohne Datenschutz werden viele der erwähnten Anwendungen keine Akzeptanz finden. Sicherheit und Stabilität sind bereits heute entscheidende Standortfaktoren der Schweiz. Nun geht es darum, diese Errungenschaften auch in der digitalen Welt zu verteidigen und jedem Schweizer die Gewissheit und Kompetenz zu geben, dass er sich in der virtuellen Welt genauso sicher bewegen kann wie in der realen. Datenschutz ist allerdings bereits heute keine nationale Angelegenheit mehr, sondern wird massgeblich auch international definiert."

Antwort auf/zuklappen

ISMS, was ist das genau?

Was ist diese Norm genau und wie kann sie angewendet werden?

ISO/IEC 27000 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement): Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge (Tools) und Ressourcen (z.B. Menschen, Anlagen), die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil.

Antwort auf/zuklappen

ISO 20000 und ISO 27000, welchen Zusammenhang gibt es?

Sind diese beiden Standards mit einander verbunden?

Beide Standards befassen sich mit Managementsystemen. ISO/IEC 27000 spezifiziert (in ISO/IEC 27001) Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält.

Antwort auf/zuklappen

ISO 27000, was ist das genau?

Was ist ISO 2700 genau?

Es handelt sich um einen Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektrotechnisches Komitee) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27000 sind die Festlegung einer einheitlichen Terminologie und die Definition einheitlicher (standardisierter) Kriterien, nach denen Organisationen hinsichtlich einer umfassenden und effektiven Verwaltung und Steuerung ihrer Aktivitäten zur Gewährleistung der Informationssicherheit bewertet (auditiert) werden können.

Antwort auf/zuklappen

ISO 27000, wie ist die Norm aufgebaut?

Wie ist diese Norm aufgebaut und was beinhaltet Sie?

ISO/IEC 27000 ist eine Reihe von Dokumenten, die sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement befassen. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Hier werden zum einen die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) beschrieben (Kapitel 4 bis 8), zum anderen werden in einer tabellarischen Darstellung über 130 Sicherheitsmaßnahmen (die sogenannten Controls) beschrieben (Anhang A). Das zweite Haupt-Dokument, ISO/IEC 27002 trägt den Beinamen „Code of Practice“ und enthält auf 138 Seiten Umsetzungshinweise (implementation guidance) für die in ISO/IEC 27001 beschriebenen Controls.

Antwort auf/zuklappen

Sicherheit für den Cloud-Nutzer?

IT-Sicherheit beim Cloud-Nutzer; was gilt es zu beachten?

Der Cloud-Nutzer muss die IT-Technik in den eigenen Räumen vor unbefugten Zugriff schützen. Dazu sind die in nachstehend zusammengestellten Mindestanforderungen zu erfüllen. Bei ihrer Realisierung kann der Cloud-Nutzer vom CSP unterstützt werden. Mindestanforderungen: Rollenbasierte Zutrittskontrolle, Zwei-Faktor-Authentifizierung, Brandschutz, Kontrolle der Service-Dienstleister, Weiterbildung in IT-Sicherheit, Schulung zu Social Engineering, Kontrolle und Schulung von Awareness, Notfallplan, Auswertung der Dokumentation der letzten Notfallübungen, Sicherheitskonzept, Periodische Sicherheitsprüfungen.   

Eckpunkte für sicheres Cloud-Computing. BITKOM

Antwort auf/zuklappen

Sicherheit gegen Diebstahl, Manipulation, Informationseinsicht?

Wie ist es beim Cloud-Computing um die IT-Sicherheit bestellt? Besteht nicht die Gefahr, dass ausgelagerte Daten einfacher gestohlen oder manipuliert werden können?

Das Sicherheitsrisiko beim Cloud Computing ist nicht weg zu leugnen, ist aber durchaus mit der Bedrohung für unternehmensinterne IT-Lösungen zu vergleichen. Jedes Computersystem mit Anbindung zum Internet ist potenziell Angriffen ausgesetzt. Viel entscheidender als diese allgemeine Bedrohung ist allerdings die Frage, wie Cloud Computing-Anbieter selbst mit den Kundendaten umgehen. Wenn Unternehmen kritische Informationen sozusagen in fremde Hände geben, spielt Vertrauenswürdigkeit eine entscheidende Rolle. Nicht zuletzt müssen rechtliche Rahmenbedingungen beachtet werden. Insbesondere bei der Verarbeitung personenbezogener Daten setzen sie einer möglichen Cloud-Lösung enge Grenzen.

Antwort auf/zuklappen

Sicherheits-Systeme im Einsatz, welche?

Welche Sicherheitssysteme kommen bei der Cloud zum Einsatz?

Hinsichtlich der Sicherheit kommen bei vielen Cloud-Anbietern verschiedene Dienste zum Einsatz. Gute Cloud-Anbieter verschlüsseln nicht nur die Daten auf deren Servern, sondern auch bereits während der Übertragung. Dadurch sind sie besonders geschützt. Bevorzugt kommt hierbei ein Verschlüsselungsalgorithmus wie AES zum Einsatz.

Antwort auf/zuklappen

Vorteile ohne unnötige Risiken der Datensicherheit?

Wie können Unternehmen die Vorteile des Cloud Computing nutzen, ohne bei der Datensicherheit unnötige Risiken einzugehen?

Ein Ansatz sind Mischlösungen: Bestimmte Bereiche der IT können durchaus zu externen Anbietern ausgelagert werden, beispielsweise Anwenderprogramme im Bereich Kundenmanagement als Software as a Service (SaaS). Eine andere Strategie ist der Aufbau einer "Private Cloud“ in der Unternehmens-IT, ein Prinzip, das auf dem Konzept der Virtualisierung aufsetzt. Dabei teilen sich die Mitarbeiter IT-Kapazität auf zentralen Servern, die sich dynamisch am aktuellen, individuellen Bedarf ausrichtet. Dies ermöglicht die optimale Auslastung des Systems, was nicht nur die Anschaffungskosten gering hält, sondern auch die laufenden Ausgaben senkt. Viele Server in Unternehmensrechenzentren laufen heute mit einer Auslastung von weniger als 15 Prozent. Mit Virtualisierung und Einsatz der "Private Cloud“ kann eine Auslastungssteigerung auf bis zu 85 Prozent erreicht werden – mit entsprechenden Einsparungen bei Beschaffung und Betrieb, zum Beispiel bei den Energiekosten.

Antwort auf/zuklappen

Zugriff und die Regelung dazu?

Wer kann auf meine Dokumente zugreifen / Kann ich den Zugriff individuell regeln?

Der Zugriff auf Dateien und Dokumente innerhalb der Cloud lässt sich individuell regeln. So stellen Sie sicher, dass nur die Personen Zugriff auf eine Datei erlangen, die dazu berechtigt sind.

myCloudService

Wählen Sie hier Ihre Anforderungen und lassen Sie sich die passenden Angebote / Anbieter anzeigen:

  • Dienstleistungen
  • Cloud Business Software
  • Infrastructure Cloud Services
  • Cloud Governance
  • Cloud-Security-Services
  • Cloud-Technologie /-Service-Art
  • RZ-Infrastruktur
  • Support Services
  • Usability
  • Zertifizierung / Empfehlung

Cloud-/ DL-/ RZ-Anbieter

Gartner & Cloud Computing

Share This

  • Kalender Cloud Schweiz

    Buchempfehlung

    Partner

    Cloud-Finder Schweiz: Newsletter